系统集成商的网络安全方法

由:乔恩·波利| 2021年6月4日

打开晚间新闻，或拿起一份安全行业出版物，感官上充斥着网络入侵。安防行业正受到Verkada安全摄像头数据泄露以及海康威视和大华摄像头被打开后门等事件的影响。就连房主也感受到了影响，像Eufy这样的公司就曾经历过自我破坏。这些违规行为已经并将继续影响有关制造商的政策和法律。因此，许多安全设备制造商现在都在他们的产品中加入了网络加固指南。安全系统集成商现在必须实施良好的网络卫生习惯，以确保安全产品不是攻击的源头。虽然网络卫生没有万能牙刷，但系统集成商必须采取负责任的措施，以确保交付的产品是安全的。

网络安全和网络加固是每个信息技术(IT)专业人士的心头之事，因为他们不希望黑客在他们的监视下发生。随着公司和技术的不断融合，信息技术(IT)(如流程)和操作技术(OT)(如物理安全设备)将更加强调OT技术提供者，以通过其安装实现IT控制。出现的问题是，安全行业的大多数人今天还没有准备好实现这些控制。

除非安全系统(视频监控、访问控制、入侵等)是离网的，无法与外部世界连接，否则网络安全必须是每一个实现的一部分。系统集成商和执行系统的任何员工都必须记住，一旦第一根网线插入到可访问外部世界的生产交换机上，客户可能就容易受到攻击。在违约的情况下，客户将试图追究责任，并从任何有责任的一方收回损失的收入。系统集成商的方法可以防止系统变得脆弱，并规避自己的任何过错。

工作范围

作为一名前警官，发音就是一切，这一点在我的脑海中根深蒂固。同样地，无法表达也是一切。当涉及到将连接到网络的系统时，必须向每个客户提供精确和简明的工作文档范围。工作范围不仅应包括系统集成商将如何保护它们，还应包括例外情况。不是每个人都是网络安全天才，那些不是的人不应该承担保护客户网络的责任。一些系统集成商将接受这项工作，但提供第三方网络安全公司作为分包商，并加价服务。其他系统集成商不会触及网络方面。这些例外情况应该清楚地写在工作范围中，如“由他人提供”。许多客户可能已经拥有内部网络加固资源，或聘请网络安全公司进行保险审计。无论哪种情况，如果不能提出上述任何一种选择，都将为承担责任敞开大门。 There are many customers that know they need to worry about cybersecurity but have no idea how to implement solutions. System integrators who call this approach out in a scope of work may prompt acceptance.

行业网络的姿势

大多数安全设备制造商已经开始提供系统加固指南，以教育系统集成商如何以最佳方式对其设备进行编程，以防止网络攻击。这些加固指南采用了细节和功能的策略。他们中的大多数建议修改用户名和密码，并在制造商发布固件的同时升级设备上的固件。许多公司已经提供了一种简单的软件工具，能够为网络上的所有安全设备进行此操作。此外，一些视频管理系统(VMS)制造商，以及交换机制造商和第三方仪表板软件，现在提供设备健康监控和网络监控。这允许客户和系统集成商在设备受到外部力量攻击时收到警报。为客户提供支持的系统集成商比不提供支持的集成商更有可能防止网络入侵或更快地发现漏洞。

实现Cybersecure系统

任何公司的培训都可能是困难的。对员工离职的担心，尤其是对接受过培训的员工的担心，阻止了许多公司，包括系统集成商，对员工进行投资。一个令人震惊的数据是，91%的千禧一代希望在同一家雇主工作不到3年(福布斯、Gigaom)。问题是这个数字包含了许多安装人员和技术人员。如果培训是必须的，那么希望受过培训的人不要离开。2021年6月，安全行业协会(SIA)发布了与安全说明一起编写的安全行业网络认证(SICC)，为任何将设计、委托、实施或支持安全安装的安全行业人士提供网络安全认证。建议任何致力于将连接到开放网络的安全实现的人都至少拥有这个证书。

另一种选择是聘请网络安全资源作为客户系统调试和支持的一部分。目前，系统集成商通常有两种选择。选项1:雇佣具有所需证书的经验丰富的资源，例如认证信息系统安全专业人员(CISSP)，并为他们支付六位数的薪水。选择2:以接近六位数的价格雇佣一名实习生或有网络安全专业背景的应届毕业生。选项3:第三个选项在当今世界不是什么好选项:系统集成商可以像往常一样继续业务，遵循加固指南，并希望客户不会遇到网络事件。

风险转移

任何将任何设备的网线连接到连接外部世界的网络的系统集成商，即使安全网络被分割了，也应该投资一项错误和遗漏保险(E&O)，它包括技术和网络责任，不同于专业责任E&O。是的，这是一件事;几乎每个客户都认为这是第一道防线。从保险公司的角度来看，许多这些E&O政策都有特定的要求，在保险公司被要求赔付之前必须满足这些要求。出于这个原因，许多公司都有多种互相补充的E&O政策。在发生网络事件时，如果客户的E&O保险认为安全设备或设备上发生了违约，则系统集成商的常规E&O保险将不涵盖此部分。需要注意的是，建议技术或网络E&O政策由提供专业责任E&O政策的同一家公司提供，否则存在政策相互否定的风险，导致系统集成商支付了不包括赔偿的保险。

结论

当今世界的安全设施甚至已经不是5年前的样子了。公司每年都要花大量的钱来防止成为下一个网络攻击的统计数字。安全系统集成商在如何为客户提供网络安全方面的选择有限。这些选项包括:1)在调试阶段雇佣昂贵的内部资源或第三方来强化系统;2)对现有的技术人员进行培训，使他们能边走边做这项工作;3)写得超出范围;4)什么都不做。选择什么都不做就像抓住了一个定时炸弹。总有一天，炸弹会爆炸，公司无法承受爆炸后留下的破坏。所有的选择包括系统集成商购买网络e&o保险，以转移风险作为解决方案的一部分。 Most systems integrators will find that by training existing technicians, they can have each employee cybersecure a customer site during every visit, versus keeping one or two expensive internal or external resources busy on a limited number of sites. In this volatile time, those system integrators who choose to implement good cyber hygiene habits will keep customer networks safe, decrease liability, increase profits, and create new revenue streams while doing so.