网络安全已成为商业建筑最薄弱的环节
编辑搜图
随着物联网的广泛应用,如今现实情况是,物联网对商业建筑来说是福也是祸。物联网连接为许多伟大的技术提供支持,例如楼宇自动化系统,这些技术可以实现更高效和用户友好的建筑。但是,大多数商业建筑中的数千个物联网端点也造成了网络安全链中的薄弱环节。有很多通过这些薄弱环节进行黑客攻击的例子,大多数专家都认为,在改进之前,它们可能会变得更糟。
企业在迁移到云时花费大量资金来保护他们的网络。Bloomberg Intelligence 的一份报告估计,到 2024 年,网络安全支出每年将超过 2000 亿美元。然而,即使在网络安全上花费了这么多钱,许多企业用户仍让他们的网络容易受到数十万个未受保护的物联网端点的攻击。
对于物联网设备,安全性并不是大多数人的首要任务。根据 Stringify 首席技术官 Dave Evans的说法,最大的挑战是大多数设备没有太多的内置安全性,这令人不安,因为每秒有 127 台新的物联网设备连接到网络。专家预测,到 2025 年,全球将有 750 亿台联网的物联网设备。与笔记本电脑和其他种类的消费电子硬件不同,这些设备中的许多设备背后都没有提供定期安全更新的大公司(如微软和苹果)。较小的公司使用更少的资源和通常较弱的安全协议来构建传感器,这对物业经理构成了越来越大的威胁。
更糟糕的是,一些建筑经理并没有完全看到所有这些物联网端点。根据 IoT For All 的一份报告,一般高管认为物联网设备仅占其网络的 1%,而事实上,这些设备约占所有端点的 43% 。而我们只是在物联网硬件爆炸式增长的开始。笔记本电脑的年复合增长率约为 0.3%,而物联网的年增长率接近 36%。如果建筑物对其网络一无所知会对其造成巨大伤害,而且物联网连接还有很多未知数。忽略企业办公室中种类繁多的物联网设备太正常了,因此给了黑客绝佳的机会。
已知的未知数
卡内基梅隆大学计算机科学系教授 Jason Hong 说:“它的工作方式通常是灾难首先发生。” “我们将看到更多的物联网攻击,可能还有一些真正的噩梦场景。”尽管经常有更多的网络摄像头和较小的设备遭到破坏,但全球许多主要科技制造商仍然优先考虑适销性和易用性,而不是安全性。
以美国为例,物联网安全最近最重要的动作是特朗普政府在 2020 年通过了两党的物联网网络安全改进法案。法律没有具体规定要求,但指示美国国家标准与技术研究院 (NIST) 这样做。从技术上讲,该法律仅涵盖使用美国政府资金购买的物联网设备,但私营企业可能必须遵守该标准。该法律要求至少每五年更新一次标准和政策,但专家强调这可能只会影响新的物联网购买。这将使现有设备暴露在外。不管怎样,很多人认为这是一个好的开始。“今天的物联网是一个狂野的西部,没有人关心,”汽车零部件制造商耐世特汽车公司的首席信息安全官 Arun DeSouza对媒体表示。“没有人考虑过。因此,无论 NIST 推荐什么,都将是一个很大的改进。”
识别网络端点对于希望加强物联网安全的企业来说至关重要,但这并不像听起来那么容易。如果允许员工访问网络,那么商业建筑中的连接设备可能会比占用它的人多。IT 团队通常知道设备存在,但对其内容知之甚少。即使他们在网络上看到该设备,他们也可能不知道它在建筑物中的什么位置。总的来说,计算机科学教授 Hong 表示,很难管理和跟踪所有联网设备。
大多数这些被遗忘的设备的安全性都非常薄弱。许多设备使用默认密码安装,并且与大多数软件不同,它们没有定期自动更新和补丁。一些建筑物和企业住户有专门的 IT 人员来检查物联网网络安全,但不是全部。
管理、监控和保护
各种报告表明,物联网设备具有易受攻击的固件。许多设备在更新方面落后了五到七年,这使得它们很容易成为目标。专家估计,多达一半的物联网设备具有默认凭据,因此无需天才黑客即可猜测凭据并渗透到网络中。这些设备的定期修补、固件更新和凭证更改对于企业网络安全至关重要,但有多少公司这样做是有争议的。
去年,一项对超过 100 万台客户物联网设备的评估显示,26% 的设备已“报废”,这意味着它们不再受支持。评估显示,18% 的设备存在严重漏洞,允许黑客在不使用凭据的情况下完全控制。
在大多数建筑物中,应将此类设备从网络中移除,或者至少将其分段到它们自己的网络中。分段曾经是物联网设备安全的最佳方法,但专家表示它不再是可用的最佳措施。通过分段,设备被隔离在单独的网络上,使不安全的设备远离任何更重要的设备。分段可以提供帮助,但这不是永久的解决方案。如果黑客使用不同类型的进入技术,不安全的设备即使被分割,仍然构成威胁。
这就是为什么当今最好的网络安全实践是为设备提前预防漏洞,这样可确保物联网设备的补丁和固件是最新的,定期检查凭证并保持最新安全数据库。自动化使许多物业管理 IT 团队能够控制和保护其网络上的物联网。尽管如此,即使实现了自动化,也需要制定管理、监控和保护物联网生态系统免受威胁的计划。
案例
采取这些措施来确保物联网安全是明智的,因为违规可能会产生重大的负面影响。有时违规是通过 HVAC 控制发生的,但最臭名昭著的案例是一家赌场的鱼缸被黑客入侵。安装在赌场大厅的高科技鱼缸具有物联网连接,可以远程监控温度和盐度等。赌场将浴缸配置为使用单独的 VPN 来隔离连接,但该设备偶尔会与建筑物中的其他连接设备进行通信。
赌场的威胁系统注意到鱼缸设备正在导出大量数据,但为时已晚。到物业管理部门发现黑客攻击时,设备已经向芬兰发送了大约 10 GB 的数据,这是泄露的一个例子。鱼缸黑客事件在网络安全界堪称传奇,我为这个故事采访过的所有消息来源都提到了它。这是物联网设备易受攻击的一个明显例子。
无论您怎么看,网络安全都是企业租户和物业经理日益关注的问题,并且最近获得了更多关注,这是理所当然的。多年来,网络安全对话在媒体中变得越来越普遍,甚至小型企业也在加强安全性。但是对于物联网,我们仍然主要是在追赶。前几代物联网设备并未将安全放在首位,因为一些小公司急于将产品推向市场。
物联网行业正在逐渐将重点转移到更好的安全性上,而且还不能很快到来。美国政府的新物联网网络安全法应该会有所帮助。如果赌场鱼缸系统可能被黑客入侵,那么商业建筑中几乎任何东西都容易受到攻击。物联网设备为物业经理创造了奇迹,使他们能够使用智能建筑技术来极大地改善他们的资产。但是,如果这些设备不安全并且仍然容易受到黑客攻击,那么该技术可能会以惊人的方式适得其反。物联网是迄今为止商业建筑安全中最薄弱的环节,比以往任何时候都需要更多的关注。
我有话说: