Công nghệ Dahua Xem sự phù hợp của OWASP 10 đối với ngành công nghiệp an ninh camera giám sát
(OWASP), một tổ chức từ thiện phi lợi nhuận toàn cầu nhằm mục đích nâng cao tính bảo mật của phần mềm, đã cho ra mắt OWASP mới nhất vào năm 2017 vào tháng trước. Danh sách này, được sản xuất bốn năm một lần kể từ năm 2003 bao gồm mười rủi ro bảo mật ứng dụng web quan trọng nhất và được tuân thủ nhằm đáp ứng nhu cầu ngày càng cao đối với các hệ điều hành không gian mạng và kết nối.
Danh sách 10 OWASP năm 2017 dựa trên việc kiểm tra hơn 2,3 triệu lỗ hổng đã tác động đến 50.000 ứng dụng và có hai bản cập nhật lỗ hổng quy mô lớn và các kịch bản tấn công cập nhật. Nó phục vụ như một hướng dẫn tiêu chuẩn cho các vấn đề tiềm ẩn hoặc tất cả các loại người dùng, kể cả những người thuộc ngành công nghiệp an ninh vì hầu hết các ứng dụng camera quan sát bằng video đều xem việc xem video trên mạng LAN / WAN bằng trình duyệt web trong khi các camera IP wifi không dây và máy ghi âm có một giao diện web để khởi tạo và cấu hình những thiết bị.
Trong số 10 rủi ro hàng đầu trong danh sách, hầu hết các vấn đề an ninh mạng được biết đến trong các sản phẩm bảo mật có thể được liên kết với 5 mục (A2, A3, A5, A6, A9), bao gồm Quản lý Chứng chỉ và Quản lý Nứt, Tiếp xúc dữ liệu Nhạy cảm, , Cấu hình bảo mật an ninh và sử dụng các thành phần với các lỗ hổng đã biết.
OWASP của Mười ứng dụng Web quan trọng nhất Các rủi ro bảo mật
Để đối phó với các rủi ro về an ninh không gian mạng nêu trên, Dahua Technology, nhà cung cấp giải pháp hàng đầu trong ngành giám sát video toàn cầu, đã thực hiện các biện pháp sau:
Tăng cường xác thực và kiểm soát truy cập
Hầu như mọi thiết bị lắp đặt camera IP đều có xác thực tại chỗ nhưng chứng thực yếu hoặc bị hỏng có thể bị các kẻ tấn công lợi dụng để chiếm quyền kiểm soát thiết bị. Tương tự với Kiểm soát Truy cập Không hợp lệ, những hạn chế về những gì người dùng được chứng thực được phép thực hiện thường không được thi hành đúng. Những kẻ tấn công có thể khai thác những lỗ hổng này để truy cập các chức năng trái phép và / hoặc dữ liệu, chẳng hạn như truy cập vào tài khoản của người dùng khác, xem các tệp nhạy cảm, sửa đổi dữ liệu của người dùng khác, thay đổi quyền truy cập và như vậy.
Để tăng cường khả năng xác thực và kiểm soát truy cập, cơ sở dữ liệu không gian mạng của Dahua đã thực hiện các biện pháp sau. Thứ nhất, phải tạo mật khẩu mạnh gồm 8-32 ký tự. Nó sẽ tự động khóa sau nhiều lần thất bại. Thứ hai là địa chỉ IP của đăng nhập vào các máy khách được kiểm tra xem liệu chúng có khớp với ID phiên và có hiệu quả có thể lọc các yêu cầu không đến từ cùng một máy khách hay không. Ngoài ra, các phiên nhàn rỗi sẽ bị chấm dứt để giảm nguy cơ do người dùng quên đăng xuất. Hơn nữa, có một cơ chế được xây dựng để bảo vệ chống lại lực nẩy nẩy của giá trị ID phiên.
Bảo vệ dữ liệu nhạy cảm
Dữ liệu nhạy cảm đang được lưu trữ và truyền đi để chạy ứng dụng, kẻ tấn công sẽ tìm cách ăn cắp thông tin nhạy cảm như mật khẩu, thông tin thanh toán và ID. Cơ sở dữ liệu không gian mạng ảo của Dahua đã triển khai những điều sau đây để bảo vệ dữ liệu nhạy cảm.
Trước tiên, Dahua hỗ trợ mã hoá HTTPS và cấm truyền tải các lệnh liên quan đến dữ liệu nhạy cảm. Thứ hai, mật khẩu được lưu trữ trong thiết bị phải được mã hóa cùng với ngữ cảnh thiết bị cụ thể để tăng sự khó khăn để crack mã hóa. Bảo vệ dữ liệu cấu hình bằng mã hóa khi được lưu trữ, tải lên và tải xuống. Ngay cả những người dùng đã được chứng thực cũng không được phép giải mã dữ liệu dưới dạng văn bản rõ ràng. Tính hợp lệ của dữ liệu được tiến hành trong quá trình tải lên và tải xuống.
Những thay đổi được thực hiện để Giảm Cấu hình Sai
Theo OWASP, cấu hình sai về bảo mật là vấn đề phổ biến nhất. Dahua đã phân tích các vấn đề xác định sai trong quá khứ và thực hiện những thay đổi sau để giảm bớt sự phơi nhiễm với kẻ tấn công tiềm ẩn:
Để bắt đầu, tất cả tài khoản mặc định sẽ bị xóa. Trình cài đặt phải thiết lập một mật khẩu tùy chỉnh trong quá trình khởi tạo thiết bị. Ngoài ra tất cả các cổng mở không sử dụng được đóng lại và cơ chế xác thực được thực hiện cho tất cả các cổng mở còn lại cần thiết. Cuối cùng, Dahua đã triển khai tính năng nâng cấp phần mềm điện toán đám mây để giúp người dùng dễ dàng và tiện lợi hơn để cập nhật phần mềm.