кибербезопасность. Надлежащая защита сетевых камер видеонаблюдения осуществляется на следующих трех уровнях
Скачать 31.32 Kb.
|
Надлежащая защита сетевых камер видеонаблюдения осуществляется на следующих трех уровнях. Технология. Сама камера должна быть построена в соответствии с принципом «безопасной конструкции» и включать такие функции, как модуль доверенной платформы (TPM), опции безопасной загрузки, а также подписанное и зашифрованное встроенное программное обеспечение. Устройства со встроенным модулем TPM предоставляют расширенные криптографические опции, подходящие для защиты сертификатов и соответствующих им ключей от нежелательного доступа. Закрытые ключи хранятся в доверенном платформенном модуле и никогда не покидают его; все криптографические операции, которые требуют использования закрытого ключа, вместо этого отправляются в TPM для обработки. Это гарантирует, что секретная часть сертификата никогда не покидает защищенную среду внутри доверенного платформенного модуля и остается под защитой даже в случае нарушения безопасности. Безопасная загрузка гарантирует, что видеокамера загружается только с авторизованной прошивкой. Это также гарантирует, что устройство очищено от вредоносных программ после заводских настроек. Первое правило для действенной кибербезопасности ИТ заключается в том, что для того, чтобы поддерживать решение видеонаблюдения в подходящем состоянии, пользователю необходимо применять последние обновления ПО и безопасности. Без такого подхода устройства быстро становится уязвимыми. Обработка. Большинство нарушений безопасности сети связаны с человеческими ошибками, небрежностью, неправильной настройкой и плохим обслуживанием. Вот почему, помимо технологий, каждому бизнесу рекомендуется внедрять легкие процессы и процедуры для обеспечения безопасности сетей. Поддержка конечных пользователей. Производитель должен помочь интеграторам и конечным пользователям понять угрозы, с которыми они сталкиваются, и способы борьбы с ними. Это включает в себя обучение пользователей тому, как защитить устройства от уязвимостей с помощью специальных инструментов, а также управления паролями, встроенным ПО для видеонаблюдения и сертификатами HTTPS. Это также требует, чтобы производители своевременно и прозрачно отслеживали и сообщали об распространенных уязвимостях и угрозах. Поскольку вторжения и атаки становятся новой реальностью в киберпространстве, производители IP-видеонаблюдения должны встраивать функции кибербезопасности в свои продукты и предоставлять необходимую поддержку, чтобы помочь конечным пользователям противостоять этим угрозам. 1. Применение эффективных технических средств защиты. В их число входят системы, обеспечивающие централизованное управление обновлениями и патчами для применяемого программного обеспечения, систематизированная антивирусная защита с интегрированной средой для динамического мониторинга файлов и SIEM-решения, дающие возможность своевременно выявлять и устранять проблемы информационной безопасности. К этой же категории способов защиты относится использование автоматизированных средств анализа защищенности, межсетевых экранов, блокирующих доступ к приложениям и веб-ресурсам, и систем, отвечающих за углубленный анализ трафика сети. 2. Обеспечение защиты данных. В данных целях стоит избегать хранения чувствительной информации в открытом доступе либо виде. Рекомендуется также регулярное создание резервных копий систем и хранение таких копий на выделенных серверах, которые отделены от сетевых элементов рабочей системы. Пользовательские привилегии по возможности желательно свести к минимуму (данный аспект касается и частных посетителей, и служб). Пароли, применяемые для доступа к разным сайтам, как и учетные записи, для входа на ресурсы, должны быть разными. Эффективный метод – применение двухфакторной аутентификации во всех возможных зонах. 3. Использование паролей высокой сложности. Оптимальной является такая парольная политика, которая исключает факт применения кодов простых и коротких, минимальных по длине. Пароли следует регулярно менять – специалисты считают допустимым пределом срока действия пароля три месяца. От стандартных комбинаций при создании паролей лучше отказаться в пользу новых – оригинальных, более надежных. 4. Контроль безопасности систем. Это совокупность мероприятий, включающая своевременное обновление применяемого ПО по мере выхода патчей, проверку осведомленности персонала и повышение его компетентности в вопросах информационной безопасности. Важно также отслеживать появление потенциально опасных ресурсов в зоне периметра сети, систематически проводить инвентаризацию ресурсов, отличающихся доступностью для интернет-подключения, и анализ их защищенности. В применяемом ПО следует устранять уязвимые места. Эффективность доказывает фильтрация трафика, проведение тестов на предмет проникновения во внутреннюю инфраструктуру, а также отслеживание числа запросов к ресурсу за определенный, короткий промежуток времени. 