Allied Telesis, proteggere i sistemi video e sicurezza IP

Non esiste un’unica strategia ideale, ma un programma di protezione con più tattiche.

allied telesis

I sistemi video IP presentano diversi vantaggi, ma comportano altrettanti rischi. Giovanni Prinetti, European Solutions Marketing Manager di Allied Telesis, spiega come proteggere la privacy degli utenti ed evitare malware e fughe di dati.

Nell’ultimo decennio i sistemi di videosorveglianza hanno fatto molta strada grazie alla crescente diffusione del protocollo Internet (IP) e dell’Internet of Things (IoT). Inviano e ricevono dati direttamente via Internet e offreno funzionalità avanzate come sensori di movimento, archiviazione su cloud, analisi video e notifiche automatiche. Questi sistemi forniscono una protezione affidabile per impianti industriali e produttivi, uffici e altro ancora.

Cresce la “superficie di attacco”

Tuttavia, nonostante i loro vantaggi, i sistemi video IP comportano anche rischi significativi se si avvalgono di infrastrutture pubbliche. Infatti offrono ai criminali informatici facili vie di compromissione e presentano topologie e tecnologie complesse che aumentano la loro “superficie di attacco”. In definitiva, rendono gli utenti vulnerabili ad attacchi DDoS (Distributed Denial of Service) e MitM (Man in the Middle), violazioni della privacy, installazioni di malware e fughe di dati.

Allied Telesis – come proteggere i sistemi video e sicurezza IP

Considerando la quantità e la portata delle informazioni che viaggiano in rete, gli attori delle minacce sono sempre alla ricerca di dati da rubare o esporre. Dal momento che i sistemi di videosorveglianza IP non sono sicuri al 100%, cosa possono fare le aziende per ridurre al minimo i rischi e proteggere le loro sedi, dati e utenti? Non esiste un’unica strategia ideale, quindi un programma di protezione di questi sistemi dovrebbe includere più tattiche, come le cinque illustrate di seguito.

1.Sfruttare i sistemi di rilevamento e prevenzione delle intrusioni

ATNell’ambito di una solida strategia di difesa informatica, è necessario installare un software antivirus sui terminali degli utenti e sui videoregistratori digitali (DVR) per rilevare e prevenire la diffusione di infezioni malware. Nelle topologie POC (Physically Open Circuit) non distribuite, in cui gli host di rete come telecamere e DVR hanno indirizzi IP pubblici, un sistema di rilevamento delle intrusioni di rete (Network Intrusion Detection System, NIDS) può rilevare schemi di traffico pericolosi o anomali che potrebbero indicare la presenza di un hacker. I firewall VPN, come quelli UTM di nuova generazione, possono essere un modo semplice per implementare un NIDS, utile a bloccare le minacce e crittografare il traffico di rete critico.

2.Crittografia dei dati per una trasmissione sicura

Tutti i feed video e le informazioni come nomi utente e password devono essere crittografati per proteggere i dati in transito. In particolare se attraversano Internet. Esistono molte opzioni di crittografia, ma le più comuni sono SSL/TLS per le informazioni degli utenti e IPsec o MACsec per i dati. Una crittografia adeguata aiuta a prevenire le intercettazioni e la manipolazione dei pacchetti che possono verificarsi durante un attacco MitM.

Come proteggere i sistemi video e sicurezza IP secondo Allied Telesis

Anche la provenienza dei dati (dimostrandone l’origine) e l’uso di filigrane digitali per garantire l’integrità del contenuto video possono attenuarne la manomissione. Un ulteriore approccio consiste nel rilevare e scoraggiare in modo proattivo la presenza di intercettatori utilizzando funzioni di monitoraggio.

3.Implementare password forti e accesso a più livelli

Le password forti devono essere un elemento critico del framework di sicurezza del sistema. Lunghezza, complessità e modifiche regolari sono fondamentali. Ciò è particolarmente importante se il dispositivo utilizza il port forwarding per l’accesso. Per una maggiore sicurezza degli account admin, l’autenticazione a più fattori è una scelta eccellente. La password è più robusta perché l’utente deve fornire informazioni uniche aggiuntive, come un codice SMS, e riceve una notifica a ogni tentativo di accesso.

Allied Telesis – Distinguere gli accessi

Se più utenti accedono ai feed video, il sistema deve prevedere diversi livelli di accesso protetti da password. Alcuni utenti autorizzati possono avere un accesso specifico al dispositivo, in modo da poter visualizzare solo le immagini di quel device. Mentre altri possono avere accesso a livello di operatore o di amministratore e controllare tutte le impostazioni, come la creazione di nuovi account, la modifica della direzione delle telecamere, l’aggiunta di nuove telecamere alla rete, ecc.

  1. Mantenere il software aggiornato

Ogni sistema di videosorveglianza IP necessita di aggiornamenti software saltuari per mantenere la sua sicurezza. Gli update del firmware possono essere installati regolarmente o occasionalmente come parte del rilascio di patch di un dispositivo per una vulnerabilità specifica. È essenziale registrare il dispositivo sul sito web del produttore per ricevere i promemoria di tutti questi aggiornamenti, che devono essere scaricati ed eseguiti immediatamente.

Automatizzare il processo di aggiornamento

Il processo di aggiornamento del firmware può interrompere il funzionamento della rete perché il riavvio del dispositivo sospende il flusso video. Inoltre l’aggiornamento di molti dispositivi può essere lungo e rischioso su reti di grandi dimensioni. Pertanto, è importante prendere in considerazione funzioni che consentano di ridurre al minimo le interruzioni e automatizzare il processo di aggiornamento.

  1. Istruire gli utenti sulle pratiche di sicurezza

Come per qualsiasi altra rete o dispositivo, le persone sono l’anello debole del profilo di sicurezza di un sistema di sorveglianza IP. Pertanto, è fondamentale sviluppare e documentare le linee guida e le policy di cybersecurity, fornire una formazione sulla sicurezza a tutti gli utenti che accederanno al sistema e istruirli sui potenziali vettori di attacco e sulle azioni da compiere. Questo per rimanere al sicuro da richieste di potenziali attaccanti con falsi pretesti. Devono inoltre essere consapevoli dei rischi che si corrono accedendo al sistema, ad esempio tramite un’app mobile, su un sistema Wi-Fi pubblico non crittografato. È fondamentale rimanere aggiornati sugli ultimi standard e sulle migliori pratiche di cybersecurity a livello organizzativo e garantire che vengano seguiti a tutti i livelli.

Proteggere sistemi video e sicurezza IP

Grazie ai bassi costi di gestione, alla facilità di implementazione e alle funzionalità avanzate, molte aziende migrano da sistemi TVCC analogici a quelli di videosorveglianza IP. Tuttavia, poiché il panorama delle minacce informatiche diventa sempre più sofisticato e gli attaccanti più implacabili, le aziende devono essere consapevoli dei loro rischi. Soprattutto se risiedono sulla stessa rete di dati e applicazioni business-critical. Ignorarli può essere pericoloso e potenzialmente devastante, quindi chiudere il cerchio della sicurezza di rete deve essere una priorità.