Antonio Marco
IT & Cybersecurity Manager
MCS | ITIL | SMPC | DevSecOps | Cloud Architect
13 de marzo, 2023
Comparte
Cualquier dispositivo que permita el acceso de forma remota está expuesto a un ciberataque
Los sistemas de videovigilancia no son una excepción. Para minimizar el riesgo y el impacto de un ciberataque, los dispositivos de videovigilancia deben ser capaces de prevenir y responder a las amenazas de forma ágil y contundente. En este artículo, compartimos los aspectos funcionales de un videograbador ciberseguro por diseño.
Índice de contenido
1. Videograbadores con sistema operativo que no sea Windows
Microsoft Windows es el sistema operativo más popular del mundo y es ampliamente utilizado en dispositivos NVR como arquitectura base del sistema. El sistema operativo del gigante tecnológico también es el objetivo principal de los desarrolladores de malware debido a su amplia base de usuarios.
Los videograbadores que no están basados en este popular SO:
– Están protegidos frente a los ataques más comunes y dañinos.
– No necesitan tantas actualizaciones de seguridad.
– Además, la base de malware para sistemas operativos que nos son WIndows es muy limitada.
La red corporativa y la VLAN del videograbador de Lanaccess funcionan de forma independiente y, en caso de ataque a la red corporativa, el daño no se transfiere. Además, los videograbadores implementan protocolos como el 802.1X que permite autenticar el acceso a la red corporativa.
2. Firmware encriptado
El cifrado de firmware dota de confidencialidad e integridad a cada una de las imágenes de sistema del dispositivo. Esta técnica permite que solo el firmware autorizado se ejecute en una plataforma hardware. En otras palabras, garantiza la autenticidad del programa que se ejecute.
Es, por tanto, una característica de seguridad de obligado cumplimiento si queremos evitar que un atacante realice ingeniería inversa contra nuestras maquinas.
El VMS de Lanaccess permite configurar privilegios granulares a perfiles que después se podrán asignar a distintos usuarios. Estos privilegios granulares son variados: desde permisos para realizar distintas acciones al control del acceso a dispositivos concretos.
3. Protocolos seguros
Elige videograbadores que, como los de Lanaccess, utilicen solo dos tipos de protocolos:
Protocolos estándar con un elevado nivel de seguridad. Típicamente, estos son: HTTPS, FTPS y SSH.
HTTPS (hypertext transfer protocol secure): se usa para la transferencia de datos en la web. En videovigilancia, el protocolo cifra la comunicación entre la cámara y el videograbador.
FTPS (file transfer protocol secure): se usa para la transferencia de archivos. El protocolo cifra los comandos y los datos transferidos entre la cámara y el videograbador.
SSH (secure shell): permite una comunicación segura y encriptada entre un cliente y un servidor remoto. En videovigilancia, el protocolo SSH se utiliza para administrar videograbadores de forma remota y acceder a ellos de manera segura a través de una conexión encriptada. Proporciona autenticación de clave y cifrado de extremo a extremo para garantizar la seguridad de la conexión y prevenir el acceso no autorizado.
Protocolos propietarios encriptados, que requieran mayores niveles de autenticación para el acceso a información sensible, como la extracción de vídeo o la búsqueda forense.
El VMS de Lanaccess es seguro por diseño al habilitar el sistema MFA. Además, la contraseña de inicio de sesión está ligada al directorio activo y, por tanto, respeta y responde a los criterios de seguridad de cada empresa.
4. Dispositivos diseñados para prevenir ataques DDoS
Un ataque de Denegación de Servicio Distribuido (DDoS, del inglés distributed denial of service) es un tipo de ciberataque común que tiene como objetivo bloquear temporalmente el videograbador con una gran cantidad de solicitudes ilegítimas con el objetivo de sobrecargarlo y hacerlo inaccesible para los usuarios legítimos.
5. Equipos threat awareness
Threat awareness consiste en dotar a los grabadores de «conciencia de las amenazas». Un equipo bien protegido, además, enviará una alarma a la CRA (central receptora de alarmas) indicando que se está comprometiendo la seguridad del sistema.
De este modo, el operador será consciente de que existe un ataque en curso que podría ser:
A puertos UDP/TCP no abiertos.
La apertura de infinitos sockets contra el sistema.
DDoS.
Registro de intentos fallidos en la actualización del firmware.
En este caso, el operador podría:
Notificar el ataque.
Bloquear la dirección MAC del atacante.
Limitar el número permitido de errores de autenticación.
Reforzar la seguridad de sus contraseñas.
6. Funciones de firewall
7. Switch PoE integrado en el equipo
Elije el fabricante que, como Lanaccess, haya incorporado dentro de la arquitectura del propio equipo switches con funcionalidades avanzadas de gestión y control como: el reinicio remoto de dispositivos conectados; el monitoreo del consumo de energía; la programación de las cámaras; y la detección automática de dispositivos. Este último punto es crucial para la detección de sabotaje por intento de sustitución de cámara (grado 4).
8. Equipos que permitan una política de gestión de usuarios restrictiva
Recomendamos que el videograbador tenga habilitado una serie de usuarios con permisos diferentes. Por ejemplo:
Superusuarios, con acceso total al sistema. Este tipo está limitado a los administradores porque permite cambiar configuraciones.
Usuarios con acceso exclusivo a vídeo.
Usuarios con acceso exclusivo a grabaciones.
Usuarios temporales, para técnicos eventuales con acceso más limitado.
En general, es recomendable usar el principio de privilegio mínimo, pensado para reducir el riesgo de brechas internas. Como principio, se basa en que el sistema aplica un rol restrictivo de acceso por defecto a todos los usuarios. Si está justificado, el administrador habilita solo los permisos necesarios.
Protege tu organización de ciberataques con nuestra tecnología de seguridad avanzada. Contáctanos para una propuesta personalizada.
