智能建筑和物聯(lián)網(wǎng)傳感器和設(shè)備徹底改變了傳統(tǒng)的生活方式。能源效率、降低成本以及提高租戶舒適度和安全性等智能建筑的好處刺激了全球需求的增長——到 2028 年,智能建筑的數(shù)量預(yù)計(jì)將增加 9.9%。
今天的智能建筑依靠成百上千的物聯(lián)網(wǎng)傳感器和連接到本地服務(wù)器和互聯(lián)網(wǎng)的計(jì)算機(jī)來實(shí)現(xiàn)控制照明、氣候和電梯等功能的自動化,以及火災(zāi)探測、視頻監(jiān)控和徽章訪問。這些傳感器與樓宇自動化系統(tǒng) (BAS) 結(jié)合使用,可提供有關(guān)樓宇狀況和性能的大量寶貴見解和可操作數(shù)據(jù)。然而,它們往往缺乏基本的網(wǎng)絡(luò)安全功能,因此容易受到網(wǎng)絡(luò)攻擊。例如,用于 HVAC 控制的數(shù)據(jù)通信協(xié)議 BACnet 以未加密格式部署,使其容易被攻擊者利用。
此外,BAS 系統(tǒng)通常由工程師和建筑管理公司管理,而不是 IT 部門或安全公司。這可能會帶來問題——尤其是在 BAS 系統(tǒng)被黑客入侵的情況下。
物聯(lián)網(wǎng)設(shè)備的武器化
每個(gè)物聯(lián)網(wǎng)傳感器都有一個(gè)唯一的 IP 地址,使其能夠與其他機(jī)器通信和交換數(shù)據(jù),并作為黑客利用的潛在接入點(diǎn)。隨著物聯(lián)網(wǎng)設(shè)備和融合運(yùn)營技術(shù) (OT) 數(shù)量的飆升,組織的切入點(diǎn)呈指數(shù)級增長,其攻擊面尤其容易受到惡意網(wǎng)絡(luò)威脅參與者的攻擊。使用單個(gè)受感染的 IoT 設(shè)備,攻擊者可以訪問公司網(wǎng)絡(luò),甚至可能訪問整個(gè) IoT/OT 網(wǎng)絡(luò)。
在網(wǎng)絡(luò)中站穩(wěn)腳跟后,網(wǎng)絡(luò)犯罪分子可以通過禁用建筑物的關(guān)鍵服務(wù)來造成嚴(yán)重破壞,例如關(guān)閉水源、觸發(fā)火警或阻止酒店在客人抵達(dá)時(shí)向其發(fā)放鑰匙卡,例如 Romantik Seehotel J?gerwirt 網(wǎng)絡(luò)攻擊。
雖然 Romantik Seehotel J?gerwirt 網(wǎng)絡(luò)攻擊更側(cè)重于通過勒索軟件賺取現(xiàn)金,但它顯示了網(wǎng)絡(luò)犯罪分子所保持的能力。在更嚴(yán)重的范圍內(nèi),這些威脅行為者可以將大量受感染的物聯(lián)網(wǎng)設(shè)備作為僵尸網(wǎng)絡(luò)武器化,以對組織自己的基礎(chǔ)設(shè)施發(fā)起暴力分布式拒絕服務(wù)攻擊,導(dǎo)致他們無法訪問關(guān)鍵系統(tǒng)或竊取機(jī)密數(shù)據(jù)。借助惡意軟件,“被奴役”的僵尸網(wǎng)絡(luò)還可以被命令對其他組織發(fā)起大規(guī)模攻擊。最大的 DDoS 攻擊之一涉及由受感染的物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò)網(wǎng)絡(luò),其中包括閉路電視攝像機(jī)和個(gè)人錄像機(jī)。
反擊并確保物聯(lián)網(wǎng)設(shè)備的安全
物聯(lián)網(wǎng)設(shè)備的激增可能為威脅智能建筑安全的網(wǎng)絡(luò)攻擊打開閘門。最近的一份報(bào)告顯示,2019 年,40,000 座智能建筑中有近 40% 受到網(wǎng)絡(luò)攻擊的影響??紤]到這一點(diǎn),組織通過實(shí)施安全最佳實(shí)踐來領(lǐng)先于威脅的沖擊至關(guān)重要,包括:
1.強(qiáng)密碼策略:攻擊者破壞物聯(lián)網(wǎng)設(shè)備的最簡單方法之一是由于其弱密碼、可猜測密碼或默認(rèn)密碼,這一點(diǎn)再怎么說也不為過。事實(shí)上,70% 的物聯(lián)網(wǎng)設(shè)備仍在使用出廠設(shè)置的默認(rèn)密碼。擁有包含長且唯一密碼的強(qiáng)密碼策略有助于防止網(wǎng)絡(luò)攻擊。
2.強(qiáng)大的補(bǔ)丁管理:物聯(lián)網(wǎng)設(shè)備的最大安全障礙是無法輕松升級或修補(bǔ)它們。大多數(shù)物聯(lián)網(wǎng)設(shè)備通常過于關(guān)鍵,無法停止軟件更新操作。制定策略來定義從錯(cuò)誤修復(fù)到新版本再到緊急更新的不同類型升級的流程,將有助于使您的 IoT 更新流程更加穩(wěn)健。
3.劃分您的網(wǎng)絡(luò):組織可以通過將關(guān)鍵系統(tǒng)(例如 BAS 系統(tǒng))與網(wǎng)絡(luò)的其余部分隔離開來,最大限度地減少物聯(lián)網(wǎng)攻擊對網(wǎng)絡(luò)其他部分的影響。
大多數(shù)對智能建筑的攻擊是由于惡意行為者試圖破壞控制 BAS 的計(jì)算機(jī)。為了保護(hù) BAS 系統(tǒng),組織應(yīng)將 BAS 系統(tǒng)隱藏在網(wǎng)絡(luò)和互聯(lián)網(wǎng)的其余部分。如果物聯(lián)網(wǎng)設(shè)備遭到入侵,黑客將無法訪問 BAS 系統(tǒng)和網(wǎng)絡(luò)中的其他關(guān)鍵系統(tǒng)。
這些努力在幫助防止未經(jīng)授權(quán)訪問設(shè)備、網(wǎng)絡(luò)和數(shù)據(jù)方面大有幫助。