如何防止對建筑系統(tǒng)的網(wǎng)絡威脅

如何防止對建筑系統(tǒng)的網(wǎng)絡威脅

想象一家500強企業(yè)在網(wǎng)絡安全方面如此松懈，以至于懶得為其計算機網(wǎng)絡提供最基本的保護，例如強密碼、防病毒軟件或最新軟件。其結(jié)果是，企業(yè)數(shù)以萬計的計算機常處于不受保護和監(jiān)控的狀態(tài)，同時可以通過網(wǎng)絡公開訪問。

如今，這種程度的不安全幾乎是不可想象的，因為網(wǎng)絡威脅越來越大，企業(yè)正在為網(wǎng)絡漏洞付出更高的代價。然而，這描述了我們正在處理的問題，尤其是當涉及到組成現(xiàn)代智能建筑的物聯(lián)網(wǎng)(IoT)和運營技術(shù)(OT)設備時。

樓宇自動化系統(tǒng)(BAS)擅長自動化和管理照明、暖通空調(diào)、訪問控制和其他系統(tǒng)。其是集成且高效的。大多數(shù)都是為可靠而設計的。但其普遍缺乏的是強大的網(wǎng)絡安全。這些系統(tǒng)通常具有低于標準的網(wǎng)絡安全控制和大量易受攻擊的IoT和OT設備。例如，這些設備通常有默認密碼或根本沒有密碼、過時的固件、未修補的漏洞，且大多數(shù)都沒有進行盤點、審計或定期監(jiān)控。因此，構(gòu)成典型BAS的無數(shù)IoT和OT設備極易受到攻擊，通常無法解釋，而且外部人員也易訪問。

這些安全缺陷使智能建筑很容易成為黑客攻擊的目標。越來越多的網(wǎng)絡犯罪分子甚至民族國家行為者現(xiàn)在正在利用未受保護的系統(tǒng)來構(gòu)建“僵尸網(wǎng)絡”，并建立持久的后門，他們可以使用這些后門隨意重新進入BAS，以及深入建筑物網(wǎng)絡內(nèi)部或滲透其企業(yè)租戶的IT系統(tǒng)。

設施管理人員需要意識到，對建筑系統(tǒng)的網(wǎng)絡攻擊并非遙遠或不太可能的威脅。這些攻擊已經(jīng)經(jīng)常發(fā)生了。事實上，閱讀本文的任何設施管理人員都可能在其BAS中嵌入了多個惡意軟件系列。這些惡意軟件感染可能會破壞有價值的設備，增加建筑物的能源使用，并使其運營以及租戶面臨數(shù)據(jù)盜竊、勒索軟件、拒絕服務和間諜活動等風險。

BAS是如何被入侵的?

BAS本質(zhì)上是一個大型IoT和OT網(wǎng)絡，分布在多個系統(tǒng)（暖通空調(diào)、照明、電氣、安全等）中，其中可以包含成百上千個單獨的“智能”設備。

就像PC等傳統(tǒng)計算機一樣，這些智能設備運行在帶有各種軟件應用的運行系統(tǒng)上，并被設計成可以連接到互聯(lián)網(wǎng)，這意味著它們也可能成為黑客的目標。然而，與傳統(tǒng)計算機相比，IoT和OT設備的網(wǎng)絡安全性極差，因為它們甚至缺乏在PC中一些最基本的安全控制，例如反惡意軟件、強大的訪問控制和本地防火墻。它們還因使用默認密碼、存在未修補的漏洞以及太容易訪問而臭名昭著，因為大多數(shù)都默認啟用多種連接功能，例如WiFi、藍牙、以太網(wǎng)和大量通信協(xié)議和服務。

攻擊者可以通過多種方式破解BAS。一種常見的方法是在互聯(lián)網(wǎng)上掃描開放的設備端口，例如Telnet、HTTP、HTTPS、FTP和SSH等，這可以讓黑客像合法用戶一樣簡單地登錄到這些智能設備。由于50%的IoT和OT設備仍然使用默認密碼，因此這種攻擊非常容易。黑客還使用“蠕蟲”惡意軟件，其可以自動掃描互聯(lián)網(wǎng)上易受攻擊的設備，輸入默認密碼，然后立即自我復制并傳播到同一網(wǎng)絡上的其他設備。這就是Mirai僵尸網(wǎng)絡能夠感染數(shù)百萬物聯(lián)網(wǎng)設備的原因，包括建筑安全攝像頭。

黑客尋找易受攻擊的BAS設備的另一種方法是通過Shodan搜索引擎。Shodan允許任何人搜索特定類型的暴露智能設備，以及特定設備版本（具有未修補的漏洞）和地理區(qū)域。

黑客還會使用網(wǎng)絡釣魚郵件，針對樓宇管理人員、企業(yè)設施團隊、維護人員和單個BAS供應商，竊取BAS內(nèi)關(guān)鍵系統(tǒng)或設備、遠程訪問服務(或供應商管理門戶)或樓宇管理終端的登錄憑證。

具有物理訪問權(quán)限的內(nèi)部人員也可以相當容易地感染、破壞或重新編程這些設備。只需簡單地按下設備的物理重置按鈕即可將其強制恢復為出廠默認設置，這將清除所有安全補丁或加固，并使設備更容易受到攻擊。

僵尸網(wǎng)絡攻擊

建筑系統(tǒng)最常見的網(wǎng)絡威脅是“僵尸網(wǎng)絡”惡意軟件。僵尸網(wǎng)絡本質(zhì)上是僵尸設備網(wǎng)絡，黑客在用一種特殊類型的惡意軟件感染這些設備后獲得了一定程度的控制。

