La ciberseguridad la componen múltiples factores, y es responsabilidad de todos tomar decisiones que la protejan. Algunas de estas decisiones permiten mejorar la confidencialidad de los datos, otras se enfocan en la protección de la integridad de la información y la gran mayoría se orientan en evitar vulnerabilidades.
Lanaccess atesora un bagaje técnico de más de 25 años fabricando videograbadores y dispositivos en red ciberseguros por diseño. Esta experiencia nos ha permitido dominar los aspectos funcionales necesarios para prevenir un gran número de ciberataques.
Aspectos funcionales
Algunos de estos aspectos son los siguientes:
1. Videograbadores con sistema operativo propietario o que no sea Windows.
Microsoft Windows es el sistema operativo más popular del mundo y es ampliamente utilizado en dispositivos NVR como arquitectura base del sistema. Pero el sistema operativo del gigante tecnológico también es el objetivo principal de los desarrolladores de malware debido a su amplia base de usuarios.
Los videograbadores que no están basados en este popular sistema operativo:
- Están protegidos frente a los ataques más comunes y dañinos.
- No necesitan tantas actualizaciones de seguridad.
- La base de malware para sistemas operativos propietarios es muy limitada.
2. El uso de ‘firmware’ encriptado aporta una capa extra de seguridad.
El cifrado de firmware dota de confidencialidad e integridad a cada una de las imágenes de sistema del dispositivo. Esta técnica permite que solo el firmware autorizado se ejecute en una plataforma hardware. En otras palabras, garantiza la autenticidad del programa que se ejecute.
Es, por tanto, una característica de seguridad de obligado cumplimiento si queremos evitar que un atacante realice ingeniería inversa contra nuestras máquinas.
3. Usar solo protocolos seguros.
Elige videograbadores que, como los de Lanaccess, utilicen solo dos tipos de protocolos:
- Protocolos estándar con un elevado nivel de seguridad. Típicamente, estos son: HTTPS, FTPS y SSH.
- HTTPS (hypertext transfer protocol secure): se usa para la transferencia de datos en la web. En videovigilancia, el protocolo cifra la comunicación entre la cámara y el videograbador.
- TPS (file transfer protocol secure): se utiliza para la transferencia de archivos. El protocolo cifra los comandos y los datos transferidos entre la cámara y el videograbador.
- SH (secure shell): permite una comunicación segura y encriptada entre un cliente y un servidor remoto. En videovigilancia, el protocolo SSH se utiliza para administrar videograbadores de forma remota y para acceder a ellos de manera segura a través de una conexión encriptada. Proporciona autenticación de clave y cifrado de extremo a extremo para garantizar la seguridad de la conexión y prevenir el acceso no autorizado.
- Protocolos propietarios encriptados. Requieren mayores niveles de autenticación para el acceso a información sensible, como la extracción de vídeo o la búsqueda forense.
4. Dispositivos diseñados para prevenir ataques DDoS.
Un ataque de denegación de servicio distribuido (DDoS, del inglés distributed denial of service) es un tipo de ciberataque común que tiene como objetivo bloquear temporalmente el videograbador con una gran cantidad de solicitudes ilegítimas con el objetivo de sobrecargarlo y hacerlo inaccesible para los usuarios legítimos.
5. Equipos ‘Threat Awareness’.
Threat Awareness consiste en dotar a los grabadores de «conciencia de las amenazas». Un equipo bien protegido, además, enviará una alarma a la central receptora de alarmas indicando que se está comprometiendo la seguridad del sistema.
De este modo, el operador será consciente de que existe un ataque en curso que podría ser: a puertos UDP/TCP no abiertos, la apertura de infinitos sockets contra el sistema, DDoS o registro de intentos fallidos en la actualización del firmware.
El operador podría, por ejemplo: notificar el ataque, bloquear la dirección MAC del atacante, limitar el número permitido de errores de autenticación y reforzar la seguridad de sus contraseñas.
En la política de usuarios, es recomendable usar el principio de privilegio mínimo para reducir el riesgo de brechas internas
6. Funciones de ‘firewall’.
Para que un videograbador sea ciberseguro por diseño, el firewall debería correr dentro del propio equipo. Normalmente, un firewall establece una barrera entre una red de confianza y una red que no es de confianza.
Este servicio permite, por ejemplo, que solo se mantengan abiertos los puertos necesarios para la comunicación, y que sea posible aceptar o bloquear el acceso con diferentes niveles de granularidad (una sola máquina, un rango IP o todas las IP).
7. Videograbadores con ‘switch’ PoE integrado en el equipo.
Es recomendable que las cámaras y otros dispositivos IP, como interfonos, estén conectados al propio switch PoE del videograbador. Esto confiere más seguridad al sistema porque los dispositivos con este conector harán uso de una red privada y, por tanto, estarán aislados de la red IP corporativa.
Elige el fabricante que, como Lanaccess, haya incorporado dentro de la arquitectura del propio equipo switches con funcionalidades avanzadas de gestión y control como: el reinicio remoto de dispositivos conectados, el monitoreo del consumo de energía, la programación de las cámaras y la detección automática de dispositivos. Este último punto es crucial para la detección de sabotaje por intento de sustitución de cámara (grado 4).
8. Política de gestión de usuarios restrictiva.
Recomendamos que el videograbador tenga habilitado una serie de usuarios con permisos diferentes. Por ejemplo:
- Superusuarios, con acceso total al sistema. Este tipo está limitado a los administradores porque permite cambiar configuraciones.
- Usuarios con acceso exclusivo a vídeo.
- Usuarios con acceso exclusivo a grabaciones.
- Usuarios temporales, para técnicos eventuales con acceso más limitado.
En general, es recomendable usar el principio de privilegio mínimo, pensado para reducir el riesgo de brechas internas. Como principio, se basa en que el sistema aplica un rol restrictivo de acceso por defecto a todos los usuarios. Si está justificado, el administrador habilita solo los permisos necesarios.
Si quieres un videograbador que tenga todas las medidas de ciberseguridad mencionadas en este artículo, apuesta por los equipos de Lanaccess, fabricante español de videograbadores seguros desde hace más de 25 años.
