В сентябре 2016 года создатели ботнета Mirai запустили масштабную DDoS-атаку на сайт известного журналиста и эксперта в области кибербезопасности Брайана Кребса. Через неделю ими же был опубликован исходный код вредоноса. Вполне возможно, что сделано это было с целью скрыть происхождение этой атаки. Код быстро распространился среди киберпреступников и был воспроизведен в других вариациях. Ботнет Mirai использовал уязвимые устройства Internet of Things, например, подключенные к интернету видеокамеры с поддержкой Telnet. Владельцы таких устройств редко меняли пароли, поэтому их легко можно было подобрать при помощи атаки по словарю. Заражены были в основном устройства китайского производителя Hangzhou Xiongmai Technology, которая предоставляет свои IP-камеры и видеорегистраторы OEM-производителям. А также Zhejiang Dahua Technology Co., Ltd, которая, впрочем, это опровергла.
После Mirai появилось множество похожих IoT-ботнетов, основанных на его исходном коде. Хотя атаки такого разрушительного масштаба больше не повторялись, угроза остаётся актуальной по сей день.
В 2022 году исследователи компании CYFIRMA обнаружили многочисленные случаи, когда хакеры пытались совместно использовать камеры Hikvision, используя уязвимость внедрения команд с помощью специально созданных сообщений, отправляемых на уязвимый веб-сервер. Уязвимость отслеживается как CVE-2021-36260 и была устранена Hikvision с помощью обновления прошивки в сентябре 2021 года. В январе 2022 года CISA предупредила, что CVE-2021-36260 была среди активно эксплуатируемых ошибок, предупредив организации, что злоумышленники могут «взять под контроль» устройства. Bleeping Computer обнаружил несколько списков, некоторые из которых доступны на хакерских форумах Clearnet бесплатно и содержат учётные данные для прямых видеотрансляций с камер Hikvision.
Другая проблема, выявленная в 2022 году, отслеживается как CVE-2022-30563 (рейтинг CVSS: 7.4) и связана с неудачной реализацией стандарта Open Network Video Interface Forum (ONVIF) компании Dahua Technology. «Уязвимость может быть использована злоумышленниками для компрометации сетевых камер путем прослушивания предыдущего незашифрованного взаимодействия ONVIF и воспроизведения учетных данных в новом запросе к камере» — сообщается в отчете Nozomi Networks. Ошибка, выявленная Nozomi Networks, кроется в так называемом механизме аутентификации «WS-UsernameToken», реализованном в некоторых IP-камерах, разработанных китайской компанией Dahua, что позволяет злоумышленникам скомпрометировать камеры путем воспроизведения учетных данных.
Таким образом, кибербезопасность систем видеонаблюдения — становится всё более актуальной проблемой, требующей повышение квалификации инсталляторов и пользователей CCTV.
Что нужно защищать?
- Видеоархивы и базы данных (БД)
- Каналы связи
- Станционное оборудование, камеры и прочие устройства
Рассмотрим каждый элемент подробнее.
Видеоархивы и БД
Видеоархив — зачастую наиболее ценный элемент системы видеонаблюдения. Он нуждается в следующем типе защиты:
- Порча записей, утрата файлов видеоархива
- Подмена файлов видеоархива
- Несанкционированный просмотр видеоархива
Каналы связи
Необходимо защищать следующие каналы связи:
- с IP-камерами;
- между сервером и УРМ;
- между серверами (в распределённой системе);
- между сервером и сетевым хранилищем;
- между сервером и интегрированной сторонней системой СКУД/ОПС/POS.
Каналы связи нуждаются в следующем типе защиты:
- Перехват данных, порча, изменение, умышленные препятствия при передаче
- Нестабильная передача данных, не связанная напрямую со злонамеренным вмешательством
Станционное оборудование, камеры и прочие устройства
Оконечное оборудование — наиболее уязвимо к атакам. Данное оборудование нуждается в следующем типе защиты:
- Конфигурация (программные настройки оборудования)
- Несанкционированный доступ к изображению и управлению
От чего нужно защищать?
- Человеческая неосмотрительность и непреднамеренные ошибки
- Умышленное злоупотребление системой
- Физическое вмешательство и саботаж
Человеческая неосмотрительность и непреднамеренные ошибки
Среди самых распространенных уязвимостей, вызванных человеческими ошибками – невнимание к кибербезопасности и отсутствие политик и долгосрочных процессов по управлению рисками. Чтобы смягчить угрозы, связанные с человеческими ошибками, все сотрудники организации должны знать лучшие практики в области кибербезопасности. Также необходимо ограничить доступ к видео и предоставить критические полномочия в системе управления видео лишь ограниченному кругу доверенных лиц.
- Социальная инженерия: пользователя психологическими приемами приводят к совершению ошибки в сфере кибербезопасности или к раскрытию конфиденциальной информации. Примеры социальной инженерии – фишинг и вредоносное программное обеспечение, обещающее защиту от мнимых угроз.
- Ошибки при использовании паролей: например, недостаточно надежные пароли либо их ненадлежащее хранение и/или обновление.
- Ненадлежащее управление критическими компонентами: потеря или ненадлежащее размещение чего-то, что открывает доступ к системе. Например – карты доступа, телефоны, ноутбуки, документация.
- Плохое управление системой: пренебрежение установкой обновлений системы безопасности.
- Неудачные усовершенствования: снижение эффективности системы в результате попытки что-то исправить.
Умышленное злоупотребление системой
- Несанкционированный вход в систему и манипуляции системными службами и ресурсами
- Похищение данных
- Причинение умышленного вреда системе
Физическое вмешательство и саботаж
Физическая защита ИТ-систем чрезвычайно важна с точки зрения кибербезопасности:
- Физически доступное оборудование открыто для вмешательства.
- Физически доступное оборудование может быть похищено.
- Физически открытые кабели могут быть отсоединены, перекоммутированы или перерезаны.
