\S EAGLE EYE 7 NETWORKS Las 12 mejores practicas para sistemas de camaras de seguridad — Ciberseguridad Libro blanco técnico de Dean Drako, CEO de Eagle Eye Networks <6Introducci6n Los sistemas de cémaras de seguridad estan cada vez mas conectados a Internet, impulsados en gran parte por la demanda del cliente por acceso remote a video. Los sistemas van desde sistemas de vigilancia administrados en la nube, los tradicionales DVR/VMS/NVRs conectados a Internet, y sistemas tradicionales conectades a una red local que a su vez estd conectada a Internet, Con la aceleracion de ciberataques, los integradores de seguridad fisica y el personal de soporte interno deben mantenerse actualizados en los vectores de ataques de ciberseguridad que pueden afectar a los sistemas de gestién de video de la camara que venden yo administran. Estos sisternas requieren el mismo nivel de proteccién contra las vulnerabilidades de ciberseguridad otorgadas sistemas de TI tradicionales. Este libro blanco se enfoca en las mejores practicas para los sistemas de camaras de seguridad conectadas 2 Internet. Muchas de estas practicas también pueden aplicarse a otros sistemas de seguridad fisica. 2 | EAGLE EYE NETWORKS Libro Blanco de 12 Mejores Prscieas1. Seguridad fisica en una puerta peligrosa para ciberataques Los sistemas de cémaras de seguridad estan cada vez mas conectados a internet, impulsados por el deseo por acceso remoto y control, integraci6n y costes drasticamente reducidos de almacenamiento en la nubs. En adicion al numero cada vez mayor de sistemas de vigilancia gestionados en la nube, la mayor parte de los sistemas de cémaras de seguridad tradicionales estan conectados Internet para obtener acceso remoto, soporte y Mmantenimiento, o estan conectados a una red local, la cual a su vez estd conectada a Internet En paralelo, los ataques cibernéticos continuan aumentando. Se vuelve comun leer acerca de millones de brechas en los titulares de noticias. Las responsabilidades por dafios son un enorme riesgo para las empresas 2. Principales vectores de ataque para sistemas de camaras de seguridad Los cinco mayores vectores de ciberataques para sisternas de camaras de vigilancia son: 1. Windows OS 2. Linux Os 3. DVRs (grabadores de video digitales), NVRS (grabadores de video de red), VMS (sisternas, de gestion de video) Puntos finales (cdmaras) 5. Puertos de cortafuegos Es entonces imprescindibble que los sistemas de camaras de seguridad obtengan el mismo nivel de atencién para, yla misma proteccién de, vulnerabilidades de ciberseguridad que otros sistemas de TI tradicionales. Los integradores de seguridad fisica y el equipo interno de soporte deben mantenerse actualizados en los vectores de ataques de ciberseguridad que pueden afectar a los sistemas de gestion de video de la camara que venden y/o administran. Este libro blanco se enfoca en las mejores practicas para los sistemas de cémaras de seguridad conectadas a Internet, Muchas de estas practicas también pueden aplicarse a otros sistemas de seguridad fisica. Discutiremos estos vectores de ataques en el contexto de mejores practicas aplicables que pueden ser destruidas para proteger a su sistema de vigilancia contra ellos. EAGLE EYE NETWORKS Libro Blance de 12 Mejores Préctcas | 23. Tipos de sistemas de videovigilancia: tradicional y Cloud/VSaaS Los términos ‘videovigilancia en la nube' y’sisteme en la nube’ se usan de inconsistentemente. Es entonces importante revisar con su proveedor para ver exactamente cémo obtienen acceso a Internet debido a que afectara los pasos que debe tornar para asegurarse de que su sistema sea seguro. Para los propésitos de este libro blanco, distinguiré entre los tipos de sistemas de la siguiente manera: + Sistema tradicional: un DVR, NVR, 0 VMS con una conexisn a Intemet, generalmente con el propésito de acceso a video remoto + Sistema gestionado en