Bảo vệ hệ thống giám sát trước mọi rủi ro cho doanh nghiệp

Tin tức

Bảo vệ hệ thống giám sát là một trong những lo ngại của rất nhiều doanh nghiệp hiện nay. Vào năm 2021, công ty an ninh mạng Cyfirma đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong phần mềm của một nhà sản xuất giám sát hàng đầu, có khả năng cho phép kiểm soát trái phép các camera giám sát. Mặc dù đã có bản vá bảo mật nhanh chóng, hơn 80.000 camera vẫn có nguy cơ một năm sau đó. Các nhóm độc hại đã khai thác các lỗ hổng này, nhắm vào cơ sở hạ tầng và dịch vụ của các doanh nghiệp trên hơn một trăm quốc gia và tác động đến hơn 2.300 tổ chức.

Mục đích chính của hệ thống giám sát là bảo vệ tài sản vật chất, nhưng bảo mật không đầy đủ hoặc quản lý kém có thể biến hệ thống giám sát thành lỗ hổng khiến doanh nghiệp dễ bị vi phạm dữ liệu và đe dọa an ninh mạng. Do đó, việc quản lý tỉ mỉ để bảo vệ hệ thống giám sát là điều cần thiết, đòi hỏi phải đánh giá cẩn thận trong quá trình lựa chọn, triển khai và bảo trì.

Do bản chất phức tạp của bảo vệ hệ thống giám sát và quản lý tài nguyên cần thiết để duy trì triển khai ở cấp doanh nghiệp, Vietcorp khuyến nghị các công ty nên dành thời gian để đánh giá kỹ lưỡng các lỗ hổng tiềm ẩn của hệ thống. Đánh giá này phải bao gồm bảo mật hệ thống để bảo vệ cơ sở hạ tầng CNTT, bảo mật truyền dẫn để tránh vi phạm dữ liệu, bảo mật dữ liệu để duy trì tính toàn vẹn của video và bảo mật dự phòng để đảm bảo hoạt động không bị gián đoạn.

Mục Lục

Bảo mật hệ thống và thiết bị

Theo nghiên cứu của Palo Alto Networks, 70% sự cố an ninh mạng bắt nguồn từ lừa đảo hoặc lỗ hổng phần mềm. Điều này nhấn mạnh tầm quan trọng của việc bắt đầu với bảo vệ hệ thống giám sát và quyền khi duy trì sự an toàn của hệ thống giám sát.

Cân nhắc đầu tiên là bảo vệ hệ thống: hãy xem xét tần suất các nhà sản xuất VMS (Hệ thống quản lý video) hoặc thiết bị cập nhật phần mềm của họ, họ sửa các lỗ hổng bảo mật nhanh như thế nào và chi phí liên tục cho các bản cập nhật và hỗ trợ là bao nhiêu. Phản ứng nhanh là rất quan trọng để ngăn chặn phần mềm độc hại xâm nhập vào hệ thống sau khi lỗ hổng được phát hiện. Điều này đặc biệt quan trọng khi mạng không được bảo vệ đầy đủ, khiến các thiết bị dễ bị tấn công zero-day.

Ví dụ, Synology có một Đội phản ứng sự cố bảo mật (SIRT) chuyên trách xử lý nhanh chóng các lỗ hổng CVE, nhằm giải quyết các vấn đề có tác động lớn trong vòng 24 giờ. Tuy nhiên, để loại hỗ trợ này có hiệu quả trong việc vá các lỗ hổng và ngăn chặn các cuộc tấn công, quản trị viên cũng phải thường xuyên cập nhật hệ thống để giữ cho hệ thống ở phiên bản mới nhất.

Ngoài việc khai thác trực tiếp các lỗ hổng bảo mật, tin tặc có thể truy cập hệ thống thông qua lừa đảo hoặc kỹ thuật xã hội, khiến việc kiểm soát quyền chi tiết trở nên quan trọng. Các hệ thống giám sát thường cho phép thiết lập quyền dựa trên vai trò, nhưng tại Synology, lưu ý rằng nhiều doanh nghiệp rơi vào cách tiếp cận nhị phân đối với quyền, cấp quyền truy cập cấp cao không giới hạn cho tất cả người quản lý và quyền truy cập cơ bản tối thiểu cho tất cả nhân viên an ninh. Việc phân bổ trách nhiệm này có thể dẫn đến nhiều vấn đề, nhưng đặc biệt khiến tổ chức dễ bị tổn thương do danh tính người dùng bị xâm phạm.

Việc tuân thủ nguyên tắc đặc quyền tối thiểu và phân bổ trách nhiệm có thể giảm đáng kể nguy cơ xảy ra lỗi hoặc xâm nhập. Ví dụ, hãy xem xét một chuỗi cửa hàng bán lẻ. Trong trường hợp này, người quản lý cửa hàng có thể có thẩm quyền xem lại cảnh quay và điều chỉnh cài đặt camera, nhưng việc xóa cảnh quay cần phải có sự chấp thuận của cấp cao hơn, trong khi những thay đổi lớn như thay đổi giao thức hệ thống sẽ được dành riêng cho công ty.

