在物聯(lián)網(wǎng)時(shí)代,建筑物變得越來(lái)越智能化,其中部署了很多基于web的技術(shù),用于管理建筑物的溫度、照明、通風(fēng)和其他系統(tǒng),然而,這給企業(yè)帶來(lái)了更直接的安全風(fēng)險(xiǎn),甚至超過(guò)了消費(fèi)者技術(shù)的風(fēng)險(xiǎn)。
隨著人們?cè)絹?lái)越追求更節(jié)能、更安全和智能的建筑物,這產(chǎn)生了大量基于web的技術(shù)。現(xiàn)在,建筑物管理系統(tǒng)不僅更加緊密地相互集成,而且它們還與建筑物外的系統(tǒng)相連接,例如智能電網(wǎng)。
分析師稱(chēng),這種系統(tǒng)帶來(lái)的威脅是雙重的。很多現(xiàn)代建筑物內(nèi)內(nèi)置的web智能設(shè)備并沒(méi)有安全保障,這使它們很容易受到攻擊,從而影響建筑物內(nèi)的運(yùn)作以及帶來(lái)安全風(fēng)險(xiǎn)。
這些沒(méi)有受到良好保護(hù)的連接網(wǎng)絡(luò)的建筑物管理系統(tǒng)還可以為惡意攻擊者提供一種新途徑來(lái)入侵企業(yè)業(yè)務(wù)系統(tǒng)。
例如,Target公司遭遇的大規(guī)模數(shù)據(jù)失竊就是因?yàn)椋粽呃昧肆硪患夜镜脑L問(wèn)憑證來(lái)進(jìn)入該公司的網(wǎng)絡(luò),這家公司負(fù)責(zé)遠(yuǎn)程維護(hù)Target公司的供暖、通風(fēng)和空調(diào)(HVAC)系統(tǒng)。在Target的事件中,泄漏事故發(fā)生的原因在于,該公司沒(méi)有適當(dāng)分隔其數(shù)據(jù)網(wǎng)絡(luò)。
工程和技術(shù)協(xié)會(huì)網(wǎng)絡(luò)安全負(fù)責(zé)人Hugh Boyes表示,隨著建筑物和管理系統(tǒng)變得越來(lái)越智能和互聯(lián),這些問(wèn)題會(huì)變得越來(lái)越常見(jiàn)。
“這給企業(yè)IT帶來(lái)了有趣的挑戰(zhàn),”Boyes表示,“他們需要知道他們的建筑物中增加了一些復(fù)雜的網(wǎng)絡(luò),而且這些網(wǎng)絡(luò)不在其控制范圍內(nèi)。”
作為一個(gè)例子,Boyes提到了很多建筑物內(nèi)越來(lái)越多的IP閉路監(jiān)控?cái)z像頭。在某些情況下,這些攝像頭可能被用來(lái)檢測(cè)房間內(nèi)是否有人,或者是否開(kāi)著燈或關(guān)了燈。
在這種情況下,攝像頭、照明和加熱系統(tǒng)將所有需要被集成在一起,每個(gè)系統(tǒng)還將需要通過(guò)網(wǎng)絡(luò)連接到外部第三方,以獲得維護(hù)和支持。Boyes表示:“你很快會(huì)遇到這樣的情況,你內(nèi)部的網(wǎng)絡(luò)會(huì)連接到建筑物外的位置。”
同時(shí),不只是供暖、照明和安全系統(tǒng)是這樣。電梯制造商可能會(huì)在建筑物內(nèi)的所有電梯中內(nèi)置智能傳感器來(lái)檢測(cè)和發(fā)現(xiàn)故障。或者,建筑物負(fù)責(zé)人會(huì)部署技術(shù)來(lái)監(jiān)控和控制用水情況。
很多這些技術(shù)將會(huì)與建筑物外建立連接,通過(guò)IP網(wǎng)絡(luò)連接到第三方供應(yīng)商或者服務(wù)供應(yīng)商。通常情況下,來(lái)自這些系統(tǒng)的數(shù)據(jù)不僅會(huì)用于實(shí)時(shí)據(jù)測(cè)支持,而且還會(huì)用于長(zhǎng)期分析。
Smart Buildings LLC公司負(fù)責(zé)人Jim Sinopoli表示,讓這個(gè)問(wèn)題更加嚴(yán)重的是,用于建筑物自動(dòng)化和控制網(wǎng)絡(luò)的很多通信協(xié)議(例如BACnet和LonTalk)都是開(kāi)放和透明的。
設(shè)備制造商已經(jīng)部署了這些協(xié)議用于產(chǎn)品兼容性和互操作性目的,然而,這種開(kāi)放性和透明度同時(shí)也增加了建筑物自動(dòng)化網(wǎng)絡(luò)的受攻擊可能性。
Sinopoli表示:“這些系統(tǒng)不再是隔離的。”一個(gè)系統(tǒng)中的數(shù)據(jù)泄漏事故可能會(huì)給多個(gè)建筑物自動(dòng)化系統(tǒng)和網(wǎng)絡(luò)帶來(lái)影響。