la nube: (también conocido como VSaas) con un sistema gestionado en la nube, aunque puede haber un dispositivo fisico, el video es grabado y gestionado en la nube Tipos de Sistemas de Camaras de Seguridad Tradicional (DVR/NVR/ Gestionado en la nube MS con acceso remoto) JVSaaS 4 | EAGLE EYE NETWORKS - Libra Blanco de 12 Mejores Préctcas> EAGLE EYE ay 4. Doce mejores practicas para la ciberseguridad de sistemas de camara de seguridad 4.1 Contrasefias de camara Vulnerabilidad Se estima que uno de cada 5 usuarios de web as faciles de vulnerar. Las todavia usan contra! siguientes son las 10 contrasefias mas usadas de! 2018, seauin Splash Data 1. 123456 2. Password = 12845678 4. qwerty 5. abcl23 6. 123456789 7 mm 8. 1234567 9. iloveyou 10, adobe Casi todas camaras vendidas hoy en dia tienen una interfaz de usuario basada en web (GUI), y vienen con un usuario y contrasefia por defecto que es publicada en Internet, Algunos instaladores nunca cambian la contrasena y dejan la misma contrasefa por defecto en todas las camaras Solo pocas c4maras tienen una manera de desactivar el GUI, asi que la vulnerabilidad de seguridad 2s que alguien puede intentar accede ala camara via la GUI en linea ra adivinar la contrasefia. El ‘hacker’ ns soa la red para hacer esto, pero las cémaras se encuentran, usualmente en una red compartida, no en una esita red separada fisicamente o una VLAN. Peete etre urlaar ks Poe Nears Ce aad Peete = eal aaa et eget Tay EN earls ara permitir este eater esc ota EST ele Moet Poe eee VLAN 0 red fisica privada: la misr Coeur ec ol EAGLE EVE NETWORKS Libro Blanco de 12 Mejores Practices | SMejor practica: 4.2 Redireccién de puertos Vulnerabilidad ahora demandan y esperan acceso remoto a videos desde dispositives méviles. La mayorfa de los usuari arc) CUE ony Esta funcion es normalmente entregada al Pee Mast elton sees eta oe xponer el DVR, NVR 0 VMSa Internet de alguna reer ee a Ean oe manera despliegue ademis un IDS/IPS para mayor Peter La exposicion tipica a Internet de un servidor HTTP es extremadamente peligrosa debido a bilidades maliciosas que pueden ser usadas para obtener 50, Las maquinas abiertas a Internet son de 10.000 veces al Reman Lan oL que existe un gran numero de posi ea ta 3 Denese eee (sake asad usualmente escaneadas asi que no existe esta vulnerabilidad y no fa, ee Ue ee ac eT eee ee ev Un ejemplo de esta vulnerabilidad fue la explotacion Heartbleed de OpenSSL en el 2014; muchos fabricantes tuvieron que pedir a sus usuarios que restablezcan sus contrasenas, 4.3 Cortafuegos Vulnerabilidad Como se menciona arriba, cualquier DVR/NVR/VMS en el sistema debe tener un cortafuegos para protecci6n, especificamente si va a exponerlo a Internet para cualquier tipo de acceso remoto, Los cortafuegos pueden ser muy complejos, con miles de reglas. Los cortafuegos de nueva generacion Nn incluso mas compl porque analizan los protocolos que pasan por k uertos y verifican que protocols apropiados sean usados 6 | EAGLE EYE NETWORKS Libro Blanco de 12 Mejores PracieasIY Ciel ol c-Letd Cer: tema tradicional Te eae Ml ee Retest ok ur ee Re Aas tate Ne te keonie ary Coeliac st) Persea seta ae tia Tene ee a kta eno eee Re a ere Lean Tard Cece etal sete Tay Ma =r 4.4 Topologia de red (camaras separadas) Vulnerabilidad Mezelar camaras en una red estandar sin seperacién es una receta para el desastre. Si su sistema de cémaras de seguridad a su red principal, esta creando una cones puerta para que los hackers puedan ingresar a su red principal a través de su sisterna de vigilancia, o entrar a su sistema de seguridad fisica a través. de su red principal Algunos DVRs pueden ser incluso ser enviados con un virus. ecto) ee sacar | Se eresots Soe em Leena ks Rae ret( Mejor practica: ee rae ee nar basado en la nube Ue Tas CMU oe EES Cas ke -Ua cad de seguridad en una red separada fisicarnente del resto de su red. Siesta