5. Забота о безопасности посетителей. Клиентов необходимо осведомлять о требованиях информационной безопасности, систематически напоминать им правила безопасной работы в сети и разъяснять способы защиты от хакерства. Клиентура должна быть предупреждена о том, что введение учетных данных на подозрительных сайтах опасно, как и предоставление соответствующей информации по телефону или электронной переписке. Вложения, которые приходят на электронную почту, следует обязательно проверять при помощи антивирусного ПО. Внимательным пользователю необходимо быть к ресурсам с некорректной сертификацией – соответствующие сайты для злоумышленников являются самыми доступными. Бдительность необходима при выполнении как онлайн-платежей, так и во время ввода персональных данных. Если браузер сигнализирует об опасности, на ссылку ресурса переходить нельзя, как и скачивать файлы с подозрительных сайтов. Атаки с физическим доступом Есть несколько главных сценариев атак с физическим доступом. Как правило, они подразумевают доступ человека напрямую к смартфону: это происходит в том случае, если устройство украли, владелец его потерял или отнес в сервис. Однако есть и достаточно необычный способ атаки, для которого используется вредоносная зарядная станция. Рассмотрим именно его. Зарядная станция, к которой вы подключаете свой смартфон по USB, вполне может оказаться не совсем безопасной. Для современных версий ОС Android и iOS при подключении с смартфона к ПК по USB требуется разрешение на доступ к устройству. Однако на Android 4.0 и ниже этого не требовалось. В итоге при подключении таких устройств к скомпрометированным или установленным хакерами зарядным станциям, открывается возможность для атаки. Ее сценарий может выглядеть так: На вашем смартфоне с версией Android 4.0 или ниже доступна отладка по USB. Вы подключаетесь к зарядной станции по USB-кабелю. Вредоносная зарядная станция выполняет команду adb install malware.apk, чтобы установить вредонос на ваше устройство. Вредоносная зарядная станция выполняет команду adb am start com.malware.app/.MainActivity для запуска этого вредоносного приложения. Запущенный троян пробует различные техники повышения привилегий, получает права root и закрепляется в системе. Теперь ему доступны все хранимые данные, включая аутентификационные (логины, пароли, токены) от всех установленных приложений, а также неограниченный доступ к любому приложению во время исполнения. В первую очередь, будьте внимательны и не оставляйте телефон и планшет без присмотра в общественных местах. Обязательно установите пароль для разблокировки устройства или включите биометрическую защиту, если это возможно. Не повышайте привилегии до административных (jailbreak или root), отключите отображение уведомлений на заблокированном экране. Атаки с помощью вредоносных приложений Есть несколько источников таких приложений: Официальные магазины приложений — Google Play и App Store. Редко, но даже в официальных маркетах можно найти вредоносное приложение, которое может нанести ущерб вам и вашим данным. Часто такие приложения стараются заполучить побольше установок с помощью кликбейтных названий типа «Super Battery», «Turbo Browser» или «Virus Cleaner 2019». Неофициальные сайты и магазины приложений (third-party appstore). Для Android-устройств достаточно разрешить установку из недоверенных источников, а затем скачать apk-файл приложения с сайта. Для iOS-устройств достаточно перейти по ссылке в браузере Safari, подтвердить установку сертификата на устройство, после чего любое приложение в этом неофициальном магазине станет доступно для установки прямо из браузера. Пользователь может установить скачанное из интернета приложение с помощью USB-подключения. Для Android-устройств доступна возможность загрузки части приложения при переходе по ссылке — механизм Google Play Instant. При установке на смартфон в зависимости от полученных разрешений вредоносные приложения будут иметь доступ к некоторым хранимым данным, микрофону, камере, геопозиции, контактам и т. п. Также они получат возможность взаимодействия с другими установленными приложениями через механизмы межпроцессного взаимодействия (IPC/XPC). Если установленные приложения содержат уязвимости, которые можно проэксплуатировать через такое взаимодействие, вредоносное приложение сможет этим воспользоваться. Особенно актуально это для Android-устройств. Помимо этого, вредоносное приложение может попытаться получить повышенные привилегии в системе, проэксплуатировав уязвимости, позволяющие получить root-права или jailbreak. Для защиты от подобных атак рекомендуется в первую очередь избегать установок приложений из недоверенных источников. С осторожностью необходимо устанавливать и приложения с подозрительными названиями даже из официальных магазинов приложений, так как никакие проверки не работают идеально. Своевременно обновляйте ОС и приложения, чтобы исключить