Камеры не только уязвимы для вмешательства сами по себе – они также могут открывать доступ к сетевым кабелям. Это может создавать возможность для вторжения в сеть. Среди других типичных потенциальных уязвимостей – сетевое оборудование (например, серверы или коммутаторы), расположенное в незапертых помещениях, легко доступные и не закрытые защитными кожухами камеры, кабели, не защищенные стенами и каналами.
Ни одну камеру невозможно защитить на 100%, но принимая специальные меры, можно существенно снизить вероятность физического повреждения камеры. Применить камеру с малозаметной, сливающейся с окружением конструкцией, установить камеру на достаточной высоте на стене или на потолке, подвести кабель к камере непосредственно через отверстие в стене или потолке позади камеры — есть много эффективных способов защитить камеру как от спонтанных актов вандализма, так и от спланированных атак. Кроме того, сервер системы управления видеонаблюдением и все важное сетевое оборудование (маршрутизаторы, коммутаторы и т. д.) нужно разместить в запираемом помещении, закрытом для доступа посторонних лиц.
Шифрование
Сеть передачи данных нуждается в защите от вредоносных угроз нескольких типов. Все сетевые пакеты, передаваемые по сети, могут приниматься другими компьютерами в той же сети. И если полезные данные в пакетах передаются в незашифрованном виде, ими могут легко завладеть и воспользоваться злоумышленники, перехватив их путем прослушивания сетевого трафика. Еще одним видом сетевой угрозы является спуфинг. При атаке такого типа атакующий компьютер с целью получения доступа к сети выдает себя за подлинный сервер, компьютер или сетевое устройство. К действенным мерам защиты относятся шифрование соединений и использование сертификатов, подписанных центром сертификации.
HTTPS – самый распространенный протокол шифрования данных. HTTPS аналогичен HTTP, с тем отличием, что передаваемые данные дополнительно шифруются с использованием протокола SSL или TLS.
Протокол SRTP предусматривает шифрование видеопотока для дополнительной защиты самого видео. При хранении видео в VMS или локально на картах памяти SD позаботьтесь о том, чтобы это видео тоже было зашифровано.
Стандарт IEEE 802.1X
Протокол IEEE 802.1X либо устанавливает соединение «точка-точка», либо предотвращает доступ с порта сети, если устройство не проходит аутентификацию. Протокол IEEE 802.1X защищает от так называемого «захвата порта», при котором несанкционированное устройство подключают к физическому сетевому порту/разъему и получают доступ к сети.
Стандарт IEEE 802.1X полезен в приложениях сетевого видео, поскольку сетевые камеры часто устанавливаются в общественных местах, где возможен беспрепятственный доступ к розеткам локальной сети, а значит есть опасность атаки. В современных корпоративных сетях применение стандарта IEEE 802.1X становится обязательным требованием.
В системе сетевого видеонаблюдения протокол IEEE 802.1X работает следующим образом:
- сетевая камера, в которой настроено использование IEEE 802.1X, отправляет коммутатору запрос на доступ к сети;
- коммутатор перенаправляет запрос серверу аутентификации, например серверу протокола RADIUS (Remote Authentication in Dial-In User Service), такому как MIAS-сервер (Microsoft Internet Authentication Service);
- если аутентификация проходит успешно, сервер передает на коммутатор команду открытия порта, в результате данные с сетевой камеры могут быть переданы через коммутатор в сеть.
Стандарт IEEE 802.1X обеспечивает безопасность на уровне портов.
HTTPS (HTTP через TLS)
HTTPS (Hyper Text Transfer Protocol Secure) — это метод безопасного обмена данными, при котором пакеты HTTP шифруются с использованием протокола TLS (Transport Layer Security). Это означает, что шифруются как передаваемые данные, так и само HTTP-соединение.
Сертификаты в HTTPS используются и для аутентификации, и для шифрования данных. С помощью сертификата браузер может проверить подлинность камеры или видеокодера. Сертификат также используется для шифрования передаваемых данных с использованием открытых ключей.
Виртуальная частная сеть (VPN)
Виртуальная частная сеть позволяет создать защищенный «тоннель» между двумя устройствами, посредством которого они могут безопасно обмениваться данными между собой через Интернет. При таком варианте связи шифруется целиком весь исходный пакет, включая данные и заголовок, который может содержать сведения об исходном и целевом адресах, типе передаваемой информации, порядковом номере и длине пакета. Затем зашифрованный пакет инкапсулируется в другой пакет, который содержит только IP-адреса двух связывающихся устройств (например, маршрутизаторов). Это защищает трафик и передаваемое содержание от несанкционированного доступа. Устройство может работать в виртуальной частной сети, только если у него есть правильный «ключ». Сетевые устройства, расположенные между клиентом и сервером, не могут получать доступ к данным и просматривать их.
При использовании протокола SSL/TLS зашифровываются только полезные данные пакета, а при использовании VPN шифруется и инкапсулируется весь пакет, что создает эффект защищенного «тоннеля». Можно использовать одновременно обе эти технологии, но этого делать не рекомендуется, так как каждая из них увеличивает нагрузку на канал связи и ухудшает производительность системы.
Сертификаты, подписываемые центром сертификации
Центр сертификации (ЦС) — это служба, которая выдает (подписывает) сертификаты сервера, предназначенные для установки на камерах. Система управления видеонаблюдением (VMS) использует сертификат для проверки подлинности камеры. Для общедоступных служб, к каким относятся открытые веб-серверы и серверы электронной почты, обычно используют публичные доверенные центры сертификации, например Comodo и Symantec. На клиентских устройствах, например на компьютерах Windows, Linux и Mac или на мобильных устройствах, заранее устанавливаются корневые сертификаты, выданные публичным доверенным центром сертификации. Частный центр сертификации играет роль точки доверия для служб частных сетей, выдавая сертификаты для частных серверов. На клиентских устройствах, которым требуется проверять подписанные сертификаты в камерах, должен быть установлен корневой сертификат, выданный частным центром сертификации. Для выполнения требований к сквозному шифрованию система VMS также должна иметь сертификат сервера, чтобы клиентские устройства, получающие доступ к видео, имели возможность проверить подлинность системы VMS.
