5 CÁCH ĐỂ BẢO VỆ HỆ THỐNG GIÁM SÁT IP

5 CÁCH ĐỂ BẢO VỆ HỆ THỐNG GIÁM SÁT IP

  • Trong thập kỷ qua, các hệ thống giám sát và bảo mật video (video surveillance & security system) đã đi được một chặng đường dài, nhờ vào sự phổ biến ngày càng tăng của Internet Protocol (IP) và Internet of Things (IoT). Việc gửi và nhận dữ liệu trực tiếp qua Internet và cung cấp các tính năng nâng cao như cảm biến chuyển động (motion sensor), lưu trữ đám mây (cloud storage), phân tích video (video analytics) và thông báo tự động (automatic notification), các hệ thống này cung cấp sự bảo vệ đáng tin cậy cho các cơ sở sản xuất, khu công nghiệp, văn phòng chính phủ...
  • Bất chấp những lợi ích của chúng, các hệ thống video IP (IP video system) cũng đi kèm với những rủi ro bảo mật đáng kể nếu chúng sử dụng cơ sở hạ tầng công cộng vì chúng tạo cho tội phạm mạng những con đường tấn công dễ dàng. Chúng cũng có cấu trúc liên kết và công nghệ đa dạng khiến chúng trở nên phức tạp hơn và gia tăng bề mặt tấn công (attack surface). Cuối cùng, chúng khiến người dùng dễ bị tấn công DDoS, MitM, vi phạm quyền riêng tư, cài đặt phần mềm độc hại và rò rỉ dữ liệu.
  • Với số lượng và quy mô thông tin mà các cơ quan chính phủ thu thập ở người dân trong giữa tháng 12/2020, sáu cơ quan chính phủ Hoa Kỳ (bao gồm năng lượng, thương mại, kho bạc và tiểu bang) đã bị sốc khi biết các tác nhân đe dọa luôn tìm cách đánh cắp hoặc tiết lộ các hồ sơ dữ liệu có nhiều thông tin. Vào năm 2019, 54% công ty sản xuất cũng gặp phải các vụ vi phạm dữ liệu hoặc tấn công mạng, cho thấy rằng họ cũng không an toàn trước những rủi ro này (nguồn Sikich 2019 M&D Report).
  • Vì hệ thống giám sát video IP không an toàn 100%, các doanh nghiệp, cơ sở sản xuất và cơ quan chính phủ có thể làm gì để giảm thiểu rủi ro và bảo vệ cơ sở, dữ liệu và người dùng của họ?
  • Không có một chiến lược lý tưởng duy nhất, vì vậy một chương trình để bảo vệ các hệ thống này nên bao gồm nhiều chiến lược, như 5 chiến lược được thảo luận dưới đây.

1. Tận dụng hệ thống phát hiện và ngăn chặn xâm nhập (Intrusion Detection and Prevention Systems)

  • Là một phần của chiến lược bảo vệ mạng mạnh mẽ, phần mềm anti-virus nên được cài đặt trên thiết bị đầu cuối của người dùng và thiết bị DVR để phát hiện và ngăn chặn sự lây lan của phần mềm độc hại. Trong cấu trúc liên kết Mạch mở (Physically Open Circuit - POC) không phân tán - nơi các máy chủ mạng như camera và DVR có địa chỉ IP công khai - Hệ thống phát hiện xâm nhập mạng (Network Intrusion Detection System - NIDS) có thể phát hiện các mẫu lưu lượng độc hại hoặc bất thường có thể cho thấy sự hiện diện của tin tặc. Tường lửa VPN (VPN Firewall) như tường lửa UTM thế hệ tiếp theo (NGFW) của Allied Telesis có thể là một cách dễ dàng để triển khai NIDS để chặn các mối đe dọa và mã hóa lưu lượng mạng quan trọng.

2. Mã hóa dữ liệu để truyền an toàn

  • Tất cả các nguồn cấp dữ liệu video, cùng với thông tin như tên người dùng và mật khẩu phải được mã hóa để bảo vệ dữ liệu đang truyền (data-in-transit), đặc biệt nếu nó truyền qua Internet. Có nhiều tùy chọn mã hóa có sẵn, nhưng phổ biến nhất là SSL/TLS cho thông tin người dùng và IPsec hoặc MACsec cho dữ liệu. Mã hóa thích hợp giúp ngăn chặn việc nghe trộm và thao tác với package có thể xảy ra trong một cuộc tấn công MitM.
  • Nguồn gốc dữ liệu và sử dụng hình mờ kỹ thuật số để đảm bảo tính toàn vẹn của nội dung video cũng có thể giảm thiểu việc giả mạo dữ liệu. Một cách tiếp cận khác là chủ động phát hiện và ngăn chặn sự hiện diện của những kẻ nghe trộm bằng cách sử dụng một tính năng như Giám sát sợi quang chủ động (Active Fiber Monitoring) có mặt trên switch và firewall của Allied Telesis

3. Triển khai thiết lập mật khẩu mạnh, phức tạp và truy cập đa lớp

  • Mật khẩu mạnh phải là một yếu tố quan trọng trong khung bảo mật của hệ thống. Độ dài, độ phức tạp và các thay đổi thường xuyên là yếu tố quan trọng đối với sức mạnh của mật khẩu. Điều này đặc biệt quan trọng nếu thiết bị sử dụng port forwarding để truy cập.
  • Để tăng cường bảo mật trên tài khoản quản trị viên, xác thực đa yếu tố (multi-factor authentication) là một lựa chọn tuyệt vời. Mật khẩu mạnh hơn vì người dùng phải cung cấp thêm thông tin duy nhất, chẳng hạn như SMS và họ nhận được thông báo sau mỗi lần truy cập.
  • Nếu một số người dùng truy cập nguồn cấp dữ liệu video, hệ thống phải cung cấp các cấp độ truy cập được bảo vệ bằng mật khẩu khác nhau. Một số người dùng được ủy quyền có thể có quyền truy cập dành riêng cho thiết bị (device-specific access), vì vậy họ chỉ có thể xem hình ảnh từ các thiết bị đó, trong khi những người khác có thể có quyền truy cập cấp điều hành (operator-level). Một số ít có thể có quyền truy cập quản trị viên (administrator) hoặc kiểm soát tất cả các cài đặt như tạo tài khoản mới, thay đổi hướng camera, thêm camera mới vào mạng...

