管理智能互聯(lián)建筑中的物聯(lián)網(wǎng)安全 | 專家視點

本文作者：Michael C. Skurla, chief product officer of Radix IoT

據(jù)相關(guān)調(diào)查統(tǒng)計，目前價值 806.2 億美元的全球智能建筑市場預(yù)計到 2029 年將達(dá)到 3286.2 億美元。這些互聯(lián)的智能建筑是一個由控制、芯片、傳感器和最重要的遺留系統(tǒng)組成的復(fù)雜網(wǎng)絡(luò)。最近，這些網(wǎng)絡(luò)還與物聯(lián)網(wǎng)設(shè)備分層，這些設(shè)備增加了設(shè)施運營商管理建筑性能各個方面的能力——從安全到租戶的需求、遠(yuǎn)程操作控制、暖通空調(diào)、訪問控制、照明解決方案等等，而先進(jìn)的地理定位服務(wù)現(xiàn)已進(jìn)入市場。

從第三方角度來看，這些系統(tǒng)有助于降低不斷上升的運營支出成本。商業(yè)天然氣價格在兩年內(nèi)上漲了 42%，并用于電力生產(chǎn)（兩年內(nèi)上漲了 15%），這是一個特殊的起點，根據(jù)一份世邦魏理仕報告，數(shù)據(jù)與運營數(shù)據(jù)相結(jié)合可以節(jié)省開支。

物聯(lián)網(wǎng) (IoT) 具有巨大的全球經(jīng)濟(jì)和社會意義，但也存在重大安全問題。盡管幾十年來人們一直關(guān)注安全和保護(hù)網(wǎng)絡(luò)的想法，但物聯(lián)網(wǎng)由于其多樣化且通常是隨意的部署而帶來了混亂。建筑技術(shù)、運營技術(shù)以及商業(yè)信息技術(shù)現(xiàn)在共享空間的想法令人不安，其中大部分歸結(jié)為定價。不管是好是壞，物聯(lián)網(wǎng)已經(jīng)使技術(shù)民主化，并將自動化和監(jiān)控的價格提高到現(xiàn)在人們和行業(yè)都可以接受的水平，而這些人和行業(yè)從未想過這種范圍的技術(shù)改進(jìn)是可能的。

這當(dāng)然是有代價的。設(shè)備的激增打開了不再受典型 IT 安全規(guī)定保護(hù)的攻擊媒介，市場已經(jīng)證明它不愿意為物聯(lián)網(wǎng)安全支付高額費用。這是一個尚未解決的困境。

考慮物聯(lián)網(wǎng)安全的業(yè)務(wù)方面

技術(shù)正在快速發(fā)展，監(jiān)管機(jī)構(gòu)和管理機(jī)構(gòu)需要迎頭趕上。

2022年9 月，歐盟委員會提出了歐盟首個針對物聯(lián)網(wǎng)行業(yè)的網(wǎng)絡(luò)安全法規(guī)《網(wǎng)絡(luò)彈性法案》，價值近 1.5 萬億歐元，以強(qiáng)制“對物聯(lián)網(wǎng)設(shè)備提供更強(qiáng)有力的網(wǎng)絡(luò)安全保護(hù)”。

10 月，白宮宣布了一項產(chǎn)品標(biāo)簽系統(tǒng)計劃，以提醒消費者注意“與聯(lián)網(wǎng)設(shè)備相關(guān)”的安全風(fēng)險，這將涉及利益相關(guān)者、企業(yè)和貿(mào)易協(xié)會，以提供“符合美國政府標(biāo)準(zhǔn)的產(chǎn)品的通用標(biāo)簽”由經(jīng)過審查和批準(zhǔn)的實體進(jìn)行測試。

這些只是微不足道的開始，即使有了這些進(jìn)步，很明顯法規(guī)也跟不上技術(shù)的步伐。市場是這里唯一的答案，但我們花了太多時間試圖防范攻擊，我們幾乎忘記了防范某事不如檢測攻擊重要，更重要的是，優(yōu)雅地緩解問題。

多年來，我們一直在執(zhí)行試圖保護(hù)的愚蠢任務(wù)。這是不可持續(xù)的，敵人有優(yōu)勢。相反，每個人都應(yīng)該談?wù)撐覀冊诔霈F(xiàn)漏洞時所做的事情，而答案過去是“停止、關(guān)閉并等待修復(fù)”。然而，現(xiàn)在的世界已經(jīng)超出了這個范圍，這是對物聯(lián)網(wǎng)中一個問題的糟糕回答，物聯(lián)網(wǎng)中的設(shè)備在道路上的汽車中運行，而在醫(yī)療保健中則是人們的生命支持設(shè)備。對不可避免的事情進(jìn)行分類是“保護(hù)和祈禱”投資的更好途徑。

最后，IoT 安全性比 IT 更深層次涉及內(nèi)存訪問——黑客利用軟件缺陷在硬件級別控制設(shè)備或系統(tǒng)。它不同于IT設(shè)備安全。微軟和谷歌最近的一項研究表明，70% 的漏洞實際上是內(nèi)存安全問題。此外，使用內(nèi)存安全語言可以完全避免 95 個錯誤中的 53 個?？紤] Morello 的 CHERI 架構(gòu)擴(kuò)展，它通過指向計算機(jī)代碼中引用數(shù)據(jù)在內(nèi)存中存儲位置的變量來幫助緩解內(nèi)存安全漏洞。這限制了這些引用的使用方式、它們“接觸”的地址范圍以及它們的整體功能。