возможность атак через известные уязвимости. Атаки в канале связи Для того чтобы злоумышленник смог действовать из канала связи, ему необходимо выполнить атаку «человек посередине», то есть чтобы весь трафик, передаваемый между клиентским мобильным приложением и серверной частью проходил через устройство злоумышленника. Иногда в приложениях встречаются уязвимости, позволяющие такие атаки. К примеру, обычно при установке защищенного соединения клиентское приложение проверяет подлинность сертификата сервера и соответствие его параметров параметрам сервера. Однако иногда разработчики для удобства при работе над приложением отключают такие проверки, забывая включить их обратно в релизной версии. Как итог, приложение принимает любой сертификат сервера для установки защищенного соединения, в том числе и сертификат злоумышленника. Даже если проверка сертификатов происходит корректно, у злоумышленника остается лазейка: под неким предлогом вынудить жертву установить на свое устройство сертификат злоумышленника как доверенный. Кроме того, если приложение само по себе безопасно работает с сервером, но содержит ссылки на сторонние ресурсы, загружаемые по HTTP, это все равно составляет возможность для проведения фишинговых атак. Если злоумышленнику удастся получить контроль над трафиком между клиентским приложением и сервером, то это даст ему целый ряд возможностей: подменять ответы сервера, например для подмены реквизитов банковских операций или фишинга; подменять запросы клиентского приложения, например изменяя сумму перевода и счет получателя; перехватывать данные, например логины, пароли, одноразовые пароли, данные банковских карт, историю операций. В итоге он узнает логины и пароли жертвы от различных аккаунтов и сможет использовать их для похищения данных, кражи денег. Не подключайтесь к сомнительным точкам доступа, не используйте прокси- и VPN-серверы, которым вы не доверяете свою личную и банковскую информацию. Не устанавливайте сторонние сертификаты на устройство. Как правило, большинство популярных мессенджеров и приложений соцсетей хорошо защищены от подобных атак; если, например, вдруг какое-то из этих приложений отказывается работать через текущее Wi-Fi-подключение, это может означать, что данная точка доступа небезопасна и лучше от нее отключиться, чтобы не подвергать опасности остальные приложения, в том числе ваш мобильный банк. Удаленные атаки Некоторые уязвимости в мобильных приложениях можно проэксплуатировать удаленно, и для этого даже не требуется контролировать передачу данных между приложением и сервером. Многие приложения реализуют функциональность по обработке специальных ссылок, например myapp://. Такие ссылки называются deeplinks, и работают они как на Android, так и на iOS. Переход по такой ссылке в браузере, почтовом приложении или мессенджере может спровоцировать открытие того приложения, которое умеет такие ссылки обрабатывать. Вся ссылка целиком, включая параметры, будет передана приложению-обработчику. Если обработчик ссылки содержит уязвимости, то для их эксплуатации будет достаточно вынудить жертву перейти по вредоносной ссылке. Аналогичный образом в мобильных устройствах могут обрабатываться более привычные ссылки http:// и https:// — они могут быть переданы приложению вместо браузера, в некоторых случаях это может происходить без подтверждения со стороны пользователя. Для Android-устройств переход по ссылке может спровоцировать загрузку Instant App, что делает возможным удаленную эксплуатацию уязвимостей, связанных с установкой вредоносного приложения. Своевременная установка обновлений приложений и ОС в данном случае — единственный способ защититься. Если у вас нет возможности установить обновление или оно еще не вышло, можно временно прекратить использование уязвимого приложения: удалить его с устройства или просто разлогиниться. Атаки на серверную часть Для атаки на сервер мобильного приложения злоумышленнику, как правило, достаточно изучить, как происходит взаимодействие клиентского приложения с сервером, и уже исходя из собранной информации о точках входа попытаться видоизменять запросы с целью обнаружить и проэксплуатировать уязвимости. Зачастую устройство серверной части мобильного приложения ничем не отличается от веб-приложения. Как правило, устроены серверы мобильных приложений еще проще и часто представляют из себя json- или xml-api, редко работают с HTML-разметкой и JavaScript, как это часто делают веб-сайты. Если сравнивать уязвимости веб-приложений и серверных частей мобильных приложений, то мы видим, что следующие уязвимости преобладают в мобильных приложениях: недостаточная защита от подбора учетных данных: 24% веб-приложений и 58% серверов мобильных приложений содержат такие уязвимости, ошибки бизнес-логики: 2% веб-приложений и 33% серверов мобильных приложений. Зачастую пользователи приложений могут получать доступ к данным других пользователей: к номерам карт, имени и фамилии, номерам