integrando con un ambiente Calta Cees Sete eee ae agkencoR PEN eA EAGLE EVE NETWORKS - Libro Blanco de {2 Mejores Prctleas 74.5 Sistemas operativos Vulnerabilidad Su VMS, DVR, NVR o sistema de grabacién tendré un sistema operativo, Todas | un sistema operative ‘Todos los sistemas operatives tienen vulnerabilidades, tanto los basados en Windows como los basados en Linux. Las vulnerabilidades de Windows estan tan bien aceptadas que los equipos de TI las monitorizan regularmente. Recientemente, se ha vuelto mas y mas aparente que Linux tiene también muchas ablliclades, como Shellshock (2014) y Ghost (2015}, lo cual ha h sistemas. vulne En teoria, su fabric: inte de sistema tendré un \uipo de seguridad de alta gama que esté disponible para ofrecerle actualizaciones e muchos de seguridad, La realidad e proveedores no hacen esto de una r predecible. ICS ola ole Tetd ler Sistema tradicional Eee Nicos oc unscoe maliciosas, debe seguir y monitorizar |: Reece Cen Me ses te eee eer Cee ese tee ere a Cone Ets 8 | EAGLE EYE NETWORKS. Libro Blanco de 12 Mejores Préctieas Sies un sistema basado en Windows, Coreen ee ao Soma Pret eee Teo a es oa Denes MN lcs) Cen eas sae geste ea Eom le teas Tr Peso exe esos te Le Cea a Casco or TCU aon ketene ee Seca Say Bascal tae tee ee esse coe or EOP Ce ct eo SEN EM MTs oa) Ne aa eee outa] oar eae ue ol oe a og Creare iene on CIT td Foes eta ge PN ess eet Ue MAEM pees AM nec Coon oo Net cle tee a See eee ua tach) bajo el dominio de un departament Sea oa oso eM reer es eg eet ce ee et een ee NA poet Tee icy asegurar que las maquinas sean seguras.eee ote eT tec ge Tea cE Amara ofrezca parch Poets Peete ECR ttt eet oy Chi erat cl De eee estes ste err a a aerate cet cacy Eee ets oR u Tos Peet tee) Cirle MES eerta ee en EE eae aT) eae Bettas eee cay Coit Creer eae? oo Toe tare zl 4.6 Contrasefias de sistemas operativos Vulnerabilidad Como sucede con las contrasenias de camaras, una contrasefia d stema débil puede crear una oportunidad para ciberataques a su sistema de vigilancia y a su red. Desafortunadamente, en muchos ambientes de sisternas operativos, la contrasefia de raizo de administrador es compartida entre todos los administradores, extendiendo el riesgo de guridad. La rotaci6n de empleados, ya sea por desgaste o por un cambio de roles, puede crear agujeros de seguridad inesperados. Mejor practica: RTs Bafecelleleglell [Sele |e eo aa Ue he cl eee eect Terr aM selec d elec ue CML Ce es od Cees Stas Rede Ws os Reon os coETy Deut Cas kere) otc SINS Ce Ete Tass) Tek tooo tou Dao Nee Ue osu ees od Pe een nae Ere que son para cuentas individuales (mir CeO Rees aed aac sy Ore eee Reon eet ats eas Re resae icos EAGLE EVE NETWORKS- Libro Blanco de 12 Mejores Prices 94.7 Contrasefias de sistemas de videovigilancia Vulnerabilidad El acceso no autorizado a su si de seguridad deja vulnerable tanto a su sistema de vigilancia como a la red conectada a la misma ema de cémaras Mejor practica: Te eed Pee eee ea as Cesta sae eteen test de vigilancia sigui Peete Tes Ly ane eee NTs Re Sac Las contrasefias largas y fuertes son las 4.8 Cifrado de conexion Vulnerabilidad Un numero sorprendente de DVR/NVRVMSS: radas con SSLo. usan conexiones que no estai equivalentes. Este riesgo es idéntico al de iniciar sesion en un baneo o realizar compras en lineas sin https. Crea una wulnerabilidad de contrasefia y abre la osibilidad a brechas de privacidad y espionaje. 