La ciberseguridad ocupa uno de los primeros lugares en la lista de prioridades de cualquier organización. En un mundo cada vez más conectado, cualquier dispositivo conectado a la red representa un riesgo potencial para la ciberseguridad, y es imprescindible contar con un plan sólido para reducir esta exposición.
Los dispositivos Axis, con sus controles de ciberseguridad integrados, están diseñados para minimizar el riesgo de ataque e impulsar comportamientos seguros. Nuestro modelo pasa por aplicar las mejores prácticas de ciberseguridad a todas las políticas, procesos y tecnologías, desde la fase de desarrollo hasta su desinstalación.
En este artículo analizamos los riesgos que pueden existir a lo largo del ciclo de vida de un dispositivo Axis, además de explorar las medidas de ciberseguridad que adoptamos y los recursos que ofrecemos para mitigar estos riesgos.
Una base segura
En el caso de los dispositivos de red Axis, las consideraciones relativas a la ciberseguridad empiezan ya en el nivel más básico: el microprocesador y el sistema operativo, AXIS OS. Estos elementos configuran la base que contribuye a proteger los productos.
La última versión de nuestro sistema en chip (SoC) se llama ARTPEC-8. Una de las ventajas de diseñar nuestro propio SoC es que tenemos un control total sobre las funciones de seguridad que incluye, así como sobre los procesos utilizados para aplicar dichas funciones durante la producción. Este nivel de control y transparencia garantiza la integridad del hardware y el software del componente más importante de nuestros dispositivos. Y cuando trabajamos con proveedores de SoC externos les exigimos los mismos requisitos de seguridad que a nuestros SoC propios.
Un hardware potente requiere un software y un firmware igual de potentes para poder aprovechar nuestras avanzadas prestaciones de seguridad. Y ahí es donde entra en juego AXIS OS, nuestro sistema operativo basado en Linux. AXIS OS es el pilar de diferentes dispositivos Axis, lo que nos brinda la posibilidad de aplicar de forma eficaz medidas de ciberseguridad en un gran número de productos.
En el desarrollo de software es clave garantizar que las consideraciones de seguridad se tienen en cuenta desde el principio y que no van a remolque de todo lo demás. La ausencia de procesos de desarrollo seguros puede desembocar en versiones de software con vulnerabilidades fáciles de explotar.
En Axis, el desarrollo del software toma como referencia nuestro Axis Security Development Model (ASDM), que convierte la seguridad en un pilar central. Los procesos y las herramientas definidos en el ASDM incluyen evaluaciones de riesgos, modelos de amenazas, análisis de composición de código y software y análisis de vulnerabilidades. El ASDM tiene los siguientes objetivos:
- Convertir la seguridad del software en una parte más de las actividades de desarrollo del software de Axis
- Reducir los riesgos vinculados a la seguridad para los clientes de Axis
- Dar respuesta a una preocupación cada vez mayor por los temas relacionados con la seguridad por parte de nuestros clientes y socios
- Encontrar fórmulas para reducir los costes gracias a una detección y resolución temprana de vulnerabilidades
Producción
La falta de transparencia en la cadena de suministro puede poner en peligro los componentes del producto final.
Desde Axis, trabajamos sin descanso para garantizar la seguridad de la información, los sistemas, los componentes, los equipos, las instalaciones, el software y los dispositivos en toda nuestra cadena de suministro. Los componentes críticos de nuestros dispositivos nos llegan directamente de proveedores estratégicos y se almacenan en nuestras instalaciones. Los componentes que no son críticos son suministrados de conformidad con nuestros requisitos por parte de proveedores incluidos en nuestra lista de proveedores autorizados.
Trabajamos en estrecha colaboración con nuestros socios para producir la mayoría de líneas de productos de nuestra cartera. Definimos y supervisamos los procesos de producción y desarrollamos, producimos y proporcionamos equipos de producción críticos, así como el sistema para probar componentes, módulos y productos en diferentes etapas durante la fase de producción. Todo el software y las pruebas se desarrollan internamente. Nuestros socios en el proceso de fabricación comparten constantemente datos de producción con nosotros para poder analizarlos en tiempo real. Este alto nivel de transparencia nos permite evaluar posibles riesgos de seguridad en colaboración con el socio que se ocupa de la producción y también implementar planes para reducirlos.