телефонов и т. п. Причем, доступ может ошибочно предоставляться как от имени другого пользователя так и вовсе без аутентификации, что обусловлено наличием недостатков аутентификации и авторизации. В данном случае обычный пользователь мало что может сделать. Однако можно снизить риски пострадать от атак на сервер, если использовать сложный пароль, а также настроить двухфакторную аутентификацию с помощью одноразовых паролей во всех критически важных приложениях, которые это позволяют сделать. Чтобы минимизировать вероятность успешной атаки на мобильное приложение, его разработчики должны проверять возможность реализации каждого из описанных сценариев. При разработке нужно учитывать различные модели нарушителей, а некоторые меры защиты необходимо предпринять еще на стадии проектирования. Хорошей рекомендацией для разработчиков будет внедрение практики безопасной разработки (security development lifecycle, SDL) и регулярный анализ защищенности приложения. Такие меры не только помогут своевременно выявить потенциальные угрозы, но и повысят уровень знаний разработчиков в вопросах безопасности, что повысит уровень защищенности разрабатываемых приложений в долгосрочной перспективе. Обязательное использование антивирусной защиты. Если вы не являетесь экспертом по компьютерной безопасности, то лучше всего вас защитит надёжная антивирусная защита и защита от сетевых атак (сетевой экран) — доверьте свою безопасность профессионалам. Большинство современных антивирусных программ защищают от самых разнообразных компьютерных угроз — от вирусов, червей, троянских программ и рекламных систем. Интегрированные решения по безопасности также ставят фильтр против спама, сетевых атак, посещения нежелательных и опасных интернет-ресурсов и т.д. Не следует доверять всей поступающей на компьютер информации — электронным письмам, ссылкам на веб-сайты, сообщениям на интернет-пейджеры. Категорически не следует открывать файлы и ссылки, приходящие из неизвестного источника. Даже если сообщение получено из источника известного (от знакомого или коллеги по работе), но присланный файл или ссылка приходит для вас неожиданно, — лучше переспросить о подлинности сообщения, поскольку обратный адрес в электронной почте легко подделывается. Интернет — достаточно опасное место, где следует вести себя осторожно. Риск заражения снижается также при помощи «организационных мер». К таким мерам относятся различные ограничения в работе пользователей (как индивидуальных, так и корпоративных), например: запрет на использование интернет-пейджеров; доступ только к ограниченному числу веб-страниц; физическое отключение внутренней сети предприятия от интернета и использование для выхода в интернет выделенных компьютеров; и так далее. К сожалению, жёсткие ограничительные меры могут конфликтовать с пожеланиями каждого конкретного пользователя или с бизнес-процессами предприятия, — в таких случаях надо искать баланс, причём в каждом отдельно взятом случае этот баланс может быть различным. Следует обращать достаточно внимания на информацию от антивирусных компаний и от экспертов по компьютерной безопасности. Обычно они своевременно сообщают о новых видах интернет-мошенничества, новых вирусных угрозах, эпидемиях и т.п. — уделяйте больше внимания подобной информации. Примером успешного отражения злоумышленных атак является история с почтовым червём LoveLetter и многочисленными его клонами. Сразу после эпидемии червя практически всеми антивирусными компаниями были опубликованы рекомендации по защите от почтовых червей подобного типа — просто не открывать вложения с расширением имени файла VBS (именно так распространялся этот червь). В результате, несмотря на многочисленные клоны этого червя и другие вариации на тему VBS-червей, ни один из них не вызвал эпидемии, сравнимой по масштабу с LoveLetter. Однако бывают случаи, что сообщения о новых вирусных инцидентах не вполне соответствует реальному уровню угрозы. Часто тривиальные почтовые черви маскируются под горячие новости о каком-либо заметном событии, например, про чемпионаты по футболу, природные или технологические катастрофы, «террорист №1 арестован» и тому подобное. Некоторые антивирусные компании иногда преподносят это как главную тему дня и раздувают вокруг незначительного события рекламную шумиху. Увы, если в этот момент нет более «горячих» новостей, то подобные сообщения попадают в газеты и новостные программы и фактически дезинформируют пользователей. К подобным сообщениям следует относиться достаточно критически. Примером подобной рекламной шумихи является история, случившаяся в конце 1999г. Неизвестные хакеры сообщили о том, что в Новый Год планируют запустить в сеть сотни тысяч новых вирусов. Мнение антивирусных компаний и экспертов было неоднозначно. Часть из них помогали раздувать сенсацию, остальные — успокаивали пользователей, утверждая, что нет никаких предпосылок для интернет-катастрофы (которой так и не произошло). |