Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Cyber SecurityHanwha Techwin Brasil
pt.hanwhasecurity.com
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Fabio NascimentoApplication EngineerEmail: [email protected]
Palestrante
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Agenda
• Institucional• Principais ameaças• Ações tomadas pela Hanwha• Boas práticas de segurança• Linhas de produtos• Exemplos de aplicação• Perguntas & respostas
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
- Fundada em 1952.
- 8a maior empresa da Coréia (2015)
- Áreas de atuação
. Explosivos
. Defesa
. Trading Global
. Maquinário industrial
- Website : http://www.hanwhacorp.co.kr/eng/index.jspComposição
É composto por três círculos ilimitadamente evoluindo e crescendo através de mudanças e inovações constantes.
Significado
Através de uma combinação criativa, os três círculos representam os nossos valores fundamentais,
visões e empresas.
Eles também representam a Hanwha evoluindo para uma empresa de classe mundial que contribua
para o desenvolvimento equilibrado dos clientes, da sociedade e da humanidade.
Expressão
Ela expressa harmoniosamente e imagem, onde uma energia dinâmica de triciclos expandindo e crescendo
ilimitadamente.
O Tri Círculo Hanwha reflete a constante busca de melhoria e crescimento através da criatividaderepresentação de três círculos que simbolizam o respeito, confiança e inovação.
Hanwha Corporation
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Hanwha Techwin
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
NOSSA PRESENÇA NA AMÉRICA LATINA
• Escritórios em todo o território• Pessoal qualificado em cada site
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Por que Hanwha?
• Companhia do Fortune Global 500
• Produção na Coreia do Sul e Vietnã
• Projeto e fabricação de SoC inovadores e proprietários
• Experiência em design óptico de classe mundial
• Fabricante líder no mercado de vídeo vigilância
• Compatível TAA e GSA
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Os seus dispositivos de vídeo vigilância IP são seguros?
Copyright ⓒ 2020 Hanwha Techwin. All rights reserved
As ameaças
Copyright ⓒ 2020 Hanwha Techwin. All rights reserved
Fonte de consulta
https://www.us-cert.gov/tlp
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Copyright ⓒ 2020 Hanwha Techwin. All rights reserved
Piratas CFTV nas manchetes
Copyright ⓒ 2020 Hanwha Techwin. All rights reserved
Copyright ⓒ 2020 Hanwha Techwin. All rights reserved
Suporte descontinuado para alguns fabricantes
Copyright ⓒ 2020 Hanwha Techwin. All rights reserved
Quais as ações tomadas pela Hanwha?
Copyright ⓒ 2020 Hanwha Techwin. All rights reserved
Hanwha- Segurança implementada
Processo interno de análise de vulnerabilidade
Comitê de segurança
Especialistas em segurança
Equipe de desenvolvimento
Testes em laboratório
correção das vulnerabilidades
relatadas por várias
organizações (desde 2012)
Imprensa
S-CERT
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED17
Landing page - Cybersecurity
https://www.hanwhasecurity.com/cybersecurity
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED18
Landing page - Cybersecurity
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Guia de boas práticas em segurança
https://www.hanwhasecurity.com/resources/white-papers.html
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Segurança para projetos
https://www.hanwhasecurity.com/resources/white-papers.html
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Política de Segurança - Produtos
A Hanwha Techwin desenvolveu e implementou uma política de segurança que dita o design de segurança dos produtos, incluindo criptografia / métodos, política de senha, criptografia de firmware, etc ...
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Ferramentas
Ao configurar dispositivos de rede Hanwha,recomenda-se utilizar a ferramenta WiseNet DeviceManager para operações em massa.
https://www.hanwhasecurity.com/wisenet-device-manager/
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Comparação de política de senhas
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Strong Password Policies
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Backdoor
Uma solicitação comum é “como obter acesso a um dispositivocaso a senha seja esquecida”.
Muitos fabricantes utilizam uma senha de “uso único” que combina o número de série / mac e a data/hora.
