如何讓您的所有裝置保有網路安全

Ola Lennartsson

網路管理員正承受與日俱增的壓力,必須要確保其網路採用安全的設計並安全地運作。因此,他們應具備在系統整個生命週期中管理網路安全的正確知識和工具。在此文章中,我們將深入介紹管理網路裝置的最佳網路安全實務,以及裝置管理軟體如何讓管理員以有效率的方式達到網路安全目標。

隨著網路裝置的數量持續增加,網路管理員的工作量亦是如此。這通常不只是會增加已經緊繃的工作時間行程表,也可能會造成安全性減損。Axis 近期的現場測試針對 200 台網路攝影機進行基本裝置管理工作所需的時間比較。這些基本工作包括安裝附加應用程式 (ACAP)、升級韌體、設定裝置和強化裝置;當手動使用攝影機網頁介面時,這些工作需要 106 小時的時間完成。然而,使用裝置管理軟體時,所需時間減少到僅需 30 分鐘。

持續意識到您企業所面臨的弱點

廣義來說,企業應採用兩步驟來達到網路安全整備。第一步是網路安全意識。如果您的企業並未意識到潛在的網路弱點、威脅及問題,則無法採取任何動作來防止。這需要企業秉持持續學習與改善的精神。這有關於持續自我教育,並在您的組織內擁抱良好的網路安全文化。在此情境下,供應商需要根據明確的弱點管理政策、流程及實務工作

取得減輕風險的助力

第二步為減輕風險:一旦意識到潛在問題後,您的企業可以採取哪些步驟來解決問題?假設企業無法自行解決某個問題,通常需要外界支援和協助。遴選廠商與合作夥伴,查看他們過往的網路成熟度實績記錄,就是好的開始。了解威脅和抵擋這些威脅方法的廠商與合作夥伴。掌握其供應項目、擁有經驗,以及在需要時應用最佳實務慣例的廠商與合作夥伴。公開透明並為您所選的產品提供長期修補韌體支援的廠商與合作夥伴。同樣重要的是,能夠提供可讓您應用減輕威脅所需之安全控制的廠商與合作夥伴。例如透過裝置強化和裝置管理。

保存完整的裝置詳細目錄

確保企業網路安全性的基本層面就是保存網路上裝置完整的詳細目錄。建立或審查整體安全性政策時,應了解每個裝置並清楚記載每個裝置,不只是重要資產。這是因為任何單一受到忽視的裝置都會成為攻擊者的進入的窗口。您無法保護遭到忽視或完全不曉得的裝置。

裝置管理軟體為網路管理員提供存取網路裝置即時的詳細目錄的自動化方式。它可讓他們自動識別、列出及排序網路上的裝置。同樣重要的是,它也可讓他們使用標籤,因此他們可以根據符合企業特有需求的標準將裝置分組和排序。這可讓您輕鬆取得您網路上所有裝置的概觀,並加以記載。

帳戶和密碼原則

驗證和權限控制是保護網路資源工作中重要的一環。實施帳戶和密碼原則有助於降低長時間不慎或蓄意誤用的風險。儘管此原則的基本原則之一應是隨時建立強式密碼,但主要部分為減少這些密碼遭到盜用的風險,尤其是您的管理員密碼。發生此事時,您即失去誰可以存取您的服務和資源的掌控。

裝置密碼大多可在組織內共用。例如,員工偶爾需要調整、最佳化或故障排除攝影機。整間組織最後可能都知道攝影機密碼,因此導致蓄意或意外誤用。處理此問題的方法之一就是建立多層級的帳戶制度,採用不同的權限層級,以建立視需要授與臨時存取的臨時帳戶,而非共用單一帳戶。這會是耗時的手動處理流程,但裝置管理軟體可讓您輕鬆管理這些多個帳戶和密碼。

新弱點的防護

新弱點會不斷被發現。雖然大部分都不是重大弱點,但偶爾還是會發現重大弱點。攝影機如同任何其他採用軟體的裝置,都需要修補程式來防止惡意探索已知弱點。網路管理員應隨時汲取最新發展並遵循業界最佳實務,掌握這些威脅。負責任的製造將會發佈韌體修補已知的弱點,並採取開放的網路安全對話,以提升客戶所持有的知識。

由於攻擊者可能會惡意探索任何已經發現的弱點,因此在韌體發佈後務必馬上更新。同樣重要的是,迅速部署新任體可強化操作能力,並克服手動推出新版本升級相關的瓶頸。修補運作中系統的韌體時,可能會造成未預期的行為問題。建議使用 LTS (長期支援) 韌體來進行安全性修補作業。這些韌體版本緊包括錯誤修正和安全性修補程式。

再次強調,網路越大,更新所有裝置所需的物力也就越多。Axis 現場測試發現,在具有 200 台攝影機的網路上,使用手動網頁介面升級韌體可能要花費 1000 分鐘,而使用裝置管理軟體僅需 10 分鐘。除了省時之外,自動通知新修補程式發佈也有助於確保軟體能夠迅速獲得更新,因而可盡量減少網路暴露於攻擊之下的機率。

符合成本效益的 HTTPS 管理

影像系統可能會受限於需要在用戶端與攝影機之間加密流量 (防止網路竊聽) 的政策或法規。若網路上的惡意軟體嘗試偽裝網路裝置,也可能會有詐騙威脅。這些威脅都可透過 HTTPS 抵擋。HTTPS 使用憑證,而大量的攝影機則會在部署及生命週期維護管理方面付出高額的費用。裝置管理軟體可以將此費用降到只有一丁點程度,並管理所有攝影機的憑證和 HTTPS 組態。它們可以做為攝影機的本機憑證授權單位 (CA)。將根憑證安裝於影像管理軟體 (VMS) 伺服器後,將可確保 VMS 伺服器可以偵測其是否正在存取合法的攝影機。根憑證也可安裝於其他管理用戶端。影像用戶端將不會 (且不應) 直接存取攝影機。它們不需要安裝憑證。端對端加密將需要 VMS 伺服器擁有 CA 憑證,以對其影像用戶端進行信任連線。

高效率的有效裝置管理

有效的裝置管理軟體不僅有助於確保網路安全,也可在網路加裝更多裝置時,讓效率成等比級數成長。為您的網路管理省下不少網路管理時間後,您即可讓網路管理員完成其他層面的工作,並運用專業知識為您的企業提供其他優勢。他們也會有更多時間掌控業界最佳實務和新興威脅 – 維持安全網路的必要環節。

閱讀我們的裝置管理軟體工具的詳細資訊:

Axis Device Manager