Сетевая изоляция (VLAN)
Сетевая изоляция или сегментация сети — это способ отделения критически важных сетевых ресурсов друг от друга, позволяющий снизить риск их негативного воздействия друг на друга. Эта тактика особенно уместна, когда разным ресурсам не требуется (или запрещено!) взаимодействовать между собой. Сеть можно разбивать на виртуальные сегменты (VLAN) с помощью управляемых коммутаторов или на физические сегменты с использованием разных кабелей и сетевого оборудования.
Фильтрация IP-адресов
Обычно сетевые камеры настраиваются таким образом, чтобы доступ к ним был возможен только с IP-адреса сервера, на котором установлено программное обеспечение для управления видеонаблюдением. Фильтрация IP-адресов выполняет функцию локального межсетевого экрана в камере.
Для получения доступа к живому или записанному видео клиент подключается к системе VMS, никогда не подключаясь к камере напрямую. Это означает, что при нормальной работе единственным компьютером/сервером, который может получить доступ к камерам, является сервер системы VMS.
В камерах можно настраивать «белые списки» IP-адресов, включая в них адреса устройств, с которыми камерам разрешается взаимодействовать (обычно это сервер VMS и клиенты администрирования). IP-фильтрация помогает снизить риски в случае взлома пароля какой-либо камеры, при наличии в системе камер, на которые не установлены пакеты исправлений, а также при атаках методом подбора пароля.
Защита периметра сети
Выстраивание защиты сети начиная с магистрального уровня позволяет эффективнее реализовать другие меры по внедрению лучших практик в области кибербезопасности. Использование сегментации, например, виртуальных частных сетей (VLAN), на физических устройствах безопасности помогает снизить риски перехвата конфиденциальной информации и атак на отдельные серверы и сетевые устройства.
Списки управления доступом (ACL) позволяют дополнительно ограничить возможности для действий злоумышленников в сети. Прежде чем вкладывать в новое оборудование, запросите у своего поставщика список сетевых портов, чтобы удостовериться, что решение будет работать по всей сети.
Хорошее обслуживание системы – критически важный фактор ее общей работоспособности. Необходимо регулярно просматривать журналы устройств и системы на предмет попыток несанкционированного доступа. В сегодняшнем динамичном технологическом мире новые обновления, функции, лучшие практики появляются каждый день, поэтому необходимо документировать процедуры обслуживания, чтобы соответствующие процессы были понятны всем.
Пароли
Как это ни тривиально, самый распространенный путь, который киберпреступники используют для доступа к вашим системам – это слабые пароли. Большинство IP-устройств поставляются с установленными по умолчанию паролями и настройками. Поэтому критически необходимо немедленно сменить их в соответствии с политикой ИТ-службы или компании. Необходимо организовать надлежащее управление паролями с использованием надежных уникальных паролей (не менее 8 символов), регулярной их сменой и категорическим запретом на использование одинаковых паролей на разных сайтах. Соблюдение политики безопасности в отношении паролей нельзя обеспечить средствами одной лишь компьютерной системы. Организации необходимо позаботиться о том, чтобы сотрудники были обучены принятым практикам в отношении паролей и понимали их. Также рекомендуется использовать сертификаты для шифрования паролей и имен пользователей.
Переименуйте учетную запись администратора по умолчанию и установите новый пароль администратора. После установки пароля администратора доступ к административным функциям и/или видеопотокам предоставляется только посредством аутентификации с использованием действительных учетных данных имени пользователя и пароля. Не рекомендуется включать, например, функцию анонимного просмотра и/или функцию постоянной многоадресной передачи видео/аудио.
Выберите надёжный пароль, который будет сложно подобрать. Периодически меняйте его. Не используйте имя пользователя и пароль камеры по умолчанию, а также не используйте пароль, который вы использовали ранее.
При развертывании устройств никогда не оставляйте активными неиспользуемые службы. Это удобная мишень для атаки киберпреступников и установки вредоносных приложений. Отключение неиспользуемых служб и установка только надежных приложений снижает вероятность того, что потенциальному взломщику удастся воспользоваться уязвимостью системы. Также очень важно соблюдать требования к физической установке устройств, чтобы сетевые порты и разъемы SD-карт ни в коем случае не были в открытом доступе.
Управление учетными записями пользователей
Не секрет, что коллеги часто делятся друг с другом паролями для доступа к устройствам. Сегодня пароль от устройства потребуется технику для выполнения ремонта. Несколько дней или недель спустя пароль запросит кто-нибудь еще. Очень скоро пароли от всех ваших устройств будут известны большому числу новых (или временных) пользователей в пределах организации, а вы даже не будете знать, кто получает доступ к вашим устройствам. Каким бы надежным ни был пароль, в такой ситуации это не поможет. Здесь требуется другой подход.
Для управления устройствами должно быть создано несколько учетных записей (на основе ролей), а для нерегулярного обслуживания или устранения неполадок должны создаваться временные учетные записи. При определении прав доступа для учетной записи необходимо придерживаться принципа минимальной достаточности. Это означает, что пользователю должны предоставляться права для доступа только к тем ресурсам и функциям, которые необходимы для выполнения конкретных служебных обязанностей пользователя.
Права доступа
Необходимо установить четкие правила и процедуры, чтобы права доступа сотрудников соответствовали их зонам ответственности. Необходимо придерживаться принципа «минимальных полномочий»: пользователи должны иметь доступ только к ресурсам, которые необходимы им для выполнения своей работы. Не допускается использование учетных записей по умолчанию. Временные учетные записи, используемые для техобслуживания, необходимо удалять сразу после завершения работы. Ни в коем случае не следует полагаться на настройки устройств по умолчанию, особенно пароли. Идентификаторы и пароли учетной записи администратора по умолчанию для распространенных устройств легко находятся простым поиском в Интернете и не представляют никакого препятствия для хакеров. Проследите, чтобы службы защиты устройства были включены и настроены, и используйте настройки по умолчанию только для демонстрационных целей.