Hanwha Techwin não possui nenhum backdoor senha / métodos para acesso a nossos produtos.
Isso protege o seu dispositivo, exigindo um reset físico caso a senha seja perdida.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Ataque DoS / Adivinhação de senha / Exploit
Se o usuário /senha é digitado incorretamente por 5 vezes em 30 segundos, a câmera bloqueia o acesso à página da web.
As conexões ativas permanecem, não são derrubadas.
Todas as senhas são enviadas usando a autenticação digest paraImpedir que senhas em texto puro sejam transmitidas através da rede.
Departamento de segurança para busca contínua de vulnerabilidades (Exploits)
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Ataque DoS / Adivinhação de senha / Exploit
Site com Exploit Busca de dispositivos
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Serviços e portas não utilizadas, são desativadas no Linux para impedir o acesso a telnet, FTP, SSH, shell, etc. para evitar estouro de buffer, hacking tools, etc.
Estouro de Buffer / Portas não utilizadas
Todos os comandos são filtrados pelo nosso código fonte, antes de serem encaminhados ao servidor web. São validados para prevenir estouro de buffer e ataques de injeção, que tentam ganhar acesso, ignorando autenticação da câmera
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Boas práticas de segurança
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Estratégia
Uma estratégia importante: utilizar defesa em camadas. Não confie em um único sistema ou mecanismo como medida de segurança.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Atualização de firmware
• Certifique-se de que o firmware e o software VMS estejam atualizados para garantir as devidas correções a vulnerabilidades conhecidas.
• Utilize a ferramenta Wisenet Device Manager para baixar firmwares e realizar atualizações em lote.
• Inclua a atualização de firmwares como um serviço periódico
• Os arquivos de firmware são criptografados para evitar que hackers obtenham informações sobre estrutura de arquivos, bancos de dados, etc, evitando descobrir vulnerabilidade simplesmente examinando firmware extraído, sem acesso ao dispositivo.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Data e Hora
Mantenha a data e hora atualizados para:
• Checar logs para auditoria
• Exportar vídeo como evidência
• Funcionar adequadamente com HTTPS, ONVIF, SNMP v3, 802.1x...
O protocolo NTP pode ser utilizado para a atualização automática.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Modo HTTPS
O HTTPS (certificado Hanwha Techwin) é uma função que permite umaconexão entre o dispositivo e o cliente usando um certificado fornecido pelaHanwha Techwin. Se você selecionar 'HTTPS (modo de conexão segura comcertificado exclusivo), o certificado incorporado do dispositivo será utilizado em modode conexão e você não precisa comprar e instalar umcertificado. Uma vez ativado, as comunicações ocorrerão por HTTPS. O HTTPStambém ajuda a garantir que as comunicações não sejaminterceptadas / redirecionadas.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Modo HTTPS
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Alterar as portas padrão
Altere as portas padrão do dispositivo por portas altas. Por exemplo a porta 80 pode ser alterada para 8000 ou 10000. Dessa maneira você previne o ataque de programas que fazem a busca de dispositivos em portas padrão.
Outro exemplo, altere a porta de vídeo 4520, para prevenir que hackers busquem dispositivos Hanwha na rede
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Filtro IP
Os produtos Hanwha Techwin suportam a criação de listas de IP para permitir ounegar acesso a partir de um endereço IP específico. Isso pode ser usado para restringir o acesso somente para o departamento de segurança, ou para impedir o acesso da WAN ou pool endereços IP da rede sem fio.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Desabilitar protocolos não utilizados
• Desabilitar o Endereço local do link de IPv4
• Desabilitar UPnP
• Desabilitar Bonjour
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Utilizar SNMP seguro
O SNMP permite gerenciar os dispositivos de rede de forma conveniente. Entretanto o SNMP v1 e v2 são vulneráveis pois utilizam strings em texto puro.
Caso seja necessário, utilize o SNMP v3, funcionando em modo HTTPS.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Desabilitar SNMP
• Desabilite o SNMP através da interface web.
