現實情況是，物聯網對商業建築來說是福也是禍。物聯網連接爲許多偉大的技術提供了動力，如樓宇自動化系統，這些技術可以實現更高效、更人性化的建築。但是，大多數商業建築中的數千個物聯網端點也在網絡安全鏈中造成了薄弱環節。通過這些薄弱環節進行黑客攻擊的例子有很多，大多數專家都認爲，在改進之前，情況可能會變得更糟。

企業在遷移到雲端時花費了大量資金來保護他們的網絡。彭博情報社的一份報告估計，到2024年，網絡安全支出每年將超過2000億美元。然而，即使在網絡安全上花費了這么多錢，許多企業用戶也會讓他們的網絡容易受到數十萬個不受保護的物聯網端點的攻擊。

對於大多數物聯網設備而言，安全性根本不是首要考慮的問題。Stringify 首席技術官 Dave Evans 表示，最大的挑战是大多數設備沒有太多內置安全性，這令人不安，因爲每秒有 127 個新的物聯網設備連接到網絡。專家預測，到 2025 年，全球將有 750 億台聯網物聯網設備。與筆記本電腦和其他類型的消費電子硬件不同，許多此類設備背後都沒有大型公司（如微軟和蘋果）提供定期安全更新。較小的公司使用較少的資源制造建築傳感器，並且通常使用較弱的安全協議，這對物業經理構成了越來越大的威脅。

更糟糕的是，一些建築經理沒有完全了解所有這些物聯網端點。根據 IoT For All 的報告，一般高管認爲物聯網設備佔其網絡的 1%，而事實上，這些設備佔所有端點的 43% 左右。而我們才剛剛开始物聯網硬件的爆炸式增長。筆記本電腦的復合年增長率約爲 0.3%，而物聯網的增長率接近 36%。建築物對其網絡的不了解可能會對其造成巨大損害，而物聯網連接存在許多未知因素。人們很容易忽視公司辦公室中種類繁多的物聯網設備，因此黑客看到了絕佳的機會。

已知的未知數

“通常災難發生後才會發生，”卡內基梅隆大學計算機科學系教授 Jason Hong 表示。“我們將看到更多的物聯網攻擊，甚至可能出現一些真正的噩夢場景，”Hong 告訴我。盡管越來越多的網絡攝像頭和小型設備經常被入侵，但全球許多大型科技制造商仍然將市場性和易用性置於安全性之上。

物聯網安全領域最近最重要的進步是特朗普政府於 2020 年通過了兩黨共同制定的《物聯網網絡安全改進法案》。該法律沒有具體規定要求，但指示美國國家標准與技術研究所 (NIST) 這樣做。從技術上講，該法律僅涵蓋使用美國政府資金購买的物聯網設備，但私營企業可能必須遵守該標准。該法律要求標准和政策至少每五年更新一次，但專家強調，這可能只會影響新的物聯網購买。這將使現有設備暴露在外。無論如何，許多人認爲這是一個好的开始。汽車零部件制造商 Nexteer Automotive 的 CISO Arun DeSouza 告訴 IoT World Today：“如今的物聯網就像是狂野西部，沒人關心。沒人考慮清楚。因此，無論 NIST 提出什么建議，都將是一個巨大的進步。”

對於希望加強物聯網安全性的公司來說，識別網絡端點至關重要，但這並不像聽起來那么容易。如果允許員工訪問網絡，商業建築的聯網設備數量可能會比居住其中的人還多。IT 團隊通常知道設備的存在，但對它是什么知之甚少。即使他們在網絡上看到了設備，他們也可能不知道它在建築中的位置。總的來說，計算機科學教授Hong告訴我，很難管理和跟蹤所有事情。

大多數這些被遺忘的設備的安全性都非常薄弱。許多設備都安裝了默認密碼，而且與大多數軟件不同，它們不會定期自動更新和修補。一些建築和公司佔用者有專門檢查物聯網網絡安全的 IT 人員，但並不是所有建築和公司佔用者都有。

管理、監控和安全

各種報告表明，物聯網設備的固件存在漏洞。許多設備的更新都落後了五到七年，因此很容易成爲攻擊目標。專家估計，多達一半的物聯網設備都有默認憑證，因此不需要天才黑客就能猜出憑證並滲透網絡。定期修補、固件更新和更改這些設備的憑證對於企業網絡安全至關重要，但有多少公司這樣做尚有爭議。