4. Luôn cập nhật phần mềm

  • Mọi hệ thống giám sát video IP thỉnh thoảng cần cập nhật phần mềm để duy trì tính bảo mật của nó. Các bản cập nhật firmware có thể được phát hành thường xuyên hoặc thỉnh thoảng như một phần của bản vá lỗi của thiết bị cho một lỗ hổng cụ thể. Điều cần thiết là đăng ký thiết bị trên trang web của nhà sản xuất để nhận được lời nhắc về tất cả các bản cập nhật này, các bản cập nhật này phải được tải xuống và thực thi ngay lập tức.
  • Quá trình cập nhật firmware có thể làm gián đoạn hoạt động của mạng vì việc khởi động lại thiết bị sẽ làm dừng video stream và việc cập nhật nhiều thiết bị có thể tốn nhiều thời gian và rủi ro trên các mạng lớn. Do đó, điều quan trọng là phải xem xét các tính năng giúp giảm thiểu sự gián đoạn và tự động hóa quá trình cập nhật.
  • Allied Telesis đã tạo ra PoE liên tục (Continuous PoE), duy trì nguồn điện cho thiết bị được kết nối như camera, trong quá trình khởi động lại switch. Điều này giảm thiểu thời lượng ngừng hoạt động và giúp video stream chạy trở lại mà không cần đợi camera khởi động lại.

  • Autonomous Management Framework (AMF) là một giải pháp tự động hóa của Allied Telesis giúp đơn giản hóa việc cài đặt và quản lý các mạng quy mô lớn. Trong số nhiều khả năng của nó là nâng cấp firmware tự động, có thể tung ra các bản cập nhật với sự gián đoạn tối thiểu và không cần can thiệp thủ công. Vì vậy, hệ thống mạng sẽ cập nhật trong khi admin đang ngủ!

5. Huấn luyện người dùng về các phương pháp bảo mật

  • Như với bất kỳ mạng hoặc thiết bị nào khác, con người là liên kết yếu nhất trong hồ sơ bảo mật của hệ thống giám sát IP. Do đó, điều quan trọng là phải xây dựng và lập thành văn bản các hướng dẫn và chính sách về an ninh mạng và cung cấp khóa đào tạo về an ninh mạng cho tất cả người dùng sẽ truy cập vào hệ thống. Người dùng nên được đào tạo về các cuộc tấn công tiềm ẩn và những gì họ cần làm để giữ an toàn trước các yêu cầu của những kẻ tấn công tiềm năng dưới các dòng tiền giả. Họ cũng nên nhận thức được những rủi ro khi truy cập hệ thống – chẳng hạn như qua mobile app, trên hệ thống Wi-Fi công cộng không được mã hoá.
  • Điều quan trọng là phải cập nhật các tiêu chuẩn an ninh mạng mới nhất và các phương pháp hay nhất ở cấp độ tổ chức và đảm bảo chúng được tuân thủ ở mọi cấp độ. Allied Telesis đã hợp tác với NUARI để cung cấp chương trình giáo dục phòng thủ về mối đe dọa mạng mới nhất được tùy chỉnh theo yêu cầu cụ thể của tổ chức bạn.

6. Tóm lại:

  • Do chi phí sở hữu thấp, dễ dàng triển khai và nhiều tính năng tiên tiến, nhiều doanh nghiệp, tổ chức sản xuất và cơ quan chính phủ chuyển từ hệ thống camera quan sát dựa trên analog sang hệ thống giám sát video IP để tăng cường bảo mật và tạo ra sự yên tâm. Tuy nhiên, khi bối cảnh đe dọa mạng ngày càng phát triển tinh vi và những kẻ tấn công mạng ngày càng không ngừng, các tổ chức phải nhận thức được những rủi ro của hệ thống như đã nói ở trên, đặc biệt nếu chúng nằm trên cùng một mạng với dữ liệu và ứng dụng quan trọng của doanh nghiệp. Bỏ qua bảo mật video IP có thể nguy hiểm và dẫn đến bị tàn phá, vì vậy việc tạo ra hệ thống bảo mật mạng phải được ưu tiên cao nhất, ưu tiên hàng dầu.
  • Bảo vệ mạng và các hệ thống quan trọng của bạn với chi phí vận hành thấp và không có lỗi hoặc sự cố thiết bị. Khám phá bộ giải pháp giám sát và bảo mật IP đa dạng từ Allied Telesis.

Để biết thêm chi tiết vui lòng liên hệ với chúng tôi theo các thông tin dưới đây.

EmeraldETL là Công Ty chuyên về Công Nghệ, là Đại lý của rất nhiều dòng sản phẩm bảo mật cao tại Việt Nam. Cung cấp từ những dòng bảo mật doanh nghiệp đến bảo mật đa quốc gia.

  • Trụ sở: Tầng 2, 27A Hoàng Việt, Phường 4, Quận Tân Bình, TP.HCM
  • Hotline: 0358.22.3136
EmeraldETL