如果不解決廣泛的建築特定網絡安全問題，就不可能實現托管數百個互連設備的大規模超連接智能建築的最終愿景。 每個系統、設備、路由器、服務器和網關，包括它們的多個版本和迭代，都會給建築物帶來自己的網絡安全風險。 而且，如果沒有嚴格的分段，對如此廣泛的漏洞中任何一個的未經授權的訪問都可能暴露整個網絡。 建築物的設計並沒有以這種速度發展，新的智能建築必須快速了解網絡安全。

“智能建築行業對其系統所代表的日益擴大的攻擊面的理解在很大程度上仍然落後。 設施管理團隊通常仍然缺乏管理網絡安全所需的 IT 技能，安全性較差的物聯網設備仍然以有吸引力的價格湧入市場，盡管存在網絡安全問題，但建築物中的技術仍在不斷增加。”Memoori 最近的一份研究報告稱。 “構成智能建築生態系統的每個不同元素都需要採取全面、多學科的防御方法，以有效減輕網絡威脅。”

建築技術歷來缺乏對網絡安全的關注，這一點最能體現在之前用於建築自動化的开放通信標准的迭代中。BACnet、LonWorks和KNX等公司過去缺乏基本的加密、身份驗證或完整性保護功能，因爲它們都是作爲封閉網絡的一部分運行的。當然，這種情況現在已經通過例如BACnet/SC得到解決。

最近的一項網絡安全研究指出：“由於許多智能建築解決方案的生命周期延長，該行業仍然擁有相當大的遺留建築自動化系統和設備的安裝基礎，這些系統和設備仍然充滿安全缺陷和配置問題。” “遺留系統顯然給建築運營帶來了重大網絡風險，老練的攻擊者意識到遺留系統造成的安全漏洞，並且越來越積極地利用已知漏洞來破壞運營和竊取敏感數據。”

現代物聯網和樓宇自動化設備也很快因容易受到注入和內存損壞等問題而聞名，因爲不良的編碼實踐使攻擊者能夠繞過其安全功能並完全控制它們。 此外，太多的連接設備仍然帶有默認的用戶名和密碼設置。 然後，用戶也常常無法定期更改密碼、對多個系統使用相同的密碼或選擇簡單且易於猜測的密碼。 許多較新的物聯網設備還附帶通過未加密協議進行通信的默認設置，從而導致流量嗅探和敏感信息被篡改。

報告稱：“應該注意的是，設備在互聯網上被簡單搜索並不一定是負責安裝的供應商或系統集成商的錯，最終是建築員工和企業It部門的責任，以確保他們的設備免受窺探。”。最終，不同建築系統的聯網意味着它們的安全性取決於網絡中最弱的設備。因此，爲了確定現代網絡化智能建築中潛在的系統漏洞，有必要全面評估連接到建築自動化和控制系統的系統、設備和網絡的範圍。”

爲了對特定網絡上的所有設備進行全面的網絡安全風險評估，需要對所有設備和系統連接進行全面審核。 然而，通常部署在 IT 環境中以促進此審核過程的自動網絡掃描工具和技術並不適合建築物等 OT 環境。 由於智能建築 OT 設備和系統通常運行在過時的傳統協議上，因此它們無法響應 IT 掃描流程所使用的消息協議類型，而這些協議會報告設備狀態、固件等。 事實上，這種掃描方法可能會對 OT 環境產生積極的破壞。

公开可用的物聯網設備搜索引擎，如Shodan、BinaryEdge或Censys，可用於識別威脅的規模和暴露的設備的絕對數量。ForeScout Technologies 2019年的一項研究匯總了Shodan和Censys上的搜索數據，發現在發現的22,902台設備中，9,103台(39.3%)容易受到零日攻擊，易受攻擊的設備包括訪問控制和暖通空調控制器以及協議網關。ForeScout的研究發現，對於連接IP的攝像頭，91.5%的攝像頭容易受到攻擊，這一點令人震驚。檢查安裝在這些搜索引擎上的設備對建築經理來說是必須的，但這意味着他們將不得不處理他們發現的問題。

“在Shodan和其他同類搜索引擎上進行搜索不需要網絡安全知識或網絡專業知識，任何人只要有兩分鐘的空闲時間，就可以輕松獲得與暴露設備有關的大量數據，包括設備的IP地址、地理位置(包括緯度和經度坐標)、所有者、服務端口頭信息、固件詳細信息和可用的協議，”網絡安全報告解釋道。所有信息都是從公开來源獲得的，這意味着任何有足夠動力尋找它的人都可以獲得這些信息。

作者：James McHale

標題：如何提高設施網絡安全

地址：https://www.utechfun.com/post/347165.html