在過去的一年裏，對 100 多萬台客戶物聯網設備的評估顯示，26% 的設備已“報廢”，這意味着它們不再受支持。評估顯示，18% 的設備存在嚴重漏洞，黑客無需使用憑證即可完全控制設備。

大多數建築物中的此類設備都應該從網絡中刪除，或者至少將其分割到自己的網絡中。分割曾經是物聯網設備安全的最佳方法，但專家表示，它不再是可用的最佳措施。通過分段，設備被隔離在單獨的網絡上，使不安全的設備遠離任何更重要的設備。細分可以有所幫助，但這不是永久的解決方案。如果黑客使用不同類型的進入技術，不安全的設備即使被分段，仍然會構成威脅。

這就是爲什么當今最好的網絡安全實踐是保護設備免受漏洞的影響。接種確保物聯網設備的補丁和硬件處於最新狀態，定期檢查憑證並保留准確的庫存。自動化使許多物業管理IT團隊能夠控制和保護其網絡上的物聯網。盡管如此，即使實現了自動化，也需要制定一個計劃來管理、監控和保護物聯網生態系統免受威脅。

可疑案例研究

採取這些措施確保物聯網安全是明智的，因爲入侵可能會產生重大的負面影響。入侵有時會通過暖通空調控制發生，但最臭名昭著的案例是一家賭場通過魚缸遭到黑客攻擊。安裝在賭場大廳的高科技魚缸具有物聯網連接，可遠程監測溫度和鹽度等。賭場將魚缸配置爲使用單獨的 VPN 來隔離連接，但該設備偶爾會與建築物內的其他連接設備通信。

賭場的威脅系統注意到魚缸設備正在輸出大量數據，但爲時已晚。當物業管理部門發現黑客攻擊時，魚缸設備已將大約 10 GB 的數據發送到芬蘭，這是一個數據外泄的例子。魚缸黑客攻擊在網絡安全界是傳奇，我爲本文採訪的所有消息來源都提到了這一點。這是一個明顯的例子，說明物聯網設備是多么脆弱。

無論從哪個角度看，網絡安全都是企業佔用者和物業經理日益關注的問題，最近也理所當然地引起了更多關注。幾年來，網絡安全話題在媒體上越來越流行，甚至小企業也在加強安全。但對於物聯網，我們仍然在努力追趕。早期的物聯網設備並沒有把安全放在首位，因爲一些小公司急於將產品推向市場。

物聯網行業正在一點一點地將重點轉向更好的安全性，而且這一舉措迫在眉睫。美國政府新的物聯網網絡安全法應該會有所幫助。如果賭場魚缸系統可能被黑客入侵，那么商業建築中的幾乎所有東西都容易受到攻擊。物聯網設備爲物業經理創造了奇跡，使他們能夠使用智能建築技術，大大改善他們的資產。但如果這些設備不安全，仍然容易受到黑客攻擊，那么這項技術可能會以驚人的方式適得其反。物聯網是迄今爲止商業建築安全中最薄弱的環節，需要比以往任何時候都更多的關注。

作者：NICK PIPITONE

 CIBIS峰會 

由千家網主辦的2024年第25屆CIBIS建築智能化峰會即將开啓， 本屆峰會主題爲：“匯智提質：开啓未來新篇章”。屆時，我們將攜手全球知名智能化品牌及業內專家，共同探討物聯網、AI、雲計算、大數據、智慧建築、智能家居、智慧安防等熱點話題與最新技術應用，分享如何利用更智慧、更高效、更安全、更低碳的智慧技術，共同开啓未來美好智慧生活。

歡迎建築智能化行業小夥伴報名參會，共同分享交流！

報名方式

成都站（11月05日）：https://hdxu.cn/7FoIq

西安站（11月07日）：https://hdxu.cn/ToURP

北京站（11月19日）：https://hdxu.cn/aeV0J

上海站（11月21日）：https://hdxu.cn/xCWWb

更多2024年峰會信息，詳見峰會官網：http://summit.qianjia.com

標題：物聯網網絡安全是大多數商業建築最薄弱的環節

地址：https://www.utechfun.com/post/430849.html