Прошивки
Большинство современных IP-камер видеонаблюдения имеют встроенное ПО, обновляемое пользователем. Если обнаружена уязвимость безопасности, производитель IP-камеры безопасности часто устраняет уязвимость, выпустив обновление прошивки. Обычно вы можете обновить прошивку камеры из консоли администратора через веб-браузер.
Установлены ли на вашем оборудовании последние доступные версии прошивок? Ошибки и дефекты систем и устройств создают уязвимости для атак и могут дать хакерам возможность похищения закрытых ключей или паролей пользователей. Важно иметь хорошо документированный план управления обновлениями программного обеспечения и прошивок и постоянно следить за тем, чтобы на сетевом оборудовании были установлены все доступные обновления и исправления системы безопасности.
Вам следует часто проверять веб-сайт производителя вашей IP-камеры безопасности на наличие обновленной прошивки, чтобы убедиться, что используемая вами версия не содержит неисправленной уязвимости.
Производители регулярно выпускают обновления прошивок и исправления системы безопасности, направленные на устранение уязвимостей, исправление ошибок и устранение других эксплуатационных проблем, чтобы система работала стабильно и надежно. В то время как организации понимают важность установки обновлений в операционных системах и приложениях, они часто упускают из виду обновления прошивок, на которых работает их оборудование. К сожалению, многие камеры не получают автоматических обновлений программного обеспечения и могут стать уязвимыми для взлома. Поэтому не забывайте периодически проверять наличие обновлений прошивки.
Своевременное обновление прошивок
Использование актуальной версии встроенного ПО в большинстве случаев гарантирует применение обновлений для защиты от всех недавно обнаруженных уязвимостей. Чем дольше система работает без актуальных обновлений, тем выше вероятность того, что изъяны в защите будут использованы злоумышленниками и что система, приложение или устройства будут взломаны.
Своевременно обновляя версии встроенного ПО в устройствах (прошивок), можно сократить общие риски, так как последние версии встроенного ПО будут включать обновления для всех известных уязвимостей, которыми могут воспользоваться хакеры.
Как это применить для CCTV?
Что нужно учесть, при планировании системы видеонаблюдения? Есть несколько базовых правил:
Защита на уровне коммутационного оборудования
- Средства ограничения доступа
Сюда можно отнести: фильтрацию по MAC-адресу с поддержкой «белых» списков, работу с VLAN, VPN, блокировку неиспользуемых портов;
- Средства шифрования
Некоторые коммутаторы могут сами шифровать приходящие данные и передавать их дальше на устройство, которое будет выполнять расшифровку приходящего потока.
- Средства аудита
Суть в том, что некоторые коммутаторы могут отслеживать попытки неразрешенного доступа или какие-то изменения в локальной сети и уведомлять о них администратора системы, например, по e-mail.
Возможности, предусмотренные производителями оборудования
IP-камеры и коммутаторы достаточно защищены. Реальный эффект тут определяется прежде всего компетенцией и добросовестностью инсталлятора, который должен выполнить предписания производителя – изменить «дефолтные» пароли и настройки, отключить неиспользуемые функции, проверить актуальность прошивки и тому подобное. Вот лишь некоторый перечень:
- отключение протокола Universal Plug and Play (UPnP) — это протокол, который позволяет приложениям и другим устройствам в вашей сети автоматически открывать и закрывать порты для соединения друг с другом
- защита IP камеры паролем и смена пароля по умолчанию (default) — если данная процедура не «зашита» в прошивку устройства производителем
- изменение пароля ONVIF
- обновление прошивки камеры
- изменение порта по умолчанию для HTTP и TCP (порты HTTP и TCP используются для удаленного доступа к сети и видео)
- включение шифрования HTTPS / SSL
- включение IP-фильтра на маршрутизаторе, чтобы только назначенный IP-адрес мог получить доступ к камере
- установление разрешения для учетной записи пользователя
- отключение SNMP, если данная функция не используется
- проверка журнала доступа на предмет несанкционированных попыток доступа
- при использовании wi-fi (что крайне не рекомендуется) — применяем шифрования WPA2 / AES
Меры физической защиты систем видеонаблюдения
- Использование запираемых телекоммуникационных шкафов. Особенно для коммутаторов доступа вне серверной и кроссовых
- Размещение серверного и важного коммутационного оборудования в выделенном запираемом помещении (серверной)
- Прокладка кабелей в труднодоступных местах
- Использование для прокладки и монтажа кабелей труб, закрытых лотков и боксов, монтажных коробок
- Использование оборудования в специальном антивандальном исполнении на особо ответственных участках или в легкодоступных местах
Что смотреть в характеристиках камер?
Как выбрать камеру видеонаблюдения, учитывая риски кибербезопасности системы видеонаблюдения? Вот некоторые советы, на что стоит обращать внимание:
Как организована защита паролем (Password protection)
Некоторые производители требуют от пользователя установить пароль администратора сразу после подключения к устройству. Для того чтобы у владельца камеры не было возможности проявить безответственность, система проверяет сложность комбинации, просит установить надежный пароль. Администратор может установить максимальное количество пользователей, одновременно заходящих в систему через веб-интерфейс.
Можно улучшить безопасность доступа в сеть, настроив RTSP-аутентификацию и WEB-аутентификацию. Зашифрованные алгоритмы RTSP-аутентификации и WEB-аутентификации: MD5, SHA256 и MD5/SHA256. При активации алгоритма Digest-аутентификации, за исключением MD5, сторонняя платформа может не иметь возможности войти в устройство или включить просмотр в режиме реального времени из-за проблем совместимости. Рекомендуется использовать зашифрованный алгоритм с высокой защитой.
С другой стороны, некоторые производители оставили баг в виде не удаляемых учетных записей, дающих полный доступ к камере. Такие прошивки использовать не рекомендуется.
Фильтрация IP адресов (IP address filtering)
Фильтрация IP-адресов является инструментом для контроля доступа. Можно включить фильтрацию IP-адресов, чтобы разрешить или запретить доступ с указанных IP-адресов.
