Рубрикатор |
Блоги | Владимир ИЛИБМАН |
Насколько безопасны системы физической безопасности?
23 июля 2013 |
Внимание привлекла свежая новость на SecurityLab о том, что по результатам исследования Интернет партии Украины, 82% украинских систем видеонаблюдения уязвимы перед киберугрозами http://www.securitylab.ru/news/442320.php. Опустим вопросы политики и легальности методов подобного исследования (в конце концов, никто ведь не отменял статью 361 УК Украины). Сфокусируемся на последствиях и причинах уязвимостей систем физической безопасности.
Последствия взлома систем видеонаблюдения могут быть весьма печальны. Начиная от утечки персональной информации, коммерческой тайны, заканчивая нарушением работы систем жизнеобеспечения, которые ставят под угрозу жизнь и здоровье граждан. Ведь сейчас достаточно часто система виденаблюдения является частью единой системы автоматизации и безопасности здания (BMS – building management system), а нарушения работы системы контроля доступа и пожарной безопасности могут иметь травматические последствия для людей.
Причин массовых уязвимостей систем видеонаблюдения много, но основная причина одна: при внедрении новых систем физической безопасности и видеонаблюдения с использованием IP-протокола зачастую не учитываются сетевые и IT-угрозы. Это же явление наблюдается при переходе с традиционных аналогово-цифровых систем на современное IP-видеонаблюдение.
Ситуация с уязвимостями физической безопасностью напоминает известную многим ситуацию с безопасностью IP-телефонии: систему телефонии переводили с TDM на IP, но про сопутствующие IT-риски часто забывали. Как следствие, могло иметь место мошенничество со звонками или нарушение доступности телефонии.
Системы видеонаблюдения выбираются, разрабатываются и внедряются департаментами физической безопасности, которые обычно достаточно далеки от анализа современных IT-угроз. IT и IT-безопасность в лучшем случае привлекаются на этапах подключения систем в сеть предприятия. Иногда даже для видеонаблюдения строятся отдельные каналы связи и отдельный выход в Интернет, которые также редко защищают по стандартам предприятия. Эксплуатация данных систем тоже осуществляется независимо от IT-процессов. А как следует из упомянутого исследования, уязвимости видеонаблюдения часто связаны с уязвимостями ОС общего назначения, на которых установлено специализированное ПО.
Риторический вопрос «Что делать?»
Во-первых, необходимо организационно вовлекать IT-специалистов и службу информационной безопасности к проектам по IP-видеонаблюдению. Ведь IP-видеонаблюдение — это еще один сервис сети, и если разложить этот сервис на компоненты: IP-камеры, сеть, ОС, ПО видеонаблюдения, система хранения, базу данных, периметр подключения в корпоративную сеть и Интернет – то окажется, что потенциальные риски и уязвимости большинства этих компонент стандартны. И как следствие, меры защиты давно наработаны и известны. Очень много серверов видеонаблюдения работают поверх уcтаревших Windows 2000/2003. Простая установка патчей на Windows закрывает значительную часть уязвимостей. Здесь нужно отметить, что Сisco в продуктах для физической безопасности изначально использовала в качестве ОС Linux, для которой опубликовано меньшее количество уязвимостей в сравнении с указанными Windows .
Во-вторых, необходимо учитывать рекомендации вендоров систем видеонаблюдения: каким образом безопасно установить, настроить и поддерживать видеонаблюдение на протяжении всего жизненного цикла. В качестве примера могу привести презентацию с рекомендациями Cisco по построению безопасного видеонаблюдения .
Важно, что большинство из приведенных в презентации рекомендаций и дизайнов являются вендоро-независимыми и применимы при построении видеонаблюдении с использованием решений любого современного вендора видеонаблюдения.
Также в качестве ценного источника информации для сетевых инженеров при внедрении видеонаблюдения можно порекомендовать документ, который поможет оценить готовность сети и сетевой безопасности к внедрению IP-видеонаблюдения и выработать требования к сетевой инфраструктуре.
В-третьих, необходимо регулярно проводить аудит безопасности систем видеонаблюдения на предмет уязвимостей ПО, ошибок конфигураций, старых “забытых” административных учетных записей и прочего.
Для этого, наряду со сканерами уязвимостей общего назначения (которых великое множество), можно порекомендовать специализированные утилиты, такие как VideoJak и UCSniff.
Согласитесь, лучше найти уязвимости собственного видеонаблюдения самостоятельно, чем узнать о взломе своей системы из новостей :)
P.S. Когда уже написал эту заметку, появилась еще одна новость про безопасность или небезопасность систем видеонаблюдения. Будьте внимательны!
Источник: Блог Cisco. Россия и СНГ
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.