文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

不断升级的威胁:智能建筑是如何成为网络攻击的受害者

2024-12-02 23:39

关注

[[417152]]

目前,大多数 100,000 平方英尺或更多的新建筑是具有能源效率和楼宇自动化系统 (BAS) 的智能建筑,这些建筑提供自主功能来控制照明、气候和电梯,以及能源管理、电力分配、火灾探测、视频监控和徽章访问。然而,这些吸引人的好处充满了安全问题。许多建筑协议缺乏足够的网络安全功能。例如,用于 HVAC 控制的最广泛使用的数据层协议之一 BACnet 以未加密的格式部署。尽管出现了更安全的版本,但它们并不常用。

这些自主子系统中的每一个都依赖于成百上千的传感器和计算机,并连接到本地服务器和 Internet。防止网络攻击仍然需要关注大型建筑物的物理布局,因为设备可能位于人们可以轻松访问的未受保护区域。网络攻击只需要一个受损的物联网设备,而数量庞大的设备意味着这可能会在很长一段时间内不被发现。但显然,网络攻击不需要物理访问来渗透和破坏 BAS。事实上,这些系统通常安装在卫星设施中,几乎没有直接的 IT 支持。

卡巴斯基在 2019 年发布的一份报告显示,40,000 座智能建筑中有 37.8% 受到网络攻击的影响,其中大部分攻击试图破坏控制 BAS 的计算机,其中 26% 的威胁来自网络,10% 来自可移动媒体,10%来自网络钓鱼链接,1.5% 来自公司网络上的共享文件夹。在大多数情况下,它是以勒索软件、蠕虫和间谍软件的形式出现的常规恶意软件,不是专门针对BAS的恶意软件,而是用于感染任何公司网络的恶意软件。

OT 和 IT 网络安全工作通常是孤立的,OT 和 IT 防御之间的差距被攻击者利用,他们可以访问防御薄弱的 OT 系统作为企业 IT 网络的切入点。 2013 年的 Target 零售连锁数据泄露事件是针对 HVAC 系统的臭名昭著的网络攻击,该系统用于访问企业财务系统,窃取超过 4000 万人的支付卡数据。

在智能建筑中越来越多地使用网络物理系统带来了破坏的能力,不仅以损害数据机密性的代价高昂的破坏形式,而且以物理后果的形式更令人担忧,例如对智能建筑的网络攻击这会影响 BAS 的可用性。例如,2017 年有消息称,奥地利著名酒店 Romantik Seehotel Jgerwirt 遭到网络攻击,网络犯罪分子破坏了电子钥匙系统,使酒店客人无法进入酒店房间,并扰乱了其他业务运营。人们很容易想象对关键 BAS 功能(例如水、电、通风、电梯以及火警和灭火系统)的网络攻击可能引起的人身安全问题,更不用说医院或监狱的关键业务中断所带来的破坏性后果了。

除了上述损害 BAS 机密性和可用性的网络攻击示例之外,也不能忽视损害完整性的网络攻击。例如,通过 BAS 黑客进行温度控制可能会导致数据服务器或易腐货物等物品的物理损坏。对关键基础设施部门工业控制系统 (ICS) 的网络攻击因其物理后果而臭名昭著,例如 2015 年导致乌克兰电网瘫痪的 BlackEnergy 恶意软件,以及 2010 年导致伊朗核计划受损的 Stuxnet 蠕虫,承认作为世界上第一次大规模网络战攻击。

正如福布斯所指出的,BAS 可能成为网络攻击的下一个目标。网络犯罪分子可以在暗网上出售智能建筑的安全凭证以牟利,更不用说从勒索软件的要求中获取大量比特币支付。这些攻击背后的威胁行动者不仅仅是受经济利益驱使的网络犯罪组织。

潜在的威胁可能包括反对公司政策和产品的黑客活动人士。敌对国家和国家支持的犯罪集团资金充足,高度复杂,有能力破坏建筑活动,并造成物质破坏和生命损失。

潜在的威胁参与者可能包括反对公司政策和产品的黑客行为主义者。敌对的民族国家和国家支持的犯罪集团资金充足且高度复杂,具有破坏建筑运营以及造成物质破坏和生命损失的能力。

无论是出于政治、经济或其他方面的动机,智能建筑现在都受到威胁参与者的关注。 BAS 中断可能以业务停机、经济损失和公共安全威胁(例如关闭建筑物的电网)的形式对建筑物的商业租户造成重大损害。

解决这些关键问题需要城市规划者、工程师和网络安全专业人员之间的合作,以及建筑行业的网络安全框架和风险分析工具,以有效应对保护高层智能建筑的当前和未来挑战。

因此,保护??高层建筑不再只是保护建筑物的物理空间免受潜在的暴力攻击。此外,网络安全不再只是防止数据丢失或商业实体的机密性泄露,而是防止容纳大量潜在受影响租户(包括零售机构)的主要建筑物。

智能建筑内互联的BAS设备的网络安全问题已经延伸到物理破坏的领域,对高层智能建筑的潜在威胁现在包括黑客可以从其他国家远程访问整个建筑。虽然经济损失和名誉损失是严重的问题,但造成生命损失的灾难性事件现在可能会发生,不仅仅是恐怖分子或从事工作场所暴力的活跃枪手的实际存在、汽车炸弹或飞机坠毁造成的蓄意撞车,还可能是远处电脑键盘的敲击。

 

来源:千家网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