Некоторые сетевые камеры и видеокодеры используют фильтрацию IP-адресов, предоставляя доступ к сетевым видеокомпонентам только с одного или нескольких IP-адресов. По своему действию фильтрацию IP-адресов можно сравнить со встроенным брандмауэром.
Эта технология подходит для проектов, где требуется более высокий уровень безопасности. Как правило, сетевую камеру необходимо настроить таким образом, чтобы она принимала команды только с IP-адреса сервера, на котором установлено ПО для управления видео.
Шифрование HTTPS (HTTPS encryption)
HTTPS является сетевым протоколом, включающим зашифрованную передачу и идентификацию протоколов аутентификации, который повышает безопасность удаленного доступа. Функция HTTPS обеспечивает безопасный доступ к веб-службам путем добавления аутентификации по сертификату цифровой подписи. Другими словами, протокол HTTPS надежно шифрует данные между веб-браузером и IP-камерой (или NVR, DVR).
Протокол SSL был разработан компанией Netscape и опубликован в 1994 г. Безопасность, обеспечиваемая протоколами SSL/TLS, базируется на трех основных элементах:
- аутентификация партнера по обмену данными;
- симметричное шифрование данных;
- защита от манипуляций с передаваемыми данными.
При осуществлении соединения SSL/TLS протокол квитирования связи определяет, какие методы шифрования должны использовать получатель и отправитель: алгоритмы шифрования, основные настройки, генераторы случайных чисел и т.д. Затем проверяется подлинность партнера по обмену данными: сервер Web идентифицируется браузером лишь после предоставления сертификата — своего рода удостоверения личности. Этот документ в двоичном формате обычно выпускается удостоверяющим центром VeriSign. Пользователи могут создавать собственные сертификаты для закрытых групп, таких как Web-сервер локальной сети, к которому имеют доступ только сотрудники компании.
На следующем этапе партнеры обмениваются предварительным (premaster) секретным кодом, который перед передачей на сервер шифруется при помощи общего ключа из сертификата сервера с привлечением метода асимметричного шифрования или алгоритма обмена ключами Диффи-Хеллмана. Обе стороны вычисляют главный (master) код локально и на его основе создают сеансовый ключ. Если сервер способен расшифровать эти данные и завершить выполнение предписанных протоколом процедур, то клиент может быть уверен, что у сервера имеется правильный частный ключ. Это самый важный этап в процессе аутентификации сервера, поскольку только сервер с частным ключом, соответствующим общему ключу в сертификате, в состоянии расшифровать полученные данные и продолжить процедуру согласования в рамках протокола.
Многие продукты сетевого видео имеют встроенную поддержку протокола HTTPS, что позволяет безопасно просматривать видеоизображение через браузер Web.
Наличие централизованного управления сертификатами (centralized certificate management)
HTTPS отличается от HTTP единственной ключевой особенностью — шифрованием передаваемых данных, которое осуществляется с помощью протокола безопасных соединений (SSL) или протокола защиты транспортного уровня (TLS). Существует несколько способов создания аутентификации по протоколу HTTPS. Вы можете либо создать самозаверяющую аутентификацию, либо использовать аутентификацию подписи сторонних центров сертификации.
Центр сертификации или центр сертификации (CA) — это организация, которая выдает цифровые сертификаты. Цифровой сертификат удостоверяет владение открытым ключом указанным субъектом сертификата. Это позволяет другим (проверяющим сторонам) полагаться на подписи или утверждения, сделанные в отношении закрытого ключа, который соответствует сертифицированному открытому ключу. Центр сертификации действует как доверенная третья сторона, которой доверяет как субъект (владелец) сертификата, так и сторона, полагающаяся на сертификат.
Система управления сертификатами безопасности предоставляет инструменты для эффективного внедрения и управления вашими сертификатами SSL/TLS. Оно позволяет автоматизировать управление всем жизненным циклом сертификатов SSL/TLS: от приобретения и выпуска до продления и отзыва. Используя эту систему, вы можете снизить риски безопасности, связанные с истекшими сертификатами, и обеспечить непрерывность операций.
Дайджест-аутентификация доступа (digest authentication)
При просмотре в режиме реального времени можно обезопасить поток данных, установив аутентификацию RTSP. Можно выбрать два типа аутентификации: если выбран digest («дайджест»), то получить доступ к видеопотоку по протоколу RTSP через IP-адрес можно только по запросу с дайджест-аутентификацией. По соображениям безопасности рекомендуется выбрать digest («дайджест») в качестве типа аутентификации.
Если необходимо включить службу HTTP, настройте HTTP-аутентификацию для повышения безопасности доступа. Можно выбрать два типа аутентификации. По соображениям безопасности рекомендуется выбрать digest («дайджест») в качестве типа аутентификации.
Дайджест-аутентификация связывает учетные данные в зашифрованной форме, применяя хеш-функцию к имени пользователя, паролю, предоставленному сервером значение nonce, методу HTTP и запрошенному URI. В то время как Basic Authentication использует незашифрованную кодировку base64.
Управление доступом к сети IEEE 802.1X (EAP-TLS) (IEEE 802.1X (EAP-TLS) network access control)
Одним из наиболее популярных и безопасных методов аутентификации для беспроводных сетей является стандарт IEEE 802.1X. С его помощью осуществляется аутентификация устройств, подключенных к портам локальной сети, установление прямого соединения («точка-точка») или блокирование доступа через порт в случае неудачной аутентификации. Стандарт 802.1X часто называют контролем доступа к сети на базе портов, потому что он позволяет предотвратить хищение данных, когда злоумышленник пытается получить доступ в сеть неавторизованного компьютера путем подсоединения к сетевому разъему внутри или вне здания.
В стандарте 802.1X предусмотрена аутентификация на трех уровнях: проситель, аутентификатор и аутентификационный сервер. Проситель (supplicant) соответствует устройству сети, например, сетевой камере, которой необходим доступ к сети.