Durante la producción, uno de los elementos de ciberseguridad clave instalado en los dispositivos Axis es Edge Vault, un módulo de cálculo criptográfico seguro que protege las claves y los datos confidenciales frente a accesos y manipulaciones en caso de una vulneración de seguridad. Entre las claves cifradas y almacenadas de forma segura en Edge Vault está el ID del dispositivo Axis. El ID de dispositivo Axis es único y comprende una serie de certificados, entre ellos una versión firmada digitalmente del número de serie único del dispositivo Axis. El ID del dispositivo garantiza que el dispositivo es un producto Axis original.
También certifica la autenticidad del firmware del dispositivo, mediante la instalación de un AXIS OS firmado. La firma digital garantiza que el firmware es realmente de Axis y que no representa un peligro. AXIS OS garantiza también que cualquier nuevo firmware que va a descargarse e instalarse en un dispositivo es un firmware firmado por Axis. Como segunda línea de defensa, el inicio seguro de Axis comprueba la firma del firmware en cada arranque.
Antes del envío de los dispositivos Axis a los distribuidores y, posteriormente, a los integradores de sistemas, pasan por uno de los centros de configuración y logística de Axis, donde se someten a un nuevo control de calidad.
Distribución
Uno de los riesgos potenciales durante la fase de envío es la manipulación del firmware del dispositivo o su configuración. Medidas como el firmware firmado y el inicio seguro, combinados con una configuración predeterminada de fábrica en el dispositivo, ofrecen protección contra modificaciones maliciosas.
Implementación
En la fase de implementación, los riesgos pueden estar asociados a la conexión de productos en riesgo o con una protección insuficiente a la red. Estos productos pueden abrir la puerta a accesos no autorizados a la red, la obtención de datos confidenciales o información como claves privadas o certificados para utilizarla en ataques maliciosos, o la posibilidad de transferir datos modificados entre terminales de una red. ¿Quiere saber cómo le ayuda Axis a abordar estos problemas?
En el caso de una implementación inicial, Axis recomienda aplicar una configuración predeterminada de fábrica al dispositivo. Esta acción garantiza un dispositivo totalmente libre de software o configuraciones no deseados, ya que el único software que queda es AXIS OS y sus ajustes predeterminados. En el proceso de inicio, el arranque seguro del dispositivo comprueba si el firmware del dispositivo está firmado por Axis. El arranque seguro se produce cada vez que el dispositivo se pone en marcha o se activa. Si detecta que el firmware no está firmado por Axis, el dispositivo no lo ejecutará para evitar que se produzcan operaciones no autorizadas. El arranque seguro ofrece protección contra firmware modificado después de su paso por un centro de configuración y logística de Axis o bien durante su utilización.
Para tener la seguridad de que solo se implementan dispositivos originales Axis en su red, puede verificar el ID de dispositivo Axis con la autenticación IEEE 802.1x o estableciendo una conexión de red segura a través del protocolo HTTPS. Edge Vault en los dispositivos Axis permite procesar todas las operaciones criptográficas que requieren claves privadas y facilita la autenticación segura de los dispositivos usando el estándar IEEE 802.1AR.
La AXIS OS Hardening Guide es un compendio de prácticas recomendadas y recomendaciones técnicas para los responsables de implementar dispositivos Axis. Define una configuración de referencia para abordar las amenazas más comunes y plantea un enfoque de seguridad por capas.
AXIS Device Manager es una herramienta para configurar y gestionar dispositivos Axis en local de forma eficiente. Este gestor de dispositivos permite procesar por lotes tareas importantes de instalación y seguridad, como gestionar credenciales de los dispositivos, implantar certificados, desactivar servicios no utilizados y actualizar AXIS OS
En servicio
Cuando se utiliza un dispositivo, las amenazas pueden llegarle por ataques premeditados o por errores sin mala intención. Los riesgos pueden aparecer al utilizar firmware con vulnerabilidades conocidas que un adversario puede explotar, actualizar dispositivos con firmware sin autenticar o dejar que caduquen configuraciones seguras.
Axis trabaja sin descanso para identificar y limitar los riesgos asociados a las vulnerabilidades de seguridad descubiertas en nuestra cartera de productos y servicios. Nuestra respuesta pasa por publicar parches de seguridad en AXIS OS y realizar comunicaciones públicas al respecto.