僵尸網(wǎng)絡過去主要針對計算機系統(tǒng)，但隨著物聯(lián)網(wǎng)和OT技術(shù)的激增，它們已成為黑客更容易和更有利可圖的目標。

在大多數(shù)情況下，僵尸網(wǎng)絡會劫持IoT或OT設備，以便黑客可以執(zhí)行耗電量大的任務，例如對網(wǎng)站發(fā)起分布式拒絕服務(DDoS)攻擊，或?qū)ζ髽I(yè)進行“憑據(jù)填充”密碼攻擊。

至少，BAS中的僵尸網(wǎng)絡感染會減慢并破壞這些昂貴的設備，從而導致性能下降、不可預測性、“漏洞”和設備壽命顯著縮短。然而，建筑系統(tǒng)內(nèi)的大型僵尸網(wǎng)絡也會像吸血鬼一樣運作，吸取關(guān)鍵資源并使用額外的能源，從而降低建筑的運營效率并增加成本。

多管齊下的攻擊是另一種風險，因為僵尸網(wǎng)絡惡意軟件本質(zhì)上是網(wǎng)絡上的一扇敞開的門，黑客可以使用其來導入其他類型的惡意軟件，如勒索軟件，這些惡意軟件可能會進一步破壞大樓的系統(tǒng)。此外，網(wǎng)絡犯罪分子通常會創(chuàng)建僵尸網(wǎng)絡以將其出租給其他黑客組織。因此，多組黑客，每組都有不同的動機，可能會訪問BAS設備，這會增加造成代價更高的損壞的風險。

加密劫持

僵尸網(wǎng)絡惡意軟件的更專門用途是非法加密貨幣挖掘。這種攻擊被稱為“加密劫持”，類似于其他僵尸網(wǎng)絡感染，但有一個重要區(qū)別。

加密劫持是一種非常耗電的操作，甚至比傳統(tǒng)的僵尸網(wǎng)絡還要耗電，這意味著加密劫持惡意軟件會從受感染的建筑系統(tǒng)中消耗更多的處理能力和本地資源，并為此消耗大量電力。非法加密劫持肯定會增加建筑物的整體能源使用量，因為一筆比特幣交易需要1,449千瓦時才能完成，相當于美國普通家庭大約50天的用電量。然而，除了設施的能源成本較高外，BAS中的加密劫持攻擊還會造成建筑物關(guān)鍵系統(tǒng)出現(xiàn)物理功能障礙和過熱的風險，這可能導致嚴重故障。

由于BAS管理著重要的功能，例如建筑物訪問控制、安全監(jiān)控、火警/滅火、暖通空調(diào)等，其不能承受失敗。但是，如果IoT和OT組件感染了加密劫持惡意軟件，這些設備很可能會表現(xiàn)不佳，以至于變得不可靠。它們可能會完全失效，從而導致物理中斷和安全風險。這就是為什么一棟大樓的安全系統(tǒng)會在沒有任何警告的情況下突然失效?；蛘邷缁鹣到y(tǒng)如何在需要的時候失靈。

后門

黑客還利用建筑系統(tǒng)對企業(yè)IT網(wǎng)絡進行秘密攻擊。

通過滲透基本上不受監(jiān)控的BAS，黑客可以在這些系統(tǒng)中建立大本營，而不會被發(fā)現(xiàn)。然后，他們可以使用這個安全的有利位置來“嗅探”本地網(wǎng)絡流量，并尋找與受感染的物聯(lián)網(wǎng)或OT設備共享網(wǎng)絡連接的易受攻擊的設備。通過這種方式，黑客可以逐漸爬上網(wǎng)絡。

很少有企業(yè)能夠監(jiān)控此類攻擊，因此當其發(fā)生時，企業(yè)完全措手不及。建筑系統(tǒng)不受監(jiān)控的特性也使企業(yè)更難在檢測到威脅后完全消除威脅。即使黑客被從IT網(wǎng)絡中引導出來，也可以在BAS中站穩(wěn)腳跟，并在未來利用其對企業(yè)網(wǎng)絡發(fā)起額外的攻擊。這使得黑客能夠?qū)崿F(xiàn)長期的持久性，并使企業(yè)更難保護其網(wǎng)絡。

如何防止對建筑系統(tǒng)的攻擊

雖然建筑系統(tǒng)容易受到黑客攻擊，但好在是可以得到保護，而無需復雜的流程或昂貴的安全團隊。

大多數(shù)針對建筑系統(tǒng)設備的攻擊都是利用基本的安全故障，例如默認密碼和未修補的漏洞。因此，通過簡單地更改設備密碼和更新固件，設施管理人員將大大降低其整體風險。

進一步加強這些設備的其他措施包括：禁用遠程服務、關(guān)閉不必要的連接功能，并檢查有效的“證書”，以確保設備與網(wǎng)絡的連接經(jīng)過身份驗證和加密。設施管理人員還應考慮定期重啟BAS設備，因為這個簡單的步驟將清除系統(tǒng)中許多類型的惡意軟件。

然而，由于BAS的規(guī)模龐大，可能包含數(shù)百至數(shù)千個智能設備，從復雜的物聯(lián)網(wǎng)設備到工業(yè)級OT系統(tǒng)，大型設施的安全將面臨更大的挑戰(zhàn)。手動保護這些大型系統(tǒng)可能很困難，且需要耗費大量人力，因此設施管理人員應考慮投資自動化解決方案。

歸根結(jié)底，保護BAS免受惡意攻擊的唯一方法是了解所有這些設備的位置、它們是什么以及它們處于什么狀態(tài)。所有BAS組件的完整清單以及安全更新、加固和定期監(jiān)控都是至關(guān)重要的。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。