Vietcorp khuyến nghị mô hình bảo mật zero-trust với VMS, Surveillance Station , tăng cường bảo mật thông qua xác thực hai yếu tố cho các tác vụ quan trọng và khóa mã hóa để xem cảnh quay. Điều này cung cấp bảo mật mạnh mẽ bằng cách đảm bảo rằng truy cập trái phép vào các tệp video là không hiệu quả nếu không có khả năng giải mã.

Bảo vệ truyền tải và cảnh quay

Cho dù truyền từ camera mạng đến máy chủ ghi hình hay truy cập dữ liệu trên máy chủ ghi hình từ phía máy khách, đều có nguy cơ bị chặn trong quá trình truyền. Do đó, khi mua camera và hệ thống quản lý giám sát, hãy đảm bảo chúng hỗ trợ mã hóa HTTPS cho kết nối và quyền truy cập, và hình ảnh có thể được bảo vệ bằng SRTP.

Ngoài quá trình truyền tải, hãy cân nhắc xem hệ thống giám sát có các biện pháp bảo vệ bổ sung cho chính các tệp video hay không. Ví dụ, Surveillance Station cung cấp chức năng thêm hình mờ tài khoản người xem vào hình ảnh, có thể giúp theo dõi nguồn nếu cảnh quay bị rò rỉ. Nó cũng cung cấp tính năng che giấu quyền riêng tư, cho phép thiết lập các vùng che giấu trong quá trình ghi để bảo vệ thông tin bí mật.

Sao lưu tập tin

Các tổ chức như tổ chức tài chính và cơ quan chính phủ thường yêu cầu lưu trữ cảnh quay giám sát trong thời gian dài. Việc bảo quản đúng cách dữ liệu đã ghi cũng là mối quan tâm chính của các tổ chức cấp doanh nghiệp. Việc lưu giữ và bảo quản dữ liệu giám sát không chỉ đòi hỏi không gian lưu trữ đủ lớn mà còn phải sao lưu toàn bộ để giảm nguy cơ mất mát do hư hỏng hoặc xóa nhầm. Quy tắc sao lưu 3-2-1 vẫn là cách tiếp cận thực tế để lập kế hoạch sao lưu.

bao-ve-he-thong-giam-sat-bang-thiet-lap-chien-luoc-sao-luu-3-2-1 — Bảo vệ hệ thống giám sát với thiết lập chiến lược sao lưu 3-2-1 quy mô lớn

Khi lựa chọn hệ thống giám sát, hãy cân nhắc xem nhà sản xuất có thể cung cấp giải pháp một cửa cho sao lưu đa điểm hay không. Giải pháp của Vietcorp cung cấp cho doanh nghiệp tùy chọn sao lưu cả vào các máy chủ khác và vào các đích đến trên đám mây. Giải pháp sao lưu này có thể được thiết lập trong Surveillance Station, giúp quản trị viên dễ dàng cấu hình trong khi vẫn đảm bảo hệ thống tuân thủ các tiêu chuẩn sao lưu.

Dự phòng máy chủ

Máy chủ không thể ghi lại cảnh quay giám sát nếu nó bị gỡ bỏ, tắt hoặc phá hủy. Kẻ trộm hoặc tác nhân có hại có thể can thiệp vào máy chủ để ngăn không cho chúng bị ghi lại và máy chủ có thể ngừng hoạt động ngay cả khi không có tác động bên ngoài. Sẽ thế nào nếu sự cố xảy ra khi máy chủ ghi hình ngừng hoạt động, do đó không có bản ghi nào được lưu?

Cơ chế dự phòng đảm bảo rằng hoạt động giám sát vẫn tiếp tục diễn ra khi máy chủ ghi hình chính ngừng hoạt động, điều này đặc biệt quan trọng đối với các hệ thống được cho là hoạt động 24/7. Các phương pháp dự phòng phổ biến bao gồm thiết lập HA (Tính khả dụng cao, trong đó các tổ chức thiết lập một máy chủ “thụ động” bổ sung liên tục đồng bộ hóa dữ liệu từ máy chủ “chủ động”. Nếu máy chủ chủ động gặp sự cố ngừng hoạt động bất ngờ, máy chủ thụ động sẽ tiếp quản, tiếp tục ghi lại cảnh quay và tránh thời gian chết .

Để duy trì an ninh giám sát, cần thiết lập các tiêu chuẩn có hệ thống và tuân thủ chặt chẽ theo thời gian. Làm việc với một nhà cung cấp giải pháp giám sát đầu cuối uy tín có danh tiếng tốt trong lĩnh vực an ninh mạng có thể giảm đáng kể khối lượng công việc CNTT trong vấn đề này.