ماموریت Dahua برای ایجاد امنیتی فراتر از استاندارد ها

پروژه امنیتی  (OWASP)، یک سازمان خیریه غیر انتفاعی است که به منظور بهبود امنیت نرم افزار و شناسایی نقاط آسیب پذیری آن ها فعالیت میکند ، درماه گذشته این شرکت گزارش یکساله خود را که مربوط به سال 2017  می شود را با عنوان  OWASP  Top 10 منتشر کرد. این فهرست که هر چهار سال یکبار و از سال 2003 منتشرشده است  شامل ده خطر مهم امنیتی در حوزه وب می باشد .

لیست OWASP 2017 بر اساس بررسی بیش از 2.3 میلیون آسیب پذیری که 50،000 کاربر را تحت تاثیر قرار داده می باشد . این سرویس به عنوان یک راهنمای استاندارد مسائل بالقوه امنیتی برای انواع مختلفی از کاربران، از جمله آنهایی  که از صنعت امنیتی استفاده می کنند مناسب می باشد، زیرا بیشتر برنامه های نظارت تصویری شامل مشاهده ویدئو از طریق LAN / WAN و با استفاده ازمرورگرهای وب می باشد در حالی که دوربین های IP و ضبط کننده ها دارای یک رابط وب برای راه اندازی و پیکربندی دستگاه ها می باشد .

از جمله 10 خطر اصلی موجود درلیست، از مشکلات امنیت سایبری در محصولات امنیتی می تواند به 5 مورد (A2، A3، A5، A6،A9)  اشاره کرد، از جمله  ,مشکلات در تشخیص هویت، قرار گرفتن اطلاعات حساس در معرض نمایش، کنترل دسترسی ، خطا در امنیت و استفاده از ابزاری با آسیب پذیری های شناخته شده می باشد.

 

Dahua Technology، ارائه دهنده پیشرو راه حل در صنعت نظارت تصویری ، برای مقابله با خطرات امنیت سایبری ذکر شده، قبلا اقدامات زیر را انجام داده است :

تأیید هویت و کنترل دسترسی

تقریبا هر دستگاه ویدئویی IP دارای قابلیت احراز هویت است اما تأیید هویت ضعیف یا ناقص می تواند توسط مهاجمان مورد سوء استفاده قرار گیرد تا کنترل دستگاه را به دست بگیرند. به همین ترتیب با کنترل دسترسی ، محدودیت هایی در مورد اینکه چه کاربری مجاز به دسترسی است، اغلب به درستی اجرا نمی شود. مهاجمان می توانند از این نقص برای دسترسی به توابع و یا داده های حساس مانند دسترسی به حساب های کاربران دیگر، مشاهده فایل های حساس، تغییر داده های کاربران ، تغییر سطح دسترسی و غیره استفاده کنند.

برای تقویت احراز هویت و کنترل دسترسی، مرکز امنیت سایبری در Dahua اقدامات زیر را انجام داده است.

اولا یک رمز عبور قوی که شامل 8-32 کاراکتر باشد باید ایجاد شود. این کار باعث می شود پس از چندین تلاش ناموفق دستگاه قفل شود. ثانيا آدرس IP ورود به سيستم براي مشتريان بررسي مي شود تا مشخص شود آيا آنها با شناسه مطابقت دارند و مي توانند به طور موثر درخواستهايي را که از همان کلاینت دريافت نمي کنند، فیلتر کند. علاوه بر این، یک مکانیسم داخلی برای دفاع در برابر نیروی مهاجم از طریق ID هر شخص وجود دارد.

 

محافظت از اطلاعات حساس

اطلاعات حساس در حال ذخیره و انتقال برای اجرای برنامه است، مهاجم سعی خواهد کرد اطلاعات حساس مانند رمزهای عبور، اطلاعات پرداخت و شناسه را سرقت کند. پایگاه داده سایبری Dahua برای حفاظت از اطلاعات حساس، موارد زیر را اجرا می کند.

 

اول از همه، Dahua از رمزگذاری HTTPS پشتیبانی می کند و انتقال غیر رمزنگاری دستورات حاوی اطلاعات حساس را ممنوع می کند. ثانیا، رمزهای ذخیره شده در دستگاه باید همراه با ساختار موجود در دستگاه رمزگذاری شوند تا امکان نفوذ ناپذیری به رمز را افزایش دهد. همچنین هنگام ذخیره، آپلود و دانلود، از داده های پیکربندی محافظت می کند. اعتبار سنجی و یکپارچگی داده ها در هر دو فرآیند آپلود و دانلود بصورت جداگانه انجام می شود.

تغییرات انجام شده برای کاهش اشتباهات

با توجه به نتایج  OWASP، تنظیمات امنیتی اشتباه رایج ترین مسئله است.   Dahua  مسائل مربوط به اینگونه اشتباهات را تحلیل کرده و تغییرات زیر را برای کاهش دادن  حملات احتمالی انجام داده است:

 

برای شروع، همه حساب های پیش فرض حذف می شوند. نصب کننده باید یک رمز عبور سفارشی را در حین تنظیم مجدد دستگاه تنظیم کند. علاوه بر این همه پورت های باز نشده استفاده نشده بسته شده و مکانیزم احراز هویت برای تمامی پورت های باز باقی مانده مورد نیاز می باشد. در نهایت، Dahua قابلیت ارتقاء سیستم عامل را در اختیارتان قرار داده است تا کاربر بتواند به روزرسانی سیستم عامل را آسانتر و راحتتر انجام دهند.

 

تلاش های انسانی برای تصحیح خطاهای انسانی

این امر فقط از طریق ترکیبی از نیروهای انسان و ماشین آلات، مشتریان و تولید کنندگان امکان پذیراست که ما می توانیم بیشترین کارایی را در مقابله با مشکلات امنیتی سایبری ارائه دهیم Dahua تلاش زیادی کرده است تا اطمینان حاصل شود مشتریان اطلاعات مناسب، دسترسی به نرم افزار, رفع و پشتیبانی فنی برای مقابله با آسیب پذیری را به طور موثر ارائه در یافت. میکنند .

 

از آنجایی که نظارت تصویری به یک بخش اصلی IoT تبدیل شده است، شگفت آور نیست که در سال های اخیر تعداد زیادی حملات بر روی دستگاه های ویدئویی IP وجود داشته است. بنابراین Dahua پیشنهاد کرده است که یک اکوسیستم جدید از امنیت شبکه را که شامل کاربر نهایی، نصب کننده ها و تولید کنندگان است ایجاد کند. در اوت 2017، Dahua یک مقاله در مورد امنیت سایبری با مشتریان خود به اشتراک گذاشت و نسخه به روز شده در اوایل سال 2018 صادر خواهد شد.

به این ترتیب، Dahua به واسطه شناسایی خطرات ، مهاجمان بالقوه و سایر تهدیدات برای مقابله با تهدیدات وامنیت سایبر آماده شده است. Dahua با برنامه های احتیاطی خوب و مکانیسم های مقابله با دقت طراحی شده و می تواند به صورت سریع و موثر به ریسک ها پاسخ دهد. Dahua با ماموریتی برای ایجاد یک جامعه ایمن و زندگی صحیح، همچنان بر «نوآوری، کیفیت و خدمات» تمرکز خواهد کرد تا به شرکا و مشتریان خود در سراسر جهان خدمت کند.