10 | EAGLE EVE NETWORKS Libro Blanco de 12 Mejores Précticas Mejor practica: eRe early eS eeet [ote Merete Sie Noobs met oN ee ee occ oC Piece Oke cine} Eee ae Canoe eases sets i Sires Rego metas art Wie eee eon ec Tee neg goat ala een Reo co ees oun Tart cd Mea Turs4.9 Cifrado de video Vulnerabilidad Ademis de conexiones inseguras debido a una idad falta de cifrado, los mismos riesgos de priv se aplican cuando el video no es cifrado al ser guardado en un disco o en transito. Mejor practica: Dee ae ate Me) Perego en oar Pee Ree Nes cc ea resert iy el video debe ser cifrado, tanto cuando es ORES Ee aN eke uso oe) ets 4.10 Acceso movil Vulnerabilidad Las vulnerabilidades de contrasefa, eliminacién de cuenta y de cifrado se aplican doblemente a terminales méviles Mejor practica: EN ere Rc eee ea reer eo Ta uate ce Er are geese eee ty tenga una Deis TCT) Pee ae eanoscc ng leone ENN Ce ieveliry Cotesia sy Cee CuRe oes a eee es kact =} Rae) 4.1 Acceso fisico al equipo y almacenamiento Vuinerabilidad Las recompens econémicas por rebar datos empresa son lo suficientemente altas como para que los intrusos busquen también acceder a su red mediante un ataque directo a su equipo fisico en susinstalaciones, Mejor practica: Sistema tradicional Dea ree Reset eaters eetarls MM erecolou hs ous Tels Vea 8 Dela Pees a a eens eM se ty control de aes Tes Mc eka T cic} monitorizarlo, Esta practica no solo protege Cut ells cal Wie eaten Reva aS TeTe) Ceres PSU e Ss Seiler toa Tosi Aer as EAGLE EVE NETWORKS. Libro Blanco de 12 Mejores Précticas| 1Sies pasivo en este aspecto, dependera men Sefer Le je que el proveedor envie parches para actualizar el sisterna ante dichas| PUN eee ed a Tees Teta vulnerabilidades. Parsee esa tt an ae Soeur talaet sess -a ee eae te ees ae sci Ra acces abet istema tradicional see et ener eet rd eke Peete et tence sce 2a para mantener los componentes Es importante preguntar a su integrador a Opus EERE ee reese Peg eet et aa Ete mee irae ae EE entaan= ee es es eee ea ae tegene Ge ec eas Pees ete Peso h ceca 4.12 Software de grabacién de video eno ce tery proveedor de VMS disponga de un equipo Vuinerabilidad Cet Rea Reee NR ek ete Tae Se eeu ee aa Los programas de gestion de video usan muchos Ree Lan compone 15 mas alla del sistema opera de bases de datos de Microsoft. Como con el sistema o} como aplicacions rativo, estos componentes be ser manten erse actualizados y seguros. Te Nel eee See EN te sey Muchos VMS, por ejemplo, usan Microsoft Acc bibliotecas, asi como el software que tienen ‘ Beas er pueden ser introducidas si el software en el que See ee ear instal Nuevas vulnerabilidades de sistema “conectado a Internet” antes de asumir se apoya no esté actualizado, incluyendo parches de seguridad. 12 | EAGLE EYE NETWORKS -Libre Blanco de 12 Mejores PractiensConclusién - Mezcla de referencias de mejores practicas Las brechas de seguridad continUan acelerando alrededor del mundo. Con mayor conexién a Internet, los sistemas de seguridad fisica son muy vulnerables a los ciberataques, tanto a ataques directos, como a intrusiones al resto de la red. Las responsabilidades por estos ataques todavia se estan definiendo, Para maximizar su seguridad, es imprescindible definir mejores practicas para su propia empresa come parte de la evaluacion del sisterna de su camara de seguridad, asi como su implementacion y mantenimiento, Es recomendable proteger a su empresa y clientes con medidas de prevencion. EAGLE EYE NETWORKS - Libro Blanco de 12 Mejores Priceas | 12&S EAGLE EYE NETWORKS ~BUSCANDO COMO MOVERSE ALA NUBE? Aprenda mds sobre la plataforma de gestién de video de Eagle Eye Networks. Eagle Eye Networks fue creado para facilitar la seguridad de los videos. Los sisternas de cmaras tradicionalmente han sido complejos y dificil le manejar para todo e! mundo. EI VMS de Eagle Eye Cloud, puede implementar multiples cémaras en multiples ubicaciones, sin instalar saftware ni comprar servidores grandes. Obtenga mas informacién sabre VMS en la nube, explore la plataforma que ofrecemas, o hable con uno de nuestros especialistas hoy, Eagle Eye Networks EMEA Contact us Support Desk Hogeniiveg 19 eon & *81202610 461 OT CB Amsterdam © EMEAsales@eencom 2 cuspom@rensom The Netherlands % wumeencom % suaveencombipoort 1M | EAGLE EYE NETWORKS - Libr Blanco de 12 Mejores Préctcns