지난 7년 동안 저는 사이버 보안과 관련된 질문들을 다루어 왔습니다. 저는 개념을 조사하고 방법론, 보안 제어, 취약성, 정책 및 프로세스를 정의해 왔습니다. 최근 몇 년 동안, 저는 우리 생태계의 보편적인 사이버 보안 위협, 보편적인 실수, 그리고 보편적인 우려사항에 대해 조사해 왔습니다. 그리고 그것들을 하나의 게시물로 만드는 것이 좋을 것이라고 느꼈습니다.

위험 관리 및 위협 평가

사이버 보안 ‘래빗 홀’에 들어가면서, 저는 우리 제품의 보안 기능이 무엇인지 살펴보기 시작했습니다. 거기서부터 저는 성숙함을 쌓기 시작했습니다. 제게 있어, 사이버 성숙도는 여러분이 직면하고 있는 위협에 대해 제대로 이해하고, 위험에 대해 어느 정도 이해하고, 또한 이러한 위험을 완화하는 방법을 알고 있다는 것을 의미합니다. 잠재적인 부정적 영향의 확률과 추정이 있기 때문에 리스크 관리가 어렵습니다. 그것은 추측 게임입니다. 그리고 이것은 시스템을 운영하는 조직만이 정의하거나 추정할 수 있습니다.

반면에 위협은 상관없이 동일합니다. 위협은 곳곳에 있습니다. 위협은 나쁜 일이 일어날 것이라는 것을 의미하지 않습니다. 우리 모두는 하늘에서 유성체가 떨어져 우리의 머리를 때릴 위협을 가지고 있습니다. 그 충격은 치명적일 수 있지만 가능성은 희박합니다. 위험성이 낮습니다.

IT 시스템에 대한 위협은 모든 형태로 나타납니다. 사이버 보안 위협은 미디어에서 흔히 볼 수 있는 해커, 바이러스 및 악성 프로그램보다 훨씬 더 광범위합니다. IT 시스템에서 보호해야 할 주요 사항은 일반적으로 기밀성, 무결성 및 가용성이라 할 수 있습니다. 이러한 모든 영역에 부정적인 영향을 미치는 것은 사이버 보안 사건입니다. 하드웨어 장애는 가용성에 영향을 미치는 위협이므로 사이버 보안 사건으로 분류되기도 합니다.

고의적인 또는 우연한 시스템 오용

시스템에 대한 합법적인 액세스 권한을 가진 사용자는 동시에 가장 흔한 위협 요소입니다.

• 개인이 권한이 없는 시스템 서비스(예: 비디오)에 액세스할 수 있습니다.
• 개인은 도둑질을 합니다.
• 불만족스러운 개인이 시스템에 고의적인 손상을 입힐 수 있습니다.
• 개인은 문제를 해결하려 할 수 있지만 시스템 성능이 저하되는 결과를 낳을 수 있습니다
• 개인은 실수를 합니다.
• 개인은 사회 공학에 취약합니다.
• 개인이 중요한 구성 요소를 분실하거나 잘못 둘 수 있습니다 (액세스 카드, 전화, 랩톱, 문서 등).
• 개인의 컴퓨터가 손상되어 의도치 않게 멀웨어에 시스템을 감염시킬 수 있습니다.

또한 위협이 시스템에 영향을 미칠 수 있는 가장 일반적인 취약성에는 다음과 같은 것이 있습니다.

1. 조직의 사이버 인식 부족
2. 리스크를 관리할 정책 및 장기 프로세스 부족

이러한 요인은 종종 편의에 의해 움직이게 하여, 일반적으로 계정 관리가 제대로 이루어지지 않고 너무 많은 사용자에게 권한과 액세스 권한을 부여하는 결과를 가져옵니다.

VMS(비디오 관리 시스템)에서는 잠재적으로 많은 사용자가 비디오 관리 서버의 라이브 및 녹화된 비디오에 액세스합니다. VMS 소프트웨어는 사용자에 대한 다양한 권한 수준을 가진 사용자 계정 관리 기능을 제공합니다. 고객이 해야 할 일은, 정책을 정의하고 해당 정책을 지속적으로 유지 관리하는 프로세스를 수립하는 것입니다.

카메라 자체에는 실제로 사용자가 없습니다. 클라이언트가 있지요. John, Bob 또는 Jane이 카메라에 계정을 가지고 있는 것은 아닙니다. 개인은 일상 업무 중에 절대로 카메라에 액세스해서는 안됩니다.

