监控系统需要考虑的三个网络安全风险问题
联网的物理安全设备,如网络监控摄像头和智能访问控制系统,为负责保护零售、工业、政府和其他组织场所的设施和安全管理人员提供了许多优势。具有基于云的记录和管理功能的集成ip视频录制系统在没有时间购买和集成不同摄像机、电缆和视频存储硬件的用户中很受欢迎。
然而,对物联网(IoT)设备市场和现实世界事件的物理安全部分的研究表明,采用这些系统会带来复杂的网络风险问题。
|
(新)通讯订阅SM7找出您的七大安全新闻故事,每周发送到您的收件箱,并由ASIS国际提供支持。必威电竞外围 |
2020年,我们的Forescout研究实验室团队开始确定顶部10风险物联网设备作为详尽研究分析的一部分800万台设备跨越500多个企业部署。我们研究了这些平台中发现的漏洞的频率和严重程度,以及它们通常安装的位置和方式所带来的独特风险等因素。物理访问控制系统是风险最大的一类设备。建筑暖通空调系统排名第二,联网摄像头系统排名第三。物理安全和摄像系统在三大类别中占据两项,这一事实表明了围绕这些系统的网络风险管理的规模和重要性。
这些风险必须联合评估和处理,通常由专注于员工和设施安全与公司网络和数据安全的非常不同的团队进行。这里有一些重要的原则需要牢记。
管理良好的部署是安全的部署。
谁将拥有设备及其攻击面?
物理和网络安全专业人员比以往任何时候都更需要合作,因为他们都习惯了业务运营风险的无情变化和后果,特别是在COVID-19大流行一年多之后。必威竞猜规则加时赛
联网摄像头就是一个很好的例子,展示了这些世界的碰撞。设施经理可能有权评估、购买和部署摄像机——几乎只与摄像机供应商合作,接收设备,通过网络上的Wi-Fi安装它们,并设置凭据来远程管理系统的镜头和记录。
虽然这听起来像是一个孤立的项目,但实际上,每个摄像头都可以通过自己的操作系统、IP堆栈和其他软件功能向网络添加新的计算设备。其中任何一种都可能包含漏洞,或以其他方式扩大网络安全团队责任范围内的总数字攻击面。
管理良好的部署是安全的部署,因此要预先确定谁负责这些设备收集的数据和图像,以及它们的安全足迹。在实践中,这意味着物理和网络安全团队要确定摄像机的物理安装位置,并确保他们掌握摄像机部署过程中需要访问的网络。重要的是要确保网络分割到位,将摄像头和其他物联网设备与更敏感的设施设备和It资产隔离开来。
关注第三方风险
如今,联网摄像头和其他物理安全控制的现实是,你很少只购买摄像头、徽章阅读器、金属探测器或其他硬件。通常有一个由设备制造商嵌入的私有云或其他网络功能。有时,这种连接是一种活动功能集——比如从移动应用程序实时查看和管理设备的能力。其他时候,连接则比较隐蔽。供应商可能会要求设备通过您的网络访问Internet,以便获得保修资格或产品更新。
无论你是否意识到这一点,你最终都会向整个第三方生态系统开放你的网络。用户忽视这一风险,后果自负;它不能放任自流。
在最近的案例中Verkada例如,摄像头漏洞,入侵者能够获得登录凭证,让他们访问Verkada的独立后端云平台。反过来,这意味着入侵者可以窥探部署在世界各地的众多Verkada摄像头系统的视频馈线,而这些客户并不知道。
用户忽视这一风险,后果自负;它不能放任自流。
Verkada只是一个备受瞩目的案例。这些类型的云驱动相机系统随处可见,具有明显的部署、可用性和性能优势。不要忽视这样一个事实:当您在网络上引入服务提供商时,您固有地承担了增加的第三方风险,这意味着您需要了解您和供应商将如何处理凭证和数据存储等事情。
安全设备不应该自动获得信任
随着物联网驱动的物理安全和监控设备在功能和计算能力上的扩展,最重要的原则是永远不要仅仅因为它们的安全标签就授予设备自动或特殊权限。
如果我们仔细观察它们的代码和硬件,就会发现这些设备的功能很像视频会议系统、智能恒温器、楼宇自动化工具,以及其他长期以来都需要强大的零信任安全策略的非传统设备。零信任意味着你要对网络上的每台设备负责,不要仅仅因为某个设备之前连接过,就扩展访问权限,并监控设备行为,以便在某些设备开始表现异常时采取行动。
没有技术是完美的,网络风险管理就是风险承受能力、权衡取舍和尽可能减轻风险。这包括对人员和财产的风险,如火灾和盗窃,以及对员工数据、无价的商业机密或公司声誉的数字威胁。联网物理监控系统的买家必须权衡这些风险,并最终使用网络分割等缓解措施来证明,虽然这些设备可以增强所需的物理保护,但如果在攻击中使用摄像头、门或运动传感器,则可以采取适当的措施,将不可替代的数据排除在爆炸半径之外。
Elisa Costante是Forescout技术,公司。在Twitter上关注她:@ElisaCostante.与她联系LinkedIn。