從市場角度來看，迄今為止業(yè)界最雄心勃勃的網(wǎng)絡(luò)安全項目是劍橋大學(xué)（英國）、谷歌和微軟之間的合作。去年，IT 治理發(fā)現(xiàn)了 1,243 起安全事件，涉及超過 5,126,930,507 條違規(guī)記錄——安全事件比上一年增加了 11%。醫(yī)院和醫(yī)療保健提供商是去年全球超過 3 億次針對設(shè)備的勒索軟件攻擊的主要站點。

鑒于迄今為止市場力量反應(yīng)平淡，監(jiān)管機(jī)構(gòu)正在盡其所能（盡管主要在歐洲和英國），幾乎所有標(biāo)準(zhǔn)都基于 EN-303-645——消費者物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的全球適用標(biāo)準(zhǔn)。雖然相當(dāng)冗長，但可以總結(jié)為：

最后一個，透明度，很可能是最重要的。當(dāng)我們進(jìn)入一個“萬物互聯(lián)”的世界時，我們的冰箱在某個時候停止更新的想法應(yīng)該會嚇到我們。

美國國家安全與技術(shù)研究所 (NIST) 框架推薦的最佳實踐是：識別、保護(hù)、檢測、響應(yīng)和恢復(fù)。雖然安全永遠(yuǎn)不會是絕對的，但迄今為止還沒有規(guī)定性標(biāo)準(zhǔn)。即使您想要標(biāo)準(zhǔn)（一個月后就會過時），這些標(biāo)準(zhǔn)也需要花費 9000 英鎊，并包含 61 份不同的文件。沒有制造商愿意處理這個問題，當(dāng)然也沒有用戶。

行業(yè)的回答似乎是說我們正在招聘更多的網(wǎng)絡(luò)安全專業(yè)人員。問題是我們不需要更多的網(wǎng)絡(luò)安全專家。我們需要更多的貿(mào)易和供應(yīng)商網(wǎng)絡(luò)安全能力。

什么是安全與隱私

互聯(lián)智能建筑的安全預(yù)防措施側(cè)重于安全與隱私。

雖然確保隱私的最佳方式首先是不要擁有數(shù)據(jù)，但我們知道數(shù)據(jù)無處不在。

根據(jù) Forrester Consulting 的 2019 年“北美企業(yè)物聯(lián)網(wǎng)安全狀況：不受管理和不安全”的研究，雖然 67% 的企業(yè)經(jīng)歷過物聯(lián)網(wǎng)安全事件，但只有 16% 的安全經(jīng)理表示他們對物聯(lián)網(wǎng)設(shè)備有足夠的了解在他們的環(huán)境中。還值得注意的是：

我們可以通過協(xié)作、系統(tǒng)和多學(xué)科的方法建立大多數(shù)安全措施。但安全不僅僅是一個 IT 問題——它是一個組織范圍的問題，涉及所有利益相關(guān)者——運營商、租戶、訪客、股東和所有相關(guān)供應(yīng)商。

安全和隱私之間的相互聯(lián)系是顯而易見的。沒有安全，我們就沒有隱私。小的安全弱點可能成為主要的攻擊區(qū)域。請記住，96% 的攻擊并不復(fù)雜 - 簡單的事情，例如員工在一張紙上記下密碼，任何經(jīng)過辦公桌的人都可以看到，或者在信息被收集和濫用的不安全網(wǎng)站上輸入密碼。

影子世界

遠(yuǎn)程工作已將數(shù)以百萬計的個人“影子物聯(lián)網(wǎng)設(shè)備”帶入企業(yè)網(wǎng)絡(luò)，擴(kuò)大了攻擊面。員工不考慮安全預(yù)防措施，網(wǎng)絡(luò)管理員對影子設(shè)備缺乏可見性，這意味著安全漏洞可能來自：

企業(yè)通常會忽視現(xiàn)有的系統(tǒng)性物聯(lián)網(wǎng)從他們所在的建筑物中滲透。然后再考慮遠(yuǎn)程工作人員及其連接的網(wǎng)絡(luò)，這會變得非常復(fù)雜。

設(shè)施操作員通常沒有想到有關(guān)添加到網(wǎng)絡(luò)的設(shè)備（通常是在不知不覺中）：

通往物聯(lián)網(wǎng)安全的共同道路

改進(jìn)的物聯(lián)網(wǎng)安全性應(yīng)該成為行業(yè)信任標(biāo)志計劃。使用最低限度的可行政策規(guī)范開放標(biāo)準(zhǔn)和制造商的透明度可以提供互操作性作為所有相關(guān)行業(yè)的規(guī)范。迄今為止，這還不是物聯(lián)網(wǎng)領(lǐng)域的事情，盡管美國以外的國家也在努力。

在 IoT 世界中，構(gòu)建系統(tǒng)需要安全的驅(qū)動力和易用性作為其基礎(chǔ)（遺憾的是需要匹配的價格點）。我們現(xiàn)在從比以往更多的來源獲取數(shù)據(jù)。每個組織都必須分析我們?nèi)绾伪Ｗo(hù)它。沒有適合所有人的尺寸，但同時說物聯(lián)網(wǎng)不會影響業(yè)務(wù)的東西對于那些只想保留它的人來說是個謊言。物聯(lián)網(wǎng)就在這里，它會一直存在，而且它已經(jīng)在您的設(shè)施中……你現(xiàn)在不能真正阻止它。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。