• Utilize o Wisenet Device Manager ou comandos CGI para desativar todas as versões do SNMP.
SNMP v2c: http://(ip address)/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version2=False
SNMP v1:http://(ip address)/stw-cgi/network.cgi?msubmenu=snmp&action=set&Version1=False
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Criação de usuários
• Acessar a câmera com a conta de administrador pode expor o dispositivo a riscos desnecessários.
• Crie usuários com privilégios limitados para o uso no dia a dia.
• Utilize a conta de administrador para configurar o dispositivo.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Autenticação 802.1x
O 802.1x é utilizado em locais onde os conectores de rede são acessíveis, em áreas públicas, onde alguém poderia conectar o próprio laptop para ter acesso a câmera. Em um ambiente 802.1x o switch de rede somente se comunica com dispositivos específicos.
Em um ambiente convencional, você poderia utilizar filtragem de endereços MAC mas este pode ser facilmente contornado. Todos os dispositivos 802.1x possuem um certificado gerado e instalado para identificá-los positivamente. Um servidor RADIUS é usado para autenticar dispositivos.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Verifique os logs de dispostivos
• Os produtos da Hanwha possuem registros extensivos. Verifique para ver se alguém está tentando obter acesso a seus dispositivos ou mudou as configurações.
• Os logs são mantidos durante a reinicialização e o padrão de fábrica.
• Os logs mostram os valores atuais e alterados de configuração.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
VLANs
• VLANs segregam sua rede com base em portas, protocolos, endereços MAC, switches, etc
• Isola suas câmeras de impressoras, servidores de email, estações de trabalho, etc. Somente quem necessita tem acesso aos dispositivos.
• Previne broadcasting, otimiza a rede.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Acesso físico
• Impedir o acesso físico é primordial. Se você pode tocar a câmera, poderá fazer reset de fábrica e fazer o que quiser com ela.
• É indicado ter as câmeras em local alto, fora de alcance ou montadas no teto ou embutidas no forro.
• NVRs e switches instalados em local apropriado e trancado.
• Se as pessoas podem alcançar os cabos de rede/energia, então este ambiente não é seguro.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Backup
• Faça um backup da configuração dos dispositivos. Assim você pode recuperar as configurações rapidamente em um caso de emergência
• Crie algumas configurações reconhecíveis, que somente você possa identificar caso alguém tenha executado um reset de fábrica no dispositivo. (Configurações SNMP podem ser ótimas aqui).
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Sem acesso direto às câmeras
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Aplicativos Open Plataform
• Os aplicativos Open Plataform são do tipo “sandbox”. Eles não são autorizados com acesso root na câmera e não possuem acesso aos arquivos de sistema, protegendo o dispositivo de acessos maliciosos.
• Alguns fabricantes permitem acesso root aos Apps de parceiros, tornando a câmera vulnerável a ataques.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Acesso remoto
• Utilize VPN para criptografar o acesso remoto sem a necessidade de abrir brechas no firewall.
• Prefira redirecionamento de portas ao UPnP.
• Liberar somente as portas que são necessárias, como NVR/VMS,
• P2P pode ser utilizado para permitir acesso remoto sem liberar o firewall. Algumas empresas não permitem sua utilização, neste caso desative-o.
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Produtos indicados
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Linhas de Câmeras
Copyright ⓒ 2020 Hanwha Techwin. All rights reserved
Box Bullet IRDome
indoor
Dome
EmbutirFishEye Multisensor
PTZ
indoorBox zoom
Térmica PTZ
Outdoor
Dome IR PTZ IR Veicular ATM Dome
Antivandalismo
A Hanwha Techwin possui uma ampla linha de produtos para atender diferentes tipos de projetos.
Câmeras IP
Copyright ⓒ 2020 Hanwha Techwin. All rights reserved
Perguntas
© 2020 HANHWA TECHWIN CO., LTD. ALL RIGHTS RESERVED
Copyright ⓒ 2016 Hanwha Techwin. All rights reserved
Obrigado!