Алгоритм Безапосности: издание для профессионалов
Санкт-Петербург:
тел./факс: (812) 331-12-60 office@algoritm.org
Москва:
тел./факс: (499) 641-05-26moscow@algoritm.org

Главная
Новости
О журнале
Архив
Свежий номер
Реклама
Подписка
Контакты
Сотрудничество
 

Если вы хотите стать распространителем нашего журнала

 
 
 
 
 

"Алгоритм Безопасности" № 5, 2017 год.

Содержание

Кибербезопасность сетевого видеонаблюдения: теория и практика
А.А. Полевщиков


КИБЕРБЕЗОПАСНОСТЬ СЕТЕВОГО ВИДЕОНАБЛЮДЕНИЯ: ТЕОРИЯ И ПРАКТИКА

Полевщиков Антон Александрович
менеджер направления системы видеонаблюдения Bosch

Системы видеонаблюдения, вступив в клуб сетевых решений, получили вместе с клубной картой, позволяющей строить распределенные системы с возможностью удаленного доступа, облачными сервисами и широкими возможностями по интеграции с другими системами, и проблемы, свойственные сетям, в первую очередь, уязвимость данных и устройств.

Для осознания важности качественной информационной защиты системы видеонаблюдения стоит отметить, что развитие сетевого видеонаблюдения происходит стремительно: фактически, можно говорить не просто о сетевых видеосистемах, а об Интернете вещей (IoT). Современные устройства системы видеонаблюдения автономны, «на борту» возможно и хранение, и обработка полученной информации, они способны коммуницировать друг с другом и оказывать влияние на принятие решений. А это значит, видеосистемы должны соответствовать требованиям информационной безопасности, как полноценный участник IT-инфраструктуры.

Настоящая статья посвящена практическим рекомендациям по организации защиты данных при построении и эксплуатации сетевых систем видеонаблюдения. Кому адресована эта статья? Во-первых, заказчику, от которого требуется понимание задачи информационной защищенности системы и, следовательно, выделение на ее решение должного внимания и финансовых ресурсов. Во-вторых, интегратору, который помимо понимания проблемы, знаний в области проектирования и построения систем видеонаблюдения должен обладать компетенцией в области проведения экспертизы и анализа существующих угроз. В-третьих, производителю оборудования, понимающему необходимость информационной защищенности систем и своевременно позаботившемуся о реализации необходимых механизмов информационной защиты.

Устройства систем видеонаблюдения в локальных и глобальных сетях становятся более взаимосвязанными. Они больше не изолированы. Все большее число сетевых камер отправляет данные через Интернет, где хозяйничают хакеры и злоумышленники. И как показывает практика, даже организация выделенной сети для подсистемы видеонаблюдения не спасает от киберугроз. Современные инструменты киберпреступников позволяют взламывать устройства различными путями, и эти методы постоянно совершенствуются. Несанкционированный доступ к конфиденциальным данным, который когда-то означал взлом сейфа или кражу устройства, теперь означает вторжение или атаку на сетевую инфраструктуру в Интернете, в облаке или локальной сети. И даже если данные, хранящиеся в системе видеонаблюдения, не имеют высокой ценности, целью хакеров могут быть сами устройства как вычислительный ресурс. Многочисленные примеры кибератак, все чаще упоминающиеся в СМИ, показывают, что преступники могут использовать захваченные устройства систем видеонаблюдения, например, для майнинга криптовалюты или как botnet-сеть для DDoS атак и спам-рассылок. Постановка вопроса о кибербезопасности изменилась: формулировка «Произойдет ли это?» поменялась на «Когда это произойдет?».

Решение задачи информационной безопасности должно начинаться с понимания видов угроз, анализа методов нападения и дальнейшего применения наиболее эффективных инструментов защиты.

Мы можем выделить три основных типа угроз для систем видеонаблюдения:

■ взлом для получения доступа к данным;

■ взлом для перехвата управления или отключения системы;

■ взлом с целью несанкционированного использования вычислительных мощностей системы.

На стадии анализа уязвимости системы необходимо учесть, что системы видеонаблюдения могут использоваться, в том числе, для решения технологических задач и организации бизнес-процессов предприятия. Поэтому возможной целью злоумышленников может быть другая система, а оборудование системы видеонаблюдения может использоваться как промежуточный этап атаки. Кроме того, система видеонаблюдения, как правило, интегрирована с другими подсистемами безопасности и системами автоматизации. Фактически, вопрос об информационной защищенности системы видеонаблюдения переходит в задачу защиты всех систем, в которые она либо интегрирована либо с которыми обменивается данными.

ЧТО НУЖНО, ЧТОБЫ ОБЕСПЕЧИТЬ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ВИДЕОНАБЛЮДЕНИЯ?