장치에는 관리용 계정 하나, 일일 운영 클라이언트(VMS)용 계정 하나가 있어야 하고, 유지 관리 및 장애 처리용으로는 임시 계정을 사용해야 합니다. 비디오 시스템을 배포할 때 발생하는 가장 일반적인 오류 중 하나는 세 가지 역할이 모두 동일한 계정을 공유하는 경우입니다. 이러한 계정 암호는 조직 내에서 쉽게 전파되어 고의 또는 우발적인 오용의 기회를 만들 수 있습니다. 제조업체의 권장 사항 및 보안 강화 가이드를 따르는 것이 중요합니다.

물리적 조작 시도 및 파괴

IT 시스템의 물리적 보호는 사이버 보안 측면에서 매우 중요합니다.

• 물리적으로 노출돤 장치는 손상될 수 있습니다.
• 물리적으로 노출된 장치는 도난당할 수 있습니다.
• 물리적으로 노출된 케이블은 분리, 리디렉션 또는 절단될 수 있습니다.

카메라 자체는 조작에 취약할 뿐만 아니라 네트워크 케이블이 노출되어 있을 수 있습니다. 이는 네트워크 침해를 위한 기회를 제공할 수 있습니다.

위협이 익스플로잇될 가능성이 있는 일반적인 취약성 목록은 다음과 같습니다.

• 서버 및 스위치와 같은 네트워크 장치가 잠금 장치가 있는 구역에 배치되지 않은 경우
• 쉽게 접근할 수 있도록 카메라가 장착되어 있는 경우
• 벽이나 도관에서 케이블이 노출되어 있는 경우
• 장착된 카메라의 보호 하우징이 부실한 경우

공급업체의 지침을 따르십시오. 상식을 지키십시오.

위험 및 침해의 영향을 완화

침해는 시스템 리소스에 액세스하기 위해 사용자가 하나 이상의 보안 제어를 무시할 때 발생합니다. 시스템을 침해하는 공격 벡터의 예는 많습니다. 사회 공학은 가장 보편적이고 효과적인 것 중 하나입니다. 기본적으로 무위험 공격 벡터입니다.

시스템을 침해하는 데 얼마나 많은 정교함이 필요한지는 어떤 보안 제어 장치를 장애물로 추가하느냐에 따라 달라집니다. 인터넷에 노출된 모든 시스템은 원격 공격자가 집에서 해당 리소스에 액세스할 수 있다는 의미이며, 이를 통해 원격 공격자는 잠재적인 취약성을 탐색하고 찾을 수 있습니다. 이것은 사이버 범죄자들과 스크립트 키디가 하루 종일 하는 일입니다.

위험을 줄이기 위한 일반적인 완화 기법은 노출을 줄이는 것입니다. 비디오 시스템은 일반적으로 인터넷에 노출되지 않으며 그렇게 하지 않는 것이 좋습니다. 이렇게 하면 원격 공격자가 잠재적인 취약성을 이용하고 시스템을 침입할 위험이 자동으로 줄어듭니다.

비디오 시스템의 경우 일반적인 취약성은 장치의 물리적 노출과 관련이 있습니다. 어떠한 보호 장치가 없으면, 카메라에 접근할 수 있는 사람 누구나 이더넷 케이블을 하이잭킹할 수 있습니다. 방화벽 추가, 네트워크 분할 및 네트워크 액세스 제어(802.1X)를 포함하여 이러한 경우에 추가할 수 있는 여러 가지 보안 제어 기능이 있습니다. 이러한 위험을 줄이려면 공급업체의 권장 지침을 따르는 것이 중요합니다. 공급업체에서 제공하는 제품 및 보안 강화 가이드에는 악의적인 공격자가 네트워크 액세스 권한을 얻는 경우에도 위험을 줄이는 권장 사항과 보안 제어 기능도 포함됩니다.

보다 정교한 사이버 공격에 대비

여러분이 가장 일반적인 위협을 관리할 수 없다면, 상대방은 더욱 정교한 노력을 기울일 필요가 없습니다. 정교화에는 기술, 시간, 결단력 및 리소스가 필요합니다. 비디오 시스템에 대한 정교한 공격의 위협은 존재하지만 흔하지는 않습니다. 비디오 시스템 침해는 수익을 창출하기 어렵기 때문에 사이버 범죄자들의 관심이 덜할 것입니다. 하지만 중요한 인프라를 보호하는 비디오 시스템은 위험성이 높습니다. 이러한 조직들은 국가나 사이버 테러리스트와 같은 단호하고 풍부한 리소스를 갖춘 적들과 싸우고 있습니다. 이러한 조직은 이미 일반적인 위협에 대한 보안 제어를 추가했습니다. 상대방은 좀 더 정교함을 발휘해야 합니다. Axis가 이러한 위험을 줄이는 데 어떻게 도움이 될 수 있는지가 향후 기사의 주제입니다.

 

사이버 보안에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

Axis와 사이버 보안