Para mantener la ciberseguridad de un dispositivo Axis, son fundamentales las actualizaciones frecuentes de AXIS OS y la asistencia continua. Axis ofrece dos opciones para la actualización de AXIS OS: el modo activo y el soporte a largo plazo (LTS). En el modo activo, AXIS OS se actualiza continuamente con nuevas funciones y parches de seguridad. Con el soporte a largo plazo, las actualizaciones de AXIS OS incluyen solo parches de seguridad. Las actualizaciones de AXIS OS son gratuitas y toda la información sobre cada actualización está disponible en el AXIS OS Portal.
Al actualizar el firmware, la versión firmada de AXIS OS del dispositivo comprobará automáticamente que el nuevo firmware que va a descargarse es un firmware firmado. De lo contrario, el nuevo firmware no se instalará. Con este sistema, nos aseguramos de que solo se carga firmware autorizado en un dispositivo y, con el arranque seguro, tenemos una segunda capa de control que certifica que se trata de firmware firmado de Axis.
Para agilizar el mantenimiento mientras los dispositivos están en servicio, ofrecemos AXIS Device Manager Extend como complemento de AXIS Device Manager. AXIS Device Manager Extend cuenta con un intuitivo tablero que le permite gestionar dispositivos Axis a distancia. Además, simplifica tareas de mantenimiento esenciales, como actualizar AXIS OS, definir, aplicar e imponer políticas de seguridad, y gestionar aplicaciones.
Como autoridad de numeración (CNA) de vulnerabilidades y exposiciones comunes (CVE), Axis sigue las prácticas recomendadas del sector a la hora de gestionar y responder a las vulnerabilidades descubiertas con transparencia. Axis utiliza el sistema de puntuación CVSS (sistema de puntuación de vulnerabilidad común) para evaluar las vulnerabilidades vinculadas a código desarrollado por Axis o código abierto desarrollado por terceros. Axis evalúa las vulnerabilidades del código abierto teniendo en cuenta su relevancia para nuestros productos aplicando las prácticas recomendadas. Puede suscribirse al Servicio de notificaciones de seguridad de Axis para recibir información sobre vulnerabilidades y otras cuestiones relacionadas con la seguridad que afectan a los productos Axis. Encontrará más información en el documento Política de gestión de vulnerabilidades de Axis
Además de ayudarlo con el mantenimiento de los dispositivos Axis, ponemos en sus manos el vídeo firmado. Con el vídeo firmado puede tener la tranquilidad de que el vídeo no ha sido manipulado tras salir de la cámara. El vídeo firmado añade una suma de verificación criptográfica en cada fotograma de vídeo, que luego es firmado por el ID de dispositivo Axis. Con este sistema, se puede verificar el origen del vídeo sin necesidad de comprobar toda la cadena de confianza. Y con la ayuda de un reproductor de archivos Axis, el vídeo firmado permite ver si se ha alterado una copia exportada del vídeo o se han eliminado partes de la grabación original. Demostrar la autenticidad del vídeo es especialmente importante en una investigación o proceso judicial.
Tener dispositivos en la red que ya no tienen soporte o que presentan vulnerabilidades conocidas sin solucionar representa un riesgo para el sistema. Y también lo es dejar datos confidenciales en los dispositivos tras desecharlos. ¿Qué medidas pueden ayudarle a abordar estas situaciones?
Aparte de ayudarle a gestionar y proteger los dispositivos que forman parte de la solución de vigilancia, AXIS Device Manager Extend le permite controlar el estado de las garantías de todos los dispositivos del sistema, como la descatalogación de productos e información sobre el fin de soporte.
En caso de que tenga que volver un dispositivo a Axis o a uno de nuestros socios —ya sea para una reparación, sustitución o desinstalación—, ofrecemos pautas para el borrado de la información y la limpieza del dispositivo como parte del proceso de autorización para la devolución de mercancía (RMA).
Al desinstalar un dispositivo Axis, es imprescindible restaurar la configuración de fábrica para eliminar todas las configuraciones y los datos.
Mitigar los riesgos
La clave de la ciberseguridad es gestionar los riesgos. Hay que entender cuáles son, tomar decisiones activas para gestionarlos e implementar las prácticas recomendadas en el sistema. Como proveedor, asumimos la responsabilidad que nos corresponde aplicando las prácticas recomendadas. Y ponemos también a su disposición pautas, tecnologías, herramientas y servicios para ayudarle a mitigar los riesgos cuando utiliza nuestros productos.