В качестве аутентификатора (authenficator) может выступать коммутатор или точка доступа. Логические порты аутентификатора разрешают передачу видеоданных от запрашивающего устройства после его идентификации. Функции аутентификационного сервера (authenficating server), на котором осуществляется аутентификация других серверов, обычно выполняет специальный сервер, выделенный для этих целей в локальной сети.
Аутентификационный сервер, например, Microsoft Internet Authentication Service, называется службой дистанционной аутентификации пользователей по коммутируемым линиям (RADIUS). Если устройству необходимо получить доступ к сети, оно запрашивает разрешение через аутентификатор, который, в свою очередь, перенаправляет запрос на аутентификационный сервер. Если аутентификация прошла успешно, сервер отправляет аутентификатору команду предоставить доступ к сети для ожидающего разрешения сервера.
Поддержку стандарта 802.1X часто встраивают в сетевые камеры и видеокодеры. Такая поддержка полезна, когда сетевые камеры расположены в общественных местах (в офисных приемных, коридорах, в комнатах для переговоров) или даже вне помещений. При ее отсутствии риск злонамеренного подключения к сетевому разъему, находящемуся в легкодоступном месте, очень высок. В современных корпоративных сетях, где внутренним пользователям и внешним партнерам постоянно требуется доступ к данным, реализация стандарта 802.1X становится основным требованием для любых подключаемых к сети компонентов.
Таким образом, стандарт 802.1X обеспечивает защиту на базе портов, при этом в процессе участвуют запрашивающее устройство (например, сетевая камера), аутентификатор (например, коммутатор) и аутентификационный сервер.
Наличие журнала доступа пользователя (user access log)
В соответствии с заводской установкой, в user access log регистрируются все неудачные попытки доступа к камере, однако можно изменить настройку и регистрировать в журнале все попытки установить связь с камерой, успешные или нет. Журнал доступа можно использовать в разных целях, например, для отслеживания всех попыток доступа к камере, системного анализа и поиска и устранения неисправности.
Защита от брутфорса или атаки полным перебором (brute force delay protection)
Brute force — это попытка подобрать пароль или ключ шифрования. Метод заключается в последовательном переборе разных комбинаций символов до тех пор, пока одна из них не подойдёт. Поиск пароля ведётся не вручную: для этого используются специальные программы и сервисы.
На уровне производителя можно ограничить количество попыток ввода пароля. Например, после трёх неудачных попыток система блокирует возможность входа на несколько минут или часов. Данный метод не является панацеей от кибератак, но даёт возможность вовремя выявить угрозу и оповестить пользователя о попытке взлома.
Безопасные обновления прошивки с помощью подписи кода (signed firmware)
В процессе производства камере видеонаблюдения присваивается уникальный сертификат IEEE 802.1AR-compliant с идентификатором устройства на заводе-изготовителе. Это работает как паспорт, чтобы доказать происхождение устройства. Идентификатор устройства надежно и постоянно хранится в безопасном хранилище ключей как сертификат, подписанный корневым сертификатом производителя камеры. Идентификатор устройства может быть использован ИТ-инфраструктурой заказчика для автоматической установки защищенного устройства и идентификации защищенного устройства.
Защищенная загрузка прошивки камеры (secure boot)
Защищенная загрузка (secure boot) прошивки камеры обеспечивает непрерывную цепочку криптографически проверенного программного обеспечения, начиная с неизменяемой памяти (загрузочное ПЗУ). Защищенная загрузка (secure boot) гарантирует, что перепрошить устройство может только прошивкой с подписью производителя камеры. С подписанной прошивкой устройство также может проверить новую прошивку, прежде чем принять её установку. Если устройство обнаружит, что целостность прошивки нарушена или прошивка не подписана производителем, обновление прошивки будет отклонено. Это защищает устройства от подделки встроенного ПО.
Защита видеопотока от редактирования цифровой подписью (signed video)
Суть проблемы — подтверждение аутентичности записи для использования в качестве юридически значимого доказательства, в том числе при судебных разбирательствах. Особенно актуальным это стало с распространением технологий Deepfake. У большинства программного обеспечения по созданию дипфейков открытый исходный код, что дает возможность работать с дипфейками даже небольшим компаниям. Проектов достаточно много. Это, например, Wombo, Аvatarify, FaceApp, Reface, MyHeritage и многие другие.
К концу 2021 года Axis запустила проект с открытым исходным кодом для видеоаутентификации, чтобы гарантировать целостность записи. Это была общая реализация и фреймворк, помогающий применять информацию о цифровой подписи в видеопотоке и проверять ее. В AXIS OS 10.11 Axis создала собственное приложение с помощью этого фреймворка.
Подписанное цифровой подписью видео добавляет криптографические подписи к захваченному видео как часть формата видеокодека (H264 и H265) с использованием кадров SEI.
- Функция собирает информацию из предыдущих кадров и подписывает ее с помощью закрытого ключа шифрования. Затем пакетирует полученную подпись вместе с некоторой дополнительной информацией.
- Для проверки пользователь может проверить информацию, используя подпись и соответствующий открытый ключ.
- Открытый ключ уже присутствует в кадрах SEI и защищен посредством аттестации, поэтому видео является самопроверяемым.
Аппаратные платформы кибербезопасности (например Axis Edge Vault, Axis device ID)
Защита сетевых продуктов от киберугроз является ключом к защите данных и систем в вашей сети. Поэтому важно, чтобы устройства поставлялись со встроенными элементами управления и функциями безопасности, чтобы вы могли быть уверены, что они защищены на протяжении всего жизненного цикла. Пример — устройства Axis созданы с использованием Axis Edge Vault. Эта аппаратная платформа кибербезопасности поддерживает различные варианты использования, чтобы минимизировать подверженность клиентов рискам кибербезопасности.