這種威脅不僅涉及攻擊者滲透入建筑物系統(tǒng)來(lái)造成嚴(yán)重破壞,而且還可能對(duì)IT造成潛在影響,例如因?yàn)榻ㄖ锵到y(tǒng)中斷造成的通信故障,或者因?yàn)榻ㄖ镒詣?dòng)化網(wǎng)絡(luò)和IT網(wǎng)絡(luò)之間糟糕的分隔導(dǎo)致未經(jīng)授權(quán)訪問(wèn)企業(yè)數(shù)據(jù)。
Sinopoli表示,現(xiàn)在在越來(lái)越多的公司,IT開(kāi)始滲透入建筑物系統(tǒng)。
德國(guó)安全咨詢公司Forta總裁Rolf von Roessing表示,隨著建筑物變得越來(lái)越智能,消費(fèi)電子設(shè)備供應(yīng)商也開(kāi)始進(jìn)入智能建筑市場(chǎng)。Rolf von Roessing也是ISACA職業(yè)影響和宣傳委員會(huì)的成員,ISACA是專(zhuān)注于IT管理問(wèn)題的組織,擁有128000名成員。
von Roessing表示:“建筑物自動(dòng)化(包括關(guān)鍵功能)現(xiàn)在已經(jīng)可以通過(guò)網(wǎng)絡(luò)商店和硬件及電子商店來(lái)實(shí)現(xiàn)。雖然專(zhuān)業(yè)解決方案通常具有內(nèi)置安全和保護(hù),消費(fèi)者產(chǎn)品則沒(méi)有受到很好的保護(hù)。”
在準(zhǔn)備方面,IT從業(yè)人員應(yīng)該擴(kuò)展其信息安全和網(wǎng)絡(luò)安全管理過(guò)程,以涵蓋建筑物和建筑管理系統(tǒng)。
“在很多情況下,這些系統(tǒng)將通過(guò)基于windows或兼容界面來(lái)控制,并且使用標(biāo)準(zhǔn)IP的標(biāo)準(zhǔn)PC設(shè)備和網(wǎng)絡(luò)連接,”von Roessing表示,“對(duì)于遠(yuǎn)程控制,安全從業(yè)人員應(yīng)該關(guān)注移動(dòng)設(shè)備、遠(yuǎn)程控制應(yīng)用程序和底層流程。如果關(guān)鍵建筑功能可以通過(guò)不受保護(hù)的移動(dòng)設(shè)備來(lái)控制和操作,這將存在很大的安全險(xiǎn)。”
SANS新興安全趨勢(shì)主管John Pescatore表示,對(duì)于越來(lái)越多的公司,這個(gè)問(wèn)題已經(jīng)開(kāi)始出現(xiàn)。 Pescatore 表示,在SANS關(guān)于物聯(lián)網(wǎng)安全性的調(diào)查中,智能建筑物和工業(yè)控制系統(tǒng)是第二個(gè)最經(jīng)常被提到的問(wèn)題,僅次于消費(fèi)者設(shè)備。
通常情況下,IT并沒(méi)有很清楚這個(gè)問(wèn)題的影響范圍。例如,在最近的SANS大會(huì)上,一所大學(xué)的首席信息官[注]表示,他在對(duì)校園新建筑物進(jìn)行安全掃描時(shí)發(fā)現(xiàn)了將近1500個(gè)傳感器,在電梯、門(mén)、攝像系統(tǒng)、照明和供暖系統(tǒng)。
傳統(tǒng)上來(lái)講,建筑物管理系統(tǒng)并沒(méi)有被認(rèn)為是IT系統(tǒng),它們不是由CIO[注]選購(gòu),長(zhǎng)期以來(lái),它們都被認(rèn)為是建筑和設(shè)施管理團(tuán)隊(duì)管轄的操作技術(shù)。
ISACA的Robert Stroud表示,這種態(tài)度必須改變。建筑管理和IT部門(mén)將需要攜手合作來(lái)發(fā)現(xiàn)和解決潛在風(fēng)險(xiǎn)。
但同時(shí)他們也將需要充分了解相關(guān)風(fēng)險(xiǎn),企業(yè)將需要更多地關(guān)注網(wǎng)絡(luò)分段、身份驗(yàn)證和網(wǎng)絡(luò)監(jiān)控等做法。
Stroud指出,供應(yīng)商管理流程將需要特別注意。
智能建筑物中的很多設(shè)備都沒(méi)有內(nèi)置安全技術(shù),并且來(lái)自于大多數(shù)IT部門(mén)不熟悉的供應(yīng)商。建筑自動(dòng)化領(lǐng)域的供應(yīng)商并沒(méi)有與IT供應(yīng)商相同的安全做法,很少有供應(yīng)商會(huì)通知客戶了解自己產(chǎn)品中的安全威脅。
IT企業(yè)將需要與建筑管理團(tuán)隊(duì)合作來(lái)更新供應(yīng)商名冊(cè),整合聯(lián)系人列表,并確定在需要升級(jí)響應(yīng)時(shí)需要聯(lián)系的供應(yīng)商。
京公網(wǎng)安備 11010502049343號(hào)