Прежде всего, это должен быть комплексный подход к защите системы безопасности, включающий всю инфраструктуру, состоящую из камер, серверов, клиентских рабочих мест, устройств хранения данных, сетевых протоколов и инфраструктуры управления ключами. Сосредоточение внимания лишь на одном элементе, например, на камерах, будет недостаточным. Комплексный подход является ключом к реализации надежно защищенной системы видеонаблюдения. Существуют четыре важных этапа, на которые необходимо обратить внимание при построении безопасной системы видеонаблюдения:

1. Создание доверенной инфраструктуры. Необходимо учитывает безопасность не только камер, но и всей инфраструктуры, поскольку хакерам достаточно одного единственного слабого места, чтобы получить доступ ко всей системе. Защищенная связь между камерами и сетевыми компонентами обеспечивается путем назначения каждому элементу ключа аутентификации. Эта электронная подпись служит для проверки всех компонентов - от камер до управляющего ПО или клиента. Устройства поддерживают аутентификацию на основе имени пользователя и пароля (IEEE 802.1x). В дополнение к IEEE 802.1x. может использоваться EAP-TLS, что обеспечивает безопасность всего процесса аутентификации.

2. Защита данных. Когда речь заходит о защите данных видеонаблюдения, шифрование потоков данных и сохраненной информации имеет первостепенное значение. Эффективный вариант реализации шифрования на аппаратном уровне - это использование во всех IP-камерах и записывающих устройствах доверенного платформенного модуля (TPM). Он является надежным хранилищем криптографических ключей для защиты данных. Даже в случае взлома устройства злоумышленники не смогут воспользоваться извлеченной из него информацией. Когда данные попадают в управляющее или клиентское ПО, криптографический ключ помогает расшифровать данные, а также подтверждает, что камера - аутентифицированный сетевой партнер.

3. Управление правами доступа пользователя. Степень конфиденциальности данных видеонаблюдения может варьироваться от не секретной до совершенно секретной. Но даже сети с надежными устройствами и безопасными каналами передачи данных могут стать жертвами человеческой ошибки. Вот почему надежные видеосистемы предлагают варианты управления личными правами доступа пользователей и поддерживают существующие отраслевые стандарты, такие как Microsoft Active Directory.

4. Соответствие отраслевым стандартам. В мире, где почти все взаимосвязано, защита данных требует всеобщих усилий. Поэтому решения для информационной защиты систем видеонаблюдения должны соответствовать ведущим отраслевым стандартам инфраструктуры открытых ключей (PKI). Возможны варианты использования собственных PKI-решений производителя с собственным сертификационным центром (CA) либо поддержка сторонних PKI-решений.

Еще раз остановимся на том, что такое комплексный подход. Необходима защита всех основных элементов инфраструктуры видеонаблюдения:

A) Камеры (оконечные устройства) Защита доступа посредством надежного пароля и управления правами доступа пользователей; аутентификация всех устройств в сети (через сертификаты безопасности).

B) Серверы, клиентские рабочие места и устройства хранения данных (основные компоненты) Аутентификация устройства при подключении и «проверка подлинности видео» для передаваемого и записанного видео. Шифрование записанных данных.

C) Каналы передачи данных Шифрование при передаче данных в соответствии с отраслевыми стандартами.

D) Инфраструктура сертификатов безопасности

Поддержка существующих стандартов информационной безопасности -например, инфраструктуры открытых ключей (PKI) - посредством политик и процедур, необходимых для создания, управления, распространения, использования, хранения и отзыва сертификатов безопасности.

Рис. 1. Обеспечение комплексной безопасности данных

ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ

Наметив основные направления решения задачи, перейдем к практическим рекомендациям по организации должной защиты данных в системе видеонаблюдения, которые, по нашему опыту, будут полезны как конечному заказчику, так и интегратору:

■ Одной из первостепенных мер по ограничению возможностей внешних кибератак на систему, осуществляемых несанкционированными локально подключенными сетевыми устройствами, является ограничение числа доступных неиспользуемых IP-адресов. Это можно сделать с помощью IPAM или Управления IP-адресами (IP Address Management), совместно с разбитием на подсети диапазона IP-адресов, который будет использоваться.

■ Даже до использования управления IP-адресами для отслеживания использования IP-адресов передовой методикой в управлении сетями является ограничение доступа к сети через безопасность портов на граничных коммутаторах, например, только конкретный MAC-адрес может получить доступ через конкретный порт.

■ Пароли являются важнейшим элементом защиты данных от потенциальных кибератак. Это относится ко всем устройствам во всей вашей инфраструктуре безопасности. Большинство организаций уже имеют действующие строгие правила в отношении паролей, но если вы работаете с новой системой, не имея таких правил, рекомендуем вам ознакомиться с общепринятыми требованиями к защитным паролям:

■ пароли должны быть от 8 до 12 символов длиной;

■ пароли должны содержать буквы как верхнего, так и нижнего регистра;

■ пароли должны содержать как минимум один специальный символ;

■ пароли должны содержать как минимум одну цифру.

Если заказчику требуется дополнительно повысить уровень защищенности - можно отказаться от паролей в камере и полностью перейти на использование сертификатов. То есть любой клиент или сервер, который обращается к камере, будет предъявлять ей свой сертификат. Проверив его, камера подтвердит либо отклонит доступ:

■ При настройке устройства убедитесь, что все порты и протоколы, допускающие более низкий уровень доступа, выключены или деактивированы.