Axis Edge Vault включает в себя различные функции для поддержки этих вариантов использования и обеспечения защиты вашего устройства изнутри и снаружи. Например, подписанная ОС гарантирует, что программное обеспечение устройства на вашем устройстве от Axis и что могут быть установлены только подписанные обновления программного обеспечения. А безопасная загрузка гарантирует, что устройство работает только с подписанной ОС. Идентификатор устройства Axis ( Axis device ID) обеспечивает безопасную идентификацию устройства и подключение к сети. Этот идентификатор устройства и другие ключи хранятся в защищенном хранилище ключей устройства — даже если они используются для расшифровки данных. А подписанное видео позволяет проверить, были ли подделаны видеозаписи или нет.
Наличие безопасного хранилища ключей (secure keystore CC EAL4 certified)
Используемые для защиты информации ключи и сертификаты также нужно надежно защитить. Для этих целей используется keystore — хранилище сертификатов и ключей.
Keystore — это специализированное хранилище секретных данных, которое используется Java-приложениями для шифрования
аутентификации и установки HTTPS соединений. Так, для аутентификации клиента и сервера, устанавливающих SSL (Secure Sockets Layer — уровень защищённых cокетов) соединение, требуются приватные ключи и сертификаты. Если используется односторонняя аутентификация, то keystore используется только на серверной стороне. При двусторонней аутентификации клиент и сервер обмениваются сертификатами; соответственно и у сервера, и у клиента должны быть keystore с парой ключей private/public + сертификат. Иными словами keystore используется для хранения ключей и сертификатов, применяемых для идентификации владельца ключа (клиента или сервера).
Модули криптографических вычислений могут быть сертифицированы с использованием общих уровней оценки критериев (CC EAL), а также уровней соответствия FIPS 140 (1-4). Эти сертификаты используются для определения правильности и целостности криптографических операций и проверке различных мер противодействия взлому. Axis требует, чтобы ее встроенные аппаратные криптографические вычислительные модули были сертифицированы, по крайней мере, в соответствии с Common Criteria EAL4 и/или FIPS 140-2/3 уровня 2.
Сертификация криптографического вычислительного модуля (FIPS 140-2 certified)
FIPS (Federal Information Processing Standard) 140-2 и 140-3 — стандарты информационной безопасности для модулей криптографических вычислений, выпущенные в США NIST (National Institute of Standards and Technology). FIPS 140-3 заменил FIPS 140-2 в 2019 году в качестве обновленной версии. Проверка сертифицированной NIST испытательной лабораторией гарантирует, что модульная система и криптография модуля правильно реализованы. Сертификация требует описания, спецификации и проверки криптографического вычислительного модуля, утвержденных алгоритмов, утвержденных режимов работы и тестов на включение.
Что ещё почитать?
Очевидно, что перечисленные выше меры могут быть эффективными только в комплексе, при наличии в организации, эксплуатирующей систему видеонаблюдения — политики в области кибербезопасности предприятия в целом, включая и системы безопасности. Вот ряд международных стандартов, описывающих создание такой политики:
Серия стандартов ISO/IEC 27000
ISO/IEC 27001, часть растущего семейства стандартов ISO/IEC 27000 , представляет собой стандарт системы управления информационной безопасностью (ISMS), последняя редакция которого была опубликована в октябре 2022 года Международной организацией по стандартизации (ISO) и Международным Электротехническая комиссия (МЭК). Его полное название — ISO/IEC 27001:2022 — Информационная безопасность, кибербезопасность и защита конфиденциальности — Системы управления информационной безопасностью — Требования.
Данный стандарт узаконен в РФ — ГОСТ Р ИСО/МЭК 27001-2021 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (аутентичный перевод ISO/IEC ISO 27001:2013).
ГОСТ Р ИСО/МЭК 27001-2021 состоит из двух частей – основной текст стандарта и приложение А. Основной текст стандарта состоит из разделов, которые легко сопоставляются с фазами цикла PDCA, а приложение А содержит структурированный по доменам перечень мер безопасности.
Цикл PDCA состоит из следующих фаз: планирования (Plan), исполнения (Do), проверки (Check) и корректировки (Act).
В ходе фазы планирования организация определяет:
- Требования к СМИБ со стороны внешних и внутренних сторон, которые в итоге задают границы системы менеджмента.
- Политику ИБ.
- Роли и обязанности в области ИБ.
- Процессы оценки и обработки рисков.
- Задачи по ИБ.
- Документы СМИБ.
- Ресурсы, необходимые для функционирования СМИБ.
В ходе фазы исполнения организация обеспечивает:
- Функционирование процессов ИБ.
- Выполнение задач по ИБ.
- Оценку рисков.
- Обработку рисков.
В ходе фазы проверки организация осуществляет:
- Мониторинг деятельности в области ИБ.
- Проведение внутренних аудитов.
- Контроль со стороны руководства.
В ходе фазы корректировки организация осуществляет:
- Выполнение корректирующих действий по устранению выявленных на предыдущей фазе несоответствий.
- Улучшение СМИБ.
В приложении А представлены меры безопасности, сгруппированные по следующим доменам:
- Политики информационной безопасности.
- Организация деятельности по информационной безопасности.
- Безопасность, связанная с персоналом.
- Менеджмент активов.
- Управление доступом.
- Криптография.
- Физическая безопасность и защита от воздействия окружающей среды.
- Безопасность при эксплуатации.
- Безопасность системы связи.
- Приобретение, разработка и поддержка систем.
- Взаимоотношения с поставщиками.
- Менеджмент инцидентов информационной безопасности.
- Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации.
- Соответствие требованиям.
NIST Cybersecurity Framework
NIST Cybersecurity Framework — это набор руководств по снижению организационных рисков кибербезопасности , опубликованных Национальным институтом стандартов и технологий США (NIST) на основе существующих стандартов, руководств и практик.
NIST Cybersecurity Framework распределяет свой «основной» материал по пяти «функциям», которые подразделяются в общей сложности на 23 «категории». Для каждой категории он определяет ряд подкатегорий результатов кибербезопасности и средств контроля безопасности, всего 108 подкатегорий.
