Axis Communications: De drie securitystappen van Axis Communications

Edwin Beerentemfel, Manager Business Development Middle Europe Axis

Internet of Things (IoT) heeft leveranciers van fysieke beveiligingsoplossingen allerlei nieuwe mogelijkheden gebracht. Maar daarmee krijgen ze ook te maken met de security-uitdagingen waar pure ICT-leveranciers al langer mee bezig zijn. Axis Communications heeft dat al vroeg opgepikt en werkt volgens een secuur uitgedacht beleid. Die bestaat uit drie elementen, zo legt Edwin Beerentemfel, Manager Business Development Middle Europe van Axis, uit.

Zelfs voor de rap evoluerende ICT-markt is Internet of Things een vrij nieuwe ontwikkeling waar maar weinig partijen echt gewend aan zijn. Dat heeft zeker op het gebied van security veel gevolgen. Apparaten die tot enkele jaren geleden helemaal niet op het internet waren aangesloten, vormen opeens een doelwit voor cybercriminelen. Dat geldt ook voor beveiligingscamera’s. Daardoor worden in hoog tempo nieuwe kwetsbaarheden gevonden. “En die worden ook misbruikt”, zegt Beerentemfel. “Dat gebeurt op twee manieren. Ten eerste via malware die de apparaten toevoegt aan een botnet. Het is een paradijs voor hackers, want er worden miljarden nieuwe apparaten aangesloten.”

Excessen

De tweede manier is zo mogelijk nog problematischer en levert veel leveranciers en beheerders grote problemen op. Wie tot een paar jaar geleden niet veel met ICT deed, zal ook op het gebied van security steken laten vallen ten behoeve van gemak. “Veel leveranciers maken gebruik van backdoors en unlisted support om de apparaten van hun klanten op afstand te beheren. Eigenlijk is het een no-go, want criminelen kunnen zo ook controle krijgen over het apparaat”, zegt Beerentemfel. “In veel gevallen zijn zelfs de wachtwoorden hard-coded en niet te veranderen.” Je hoeft geen superhacker te zijn om toegang te krijgen tot een dergelijk apparaat. “Er zijn incidenten geweest waarbij lijsten met standaardwachtwoorden na firmware-updates werden verspreid onder dealers. Die wachtwoorden stonden binnen no-time op het internet.” Hij wijst erop dat die camera’s niet gehackt zijn, maar dat de kwetsbaarheden in het ontwerp zelf zitten. “Dat is niet bepaald ‘privacy by design’.”

Naarmate security steeds meer tractie krijgt in de IoT-markt, zullen dit soort excessen er wel uitgaan. Maar sommige leveranciers en dienstverleners zijn hier al verder in dan andere. Vooral partijen die vanuit de ICT-hoek komen, lopen op dit punt voor op partijen uit de fysieke beveiligingshoek. “Niemand is honderd procent veilig voor kwetsbaarheden in firmware”, zegt Beerentemfel. “Het kan ons ook gebeuren. Daarom moet je proactief zijn en systematisch patches uitbrengen.”

Drie stappen

Axis hanteert drie stappen voor zijn securitystrategie. “Dat begint met securitymanagement, dus de maat- regelen waarmee je ongeautoriseerde toegang voorkomt”, zegt hij. “Denk aan device-authenticatie met 802.1X, encrypted wachtwoorden, of tools waarbij je https-encryptie gebruikt. Het zijn maatregelen die in onze apparatuur zit ingebouwd en vanuit de infrastructuur worden ondersteund.” Niet alleen de leverancier speelt hierin een belangrijk rol. Ook partners en eindgebruikers moeten meegaan in het ‘verharden’ van de security binnen de infrastructuur.

“We hebben een hardening guide opgesteld. We helpen onze partners en eindgebruikers op meerdere niveaus te beveiligen. We beginnen met een standaardbeveiliging, zoals checken dat de juiste firmware is geïnstalleerd, dat het standaardwachtwoord is gewijzigd, dat de gebruikersrechten goed zijn ingesteld, maar bijvoorbeeld ook dat de tijd goed staat ingesteld.” Ook biedt Axis Communications de AXIS Device Manager aan, een tool voor het vinden en beheren van apparaten in het netwerk. ”Eind vorig jaar is versie 5 gelanceerd met nieuwe cybersecurityfuncties, zoals bijvoorbeeld een ‘certificate management’-functionaliteit.”

Vulnerability Management

De tweede stap is de proactieve bewaking aan de kant van Axis zelf en het beleid op het gebied van kwetsbaarheden. Die is bij Axis altijd in beweging, zo stelt Beerentemfel. “Vulnerability management stoelt meer op intern gerichte processen”, zegt hij. “Jaren geleden zaten er nog lange pauzes tussen nieuwe versies van firmware. Tegenwoordig doen we per kwartaal een update en we bieden klanten ook longtime supported firmware. Ze krijgen dan gedurende lange periode securitypatches.”

To OEM or not to OEM

Axis heeft in het verleden ook te maken gehad met kwetsbaarheden. “De eerste keer was een groot leermoment voor ons. We moesten binnen no-time binnen het hele portfolio nieuwe firmware aanbrengen. Dat is goed gegaan en we zijn nu in staat om dat soort dingen sneller uit te voeren.” Bovendien vormt beveiliging een belangrijk element binnen de productontwikkeling bij Axis Communications. Beerentemfel vertelt dat Axis een volledige afdeling binnen Research and Development heeft, die zich op security toelegt. “Daarom is het voor ons zo belangrijk dat we alles zelf ontwikkelen en niet aan OEM of ODM doen. OEM-partners zijn niet verantwoordelijk voor firmware-ontwikkeling en kunnen niet direct een patch uitbrengen wanneer een kwetsbaarheid wordt gevonden.” Vooral bij partijen die in de fysieke beveiliging zitten, is OEM nog steeds zeer populair, omdat het voeren van ‘unieke’ merken daar als onderscheidende factor wordt gezien.

‘OEM-partners zijn niet verantwoordelijk voor firmwareontwikkeling en kunnen niet direct een patch uitbrengen’

Het derde punt dat Beerentemfel wil noemen is Learning and Collaboration. Deels valt de eerder genoemde hardening guide hieronder, maar denk ook aan whitepapers en self-assessmenttools die Axis uitgeeft. “We hebben nu ook een primeur met onze cybersecuritytraining, die we geven aan onze partners”, zegt Beerentemfel. “Deze valt binnen ons Academy-aanbod. In één dag lopen we door de tools en do’s en don’ts bij het implementeren van camerabeveiliging.”

Voor de IT-partij lijkt dit allemaal erg logisch en dat beaamt Beerentemfel ook. Maar het laat wel zien dat de markt voor IoT-apparaten voor een omslagpunt staat en snel de evolutie moet ondergaan die ICT-partners al jaren geleden hebben afgerond. “Het ligt allemaal voor de hand, maar niemand biedt het aan.

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2018]

Lees het artikel hier in PDF