■ Отключение и перенаправление портов HTTP или HTTPS имеет свои преимущества. Изменение порта любого из протоколов уменьшает возможность предоставления информации средствам сканирования сети, таким как NMAP (Network Mapper, бесплатный сканер безопасности). Этот способ в сочетании с назначением надежного пароля повышает общий уровень безопасности системы.

■ Последнее время число кибератак с использованием протокола Telnet возросло. В современных условиях рекомендуется деактивация поддержки Telnet на всех устройствах до тех пор, пока протокол не потребуется для ремонта или устранения неполадок.

■ В последнее время появляется все больше сообщений о кибератаках с использованием буферных атак с помощью переполнения стека RTSP. Эти атаки были нацелены на устройства конкретных поставщиков. Рекомендуемой методикой защиты является отключение этого сервиса, если он не используется системой управления видео в рамках стандарта ONVIF или для базовой потоковой передачи в режиме реального времени. Кроме того, если это поддерживается клиентским ПО, канал связи RTSP может быть туннелирован с использованием HTTPS-подключения, которое является надежным способом передачи шифрованных данных RTSP.

■ UPnP не следует использовать в крупных системах в связи с большим числом уведомлений о регистрации и потенциальным риском нежелательного доступа или атаки.

■ При настройке IP-видеоустройства для многоадресного использования необходимо изменить TTL-пакет. При работе с данными видеонаблюдения рекомендуется установить значение TLL равным 15. Если вы знаете точное максимальное число переходов, рекомендуется использовать его в качестве значения TTL.

■ SNMPvl и SNMPv2c оказались под угрозой в связи с отсутствием в них функций обеспечения безопасности. Они используют только «строки сообщества» в качестве паролей, которые передаются в виде открытого текста. Таким образом, SNMPvl или SNMPv2c следует использовать только тогда, когда есть гарантия, что сеть физически защищена от несанкционированного доступа. Убедитесь, что SNMP отключен, если вы его не используете. Рекомендуется использовать SNMPv3.

■ Убедитесь, что введенный IP-адрес сервера времени имеет стабильную и надежную временную базу. В дополнение к протоколу времени и протоколу SNTP (оба протокола являются незащищенными) возможно использовать режим клиента сервера времени, использующий протокол TLS. Этот метод также широко известен как TLS-Date.

■ Если это применимо, используйте VPN или VLAN. Они повышают уровень безопасности системы видеонаблюдения в существующей IT-инфраструктуре.

■ Помимо защиты системы от несанкционированного доступа в совместно используемой IT-инфраструктуре, необходимо уделить внимание тому, кто имеет право подключаться к этой сети вообще. Для этого:

- отключить неиспользуемые порты коммутаторов;

- все IP-видеоустройства можно настроить как клиенты 802.1x для проверки подлинности с сервером и участия в защищенной сети;

- 802.1x может использовать EAP-TLS для обеспечения безопасной связи. EAP-TLS поддерживает взаимную проверку подлинности сертификатов и формирование ключей.

■ Сертификаты следует использовать для авторизации одного устройства. Рекомендуется создавать сертификаты для каждого устройства на основе главного сертификата.

■ Ключи и сертификаты необходимо хранить в защищенном чипе, также называемом «Доверенный платформенный модуль» или кратко модуль TPM. Этот чип выступает в качестве сейфа для важнейших данных; он защищает сертификаты, пароли, лицензии и т. д. от несанкционированного доступа, даже если камера подвергается физическому вскрытию.

На что же можно опираться при проектировании и построении защищенной системы?

На сегодняшний день имеет смысл обратиться к опыту квалифицированных производителей, а также к законодательству европейских стран. Защита данных в ЕС регламентируется правилами общей защиты данных GDPR General Data Protection Regulation (https://gdpr-info.eu), которое было принято Европейским парламентом и Европейским советом 27 апреля 2016 года. Новый Европейский закон по защите данных будет приниматься 25 мая 2018 года и заменит ранее действующую Директиву по защите данных.

К сожалению, в России вопросы информационной защиты для систем видеонаблюдения еще только формируются. В октябре 2017 года принят основополагающий закон «О безопасности критической информационной инфраструктуры РФ». Закон вводит классификацию объектов критической информационной инфраструктуры и предполагает создание реестра таких объектов. В документе указаны права и обязанности как владельцев объектов, так и органов, которые эти объекты защищают. Закон вступит в силу 1 января 2018.

Заинтересованные участники должны объединить свои усилия на каждом объекте, причем еще на стадии проектирования. И многие решения уже сейчас должны приниматься на государственном уровне и в профессиональных сообществах.

скачать
скачать

 

Rambler's Top100 Интернет портал. Каталог фирм. бжд. Охрана. Обеспечение безопасности. Безопасность предприятия. Оборудование. Видеонаблюдение.