Идентифицировать
- Управление активами (ID.AM): данные, персонал, устройства, системы и оборудование, которые позволяют организации достигать поставленных целей, идентифицируются и управляются в соответствии с их относительной значимостью для достижения бизнес-целей и стратегии управления рисками организации.
- Деловая среда (ID.BE): миссия, цели, заинтересованные стороны и направления деятельности организации понятны и имеют приоритетное значение; эта информация используется для определения ролей, обязанностей и решений по управлению рисками в сфере кибербезопасности.
- Управление (ID.GV):- Политики, процедуры и процессы управления и контроля за соблюдением нормативных, правовых, экологических и операционных требований организации, а также требования к управлению рисками в области кибербезопасности понятны и учитываются при управлении рисками кибербезопасности.
- Оценка рисков (ID.РА): Организация осознает риски, связанные с кибербезопасностью, для своей деятельности (включая миссию, функции, имидж или репутацию), для своих активов и сотрудников.
- Стратегия управления рисками (ID.RM): Определяются и используются приоритеты, ограничения, допустимые риски и предположения организации для принятия решений по операционным рискам.
- Управление рисками в цепочке поставок (ID.SC): Определяются и используются приоритеты, ограничения, допустимые риски и предположения организации для принятия решений, связанных с управлением рисками в цепочке поставок. В организации действуют процессы по выявлению, оценке и управлению рисками в цепочке поставок.
Защищать
- Контроль доступа (PR.AC): доступ к активам и связанным с ними объектам ограничен для авторизованных пользователей, процессов или устройств, а также для авторизованных действий и операций.
- Повышение осведомленности и обучение (PR.AT): Персонал организации и ее партнеры проходят обучение по повышению осведомленности в области кибербезопасности и получают соответствующую подготовку для выполнения своих обязанностей по обеспечению информационной безопасности в соответствии с соответствующими политиками, процедурами и соглашениями.
- Защита данных (PR.DS): управление информацией и записями (данными) осуществляется в соответствии со стратегией организации по управлению рисками для обеспечения конфиденциальности, целостности и доступности информации.
- Процессы и процедуры защиты информации (PR.IP): политики безопасности (которые определяют цели, область применения, роли, обязанности, обязательства руководства и координацию между структурными подразделениями организации), процессы и процедуры поддерживаются и используются для управления защитой информационных систем и ресурсов.
- Техническое обслуживание (PR.MA): Техническое обслуживание и ремонт компонентов промышленных систем управления и информационных систем осуществляются в соответствии с правилами и процедурами.
- Технологии защиты (PR.PT): Управление техническими решениями по обеспечению безопасности и надежности систем и активов осуществляется в соответствии с соответствующими политиками, процедурами и соглашениями.
Обнаруживать
- Аномалии и происшествия (DE.AE): Аномальная активность выявляется своевременно, и возможные последствия происшествий анализируются.
- Непрерывный мониторинг безопасности (DE.CM): информационная система и ресурсы контролируются через определенные промежутки времени для выявления событий, связанных с кибербезопасностью, и проверки эффективности защитных мер.
- Процессы обнаружения (DE.DP): процессы и процедуры обнаружения отслеживаются и проверяются для обеспечения своевременного и адекватного реагирования на аномальные события.
Ответить
- Планирование реагирования (RS.RP): процессы и процедуры реагирования выполняются и поддерживаются в рабочем состоянии для обеспечения своевременного реагирования на выявленные события, связанные с кибербезопасностью.
- Коммуникации (RS.CO): Действия по реагированию координируются с соответствующими внутренними и внешними заинтересованными сторонами, включая внешнюю поддержку со стороны правоохранительных органов.
- Анализ (RS.AN): Анализ проводится для обеспечения надлежащего реагирования и поддержки восстановительных работ.
- Смягчение последствий (RS.MI): проводятся мероприятия по предотвращению распространения события, смягчению его последствий и устранению причин инцидента.
- Совершенствование (RS.IM): организационные меры реагирования улучшаются за счет использования опыта, полученного в ходе текущих и предыдущих мероприятий по обнаружению и реагированию.
Восстановить
- Планирование восстановления (RC.RP): процессы и процедуры восстановления выполняются и поддерживаются в рабочем состоянии для обеспечения своевременного восстановления систем или ресурсов, пострадавших в результате кибератак.
- Усовершенствования (RC.IM): планирование и процессы восстановления улучшаются за счет учета извлеченных уроков при проведении будущих мероприятий.
- Коммуникации (RC.CO): восстановительные работы координируются с внутренними и внешними организациями, такими как координационные центры, провайдеры интернет-услуг, владельцы атакующих систем, пострадавшие, другие группы реагирования на компьютерные инциденты и поставщики.
Выводы
Камеры видеонаблюдения различных брендов могут быть идентичными по своим заявленным техническим характеристикам. Но соврменные IP системы видеонаблюления — обладают всеми уязвимостями IoT устройств и требуют комплексного подхода по защите от киберугроз. За внешней привлекательностью соотношения цена / качества — могут скрываться внутренние проблемы производителя по контролю качества программного обеспечения — в ключая прошивки IP камер, что приводит в появлению т.н. бэкдоров (backdoor). Оценить уровень софта сложнее, чем физического «железа», что приводит к недооценке угроз, исходящих от некачественных прошивок (часто китайских производителей камер, заслуживших популярность низкой ценой и широким функционалом своих устройств). Поэтому важно понимать, на что следует обращать внимание при выборе камер видеонаблюдения, сетевого и серверного оборудования для систем видеонаблюдения — для защиты от киберугроз.
Мы успели рассмотреть лишь некоторые аспекты, но я призываю относится к кибербезопасности серьезно, в том числе — выбирая оборудование и инсталляторов. Обучая собственный персонал для эксплуатации систем. И вырабатывая общую политику в области информационной безопасности предприятия в целом.
- Кибербезопасность в камерах видеонаблюдения
- Что такое плотность пикселей?
- Аналитика «на борту» видеокамер
- Уход брендов и санкции: тренды рынка видеонаблюдения в 2023
- ГОСТы на проектирование «пожарки»