Adesea administratorii de retea sunt presati de design-ul si setarea retelelor intr-o maniera cat mai securizata. Accesul la uneltele corecte si gestionarea cibersecuritatii sistemului reprezinta asadar unul dintre cele mai importante aspecte ale carierei de administrator de sistem. In randurile care vor urma, AXIS Communication, exploreaza cele mai bune practici specifice ale cibersecuritatii si managementul dispozitivelor conectate intr-o retea.
Odata cu cresterea numarului de tipuri de dispozitive conectate in retea, primul parametru afectat al retelei este nivelul de incarcare a acesteia. Specialistii AXIS au efectuat cateva teste in teren care urmaresc unele activitati de baza in configurarea a 200 de camere IP. Aceste activiati de baza constau in, instalare aplicatii add-on (ACAP), update-ul de firmware, configurarea dispozitivelor, impreuna necesitand 106 ore de munca, toate acestea prin conectarea pe interfata web a fiecarei camere in parte. Totusi timpul necesar instalarii si configurarii camerelor a fost redus la doar 30 de minute in conditiile in care s-a utilizat software-ul de management dedicat.
Explorea in permanenta dupa vulnerabilitati
In general, cibersecuritatea poate fi abordata in doi pasi. Primul pas este reprezentat de constientizarea riscurilor. In conditiile in care administratorii de retea nu sunt in tema cu potentilalele vulnerabilitati ale cibersecuritatii, acestia nu le pot preveni. Pentru aceasta este absolut necesar ca respectiva companie sa adope un proces continuu de invatare si imbunatatire a mentalitatii in acest domeniu. Practic compania se autoeduca cu cele mai bine practici din cultura cibersecuritatii, insa la baza acestei educari stau producatorii de sisteme de securitate impreuna cu practicile pe care acestia le recomanda in sporirea cibersecuritatii.
Ajutor in vederea diminuarii riscurilor
Pasul doi din sporirea cibersecuritatii consta in diminuarea riscurilor. Odata consitentizata potentiala problema, care sunt pasii necesari in rezolvarea acesteia? Pornind de la prezumtia ca aceasta nu se va solutiona de la sine, adesea este nevoie de suport si asistenta externa. Alegerea produselor si implicit a producatorilor potriviti reprezinta un punct de pornire in utilizarea unur sisteme mature din punctul de vedere al cibersecuritatii. Acei producatori care detin controlul asupra produselor comercializate, au experienta si cele mai bune proceduri in caz de nevoie. Sunt transparenti si ofera suport pe termen lung in dezvoltarea de firmware-uri pentru produsele selectate in vederea solutionari ale unor probleme de cibersecuritate. La acestea se adauga unelte necesare in sporirea securitatii si diminuarea riscurilor. p
Pastrarea unui inventar complet al dispozitivelor din retea
Un aspect fundamental in securizarea unei retele consta in inventarierea permanenta a dispozitivelor conectate. In etapa creerii sau revizuirii unei politici generale de securitate, este foarte important sa cunoastem si sa detinem documente clare despre fiecare produs din retea, fie ca este vorba de un laptop, telefon, centrala de efractie, etc. Un produs omis poate constitui poarta de intrare a hackerilor in retea.
Software-urile dedicate de management ofera administratorilor de retea un inventar in timp real a tututor dispozitivelor online din retea. Aceste unelte ofera o imagine de ansamblu a retelei.
Conturi de utilizator si politica de parole
Controlul privilegiilor si a autentificarii reprezinta parti importate in protejarea resurselor dintr-o retea. Prin implementarea unei politici de parolare si conturi de utilizator se contribuie la reducerea riscurilor accidentale sau deliberate. Parolele puternice reduc riscul ca acestea sa fie compromise. In caz contrar se poate pierde controlul asupra datelor si a resurselor.
In general parolele de accesare a unor dispozitive, gen NAS-uri, inregistratoare, imprimante sunt impartasite intre angajatii unei organizatii. De exemplu, angajatii unei companii, ocazional intervin asupra unei camere IP in vederea optimizarii functionalitatii acesteia. Datorita acestei practici este foarte posibil ca intreaga organizatie sa aibe acces la parola camerei. O metoda simpla in abordarea acestui aspect consta in crearea unui sistem de parolare si conturi de utilizator de tipul multi strat. Aparent acest proces necesita timp, insa multumita uneltelor software de management, multiple conturi de utilizator si parole pot fi gestionate cu usurinta.
Protectia impotriva noilor vulnerabilitati
Din pacate, nici un sistem nu este perfect, fapt pentru care noi vulnerabilitati sunt descoperite zilnic. Daca majoritatea dintre acestea nu sunt critice, ocazional apar vulnerabilitati care expun echipamentele in fata unor exploatari neautorizate.O camera IP ca si orice alt dispozitiv necesita eventuale update-uri de firmware pentru solutionarea vulnerabilitatilor identificate. Un producator responsabil va lansa noi versiuni de firmware pentru a contracara vulnerabilitatile identificate in randul echipamentelor. De asemenea este etic ca acestia sa semnalizeze si sa documenteze vulnerabilitatea si modul in care aceasta a fost identificata.
Se recomanda actualizarea imediata la ultimele versiuni de firmware (de indata ce sunt disponibile), deoarece exista probabilitatea ca hackerii sa exploateze vulnerabilitatile descoperite. Evident, actualizarea produselor poate introduce la randu-i probleme in functionare si exploatare. Daca exista, se recomanda utilizarea unor fisiere de firmware de tipul LTS (Long Term Support), deoarece acestea vor include doar solutionari de bug-uri si patch-uri de securitate.
O retea complexa presupune un extra efort in controlul si actualizarea tuturor dispozitivelor conectate. Testele efectuate in teren de catre AXIS indica urmatoarele: pentru 200 de camere, procesul de actualizare a firmware-ului prin accesarea interfetei web a fiecarui produs in parte s-a ridicat in jur de 1000 de minute comparat cu maximul de 10 minute in cazul utilizarii software-urilor de management si configurare.
Management HTTPS eficient din punctul de vedere al costurilor
Sistemele de supraveghere video pot reprezenta subiectul unor politici sau regulamente care necesita criptarea traficului dintre clienti si camera prevenindu-se asftel atacuri de tipul man-in-the-middle. Aceste amenintari sunt contracarate de HTTPS, deoarece sunt utilizate certificate de securitate. Aceste certificate sunt emise de catre software-urile de management care joaca rolul de autoritate de certificare locala (Certificate Authority). Certificatul root poate fi instalat si in aplicatii client administrative. Clientii video nu vor accesa camerele in mod direct. Acestia nu au nevoie de certificate instalate. Criptarea end-to-end presupune ca serverul VMS sa detina un certificat CA pentru asigurarea unei conexiuni securizate clientilor video.
Managementul eficient al dispozitivelor
Aplicatiile software de management al dispozitivelor nu ajuta doar la asigurarea cibersecuritatii, acestea furnizeaza eficienta cu crestere exponentiala odata cu adaugarea de noi dispozitive in retea. Prin economisirea de timp a administratorului de retea, acestia pot utiliza in mod eficient timpul ramas in indeplinirea de noi taskuri. De asemenea, acestia vor dispune de mai mult timp in identificarea celor mai potrivite practici in identificarea si eliminarea amenintarilor date de eventualele vulenrabilitati ale produselor conectate in retea.
Sursa Axis Communications