文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

楼宇自动化系统的潜在威胁

2024-12-13 16:47

关注

背景

建筑物在高效使用能源的同时,为居住者的舒适和安全提供了一个方便和互联的环境。像这样的建筑物包含来自各种行业的关键资产,例如办公室、零售、教育、酒店和公共机构。例如,医疗建筑必须配备 HVAC 系统、紧急呼叫设备和医疗气体等救生设备,而办公楼必须提供门禁设备、消防设备和电梯等。

如果建筑物遭受恶意软件攻击,它可能会扰乱企业的运营并对其中人员的安全构成直接威胁。为了与智能建筑的概念保持一致,本文介绍了物联网 (IoT) 作为楼宇自动化系统 (BAS) 的广泛应用,作为一种可行的解决方案:

图 1. 建筑物网络架构概述

智能建筑行业面临的威胁

现在我们已经建立了连接到互联网的系统,网络攻击已经成为一个主要威胁。例如,2021年10月,德国某楼宇自控工程公司遭到敌手攻击,通过暴露在网络中的UDP端口渗透BAS,导致很多现场设备(如电灯开关、运动探测器等)失控、快门控制器等。此外,过去曾利用 HVAC 和恒温器,使攻击者能够不断渗透金融系统和赌场数据库,可能威胁数千万客户。因此,我们分析了智能楼宇的系统和网络架构,发现了以下潜在威胁:

1、IoT 设备容易受到未修补的漏洞和配置错误的影响,这些漏洞和配置错误可能允许攻击者持续访问和破坏 BAS,从而导致依赖它们的行业的运营中断。

在许多情况下,智能建筑中使用的大量物联网 (IoT) 设备可能对试图确保所有设备数据安全的管理人员构成挑战。即使设备制造商提供了信息安全指南,管理人员也可能难以实施这些建议。根据 Software Testing Help 的统计数据,2022 年一些最受欢迎的物联网设备包括 August Smart Lock、Belkin WeMo Smart Light Switch、Nest Smoke Alarm 和 Nest T3021US Learning Thermostat。过去,August 智能锁存在安全漏洞,允许攻击者访问用户的 Wi-Fi 网络。此物联网设备的主要问题是加密密钥使用一种名为 ROT-13 的易于破解的密码硬编码到应用程序中。因此,黑客可以通过设备容易破解的加密方式截获用户的 Wi-Fi 密码 。

在另一个案例中,TrapX Security 证明 Nest Thermostat 中的漏洞可被利用通过 USB 将自定义软件加载到 Nest ARM7 处理器上。如果成功,这将允许 TrapX 获取 Nest 所连接的 Wi-Fi 网络的密码,攻击者可能会访问有关用户是否在家的信息,并从连接到同一 Wi-Fi 网络的其他设备接收数据。

为了最大限度地减少智能建筑环境中物联网设备受到攻击的影响,仔细监视和控制通过网络传输的数据包非常重要。例如,阻止恒温器向楼宇自动化系统发送控制命令可能是明智的。

2、带有 HMI 的 HVAC 系统中的权限提升漏洞允许攻击者远程控制系统,可能对人类生命构成威胁。

供暖、通风、空调和制冷 (HVAC) 系统通常用于医院建筑、酒店建筑、零售建筑和办公建筑,以控制室内温度。TXOne Networks 研究团队检查了各种品牌的 HVAC 系统,发现其中许多具有可以通过网络访问的人机界面 (HMI),并且容易受到凭证泄露和特权升级等攻击。

例如,在 2021 年 7 月,发现三菱电机空调系统的 Web 服务未正确实施身份验证算法,允许攻击者提升权限并冒充管理员来篡改系统配置 。此外,在智能建筑环境中,HVAC 系统通常连接到其他建筑系统和联网设备,为攻击者远程破坏 HVAC 系统提供了更多机会。根据建筑物的类型,这可能会对建筑物内的人员和其他人的安全构成威胁。

3、很多楼宇使用的OT协议缺乏安全特性,为攻击者提供了嗅探数据包甚至篡改关键操作指令的机会。

建筑物中使用的常见 OT 通信协议包括 BACnet、Modbus 和 KNX,并且与许多旧的 OT 环境一样,它们具有许多可通过 DoS 或欺骗攻击加以利用的漏洞。例如,虽然建筑行业正在逐步采用 BACnet 安全连接 (BACnet/SC) 来提高建筑物的网络安全性,但由于 OT 环境的使用寿命很长,许多遗留建筑系统仍然使用过时的通信协议,为攻击者提供了机会拦截和篡改关键操作指令。

此外,在部署了大量物联网设备的建筑环境中,削减成本的措施可能会导致使用低功耗广域网 (LPWAN),尽管使用了简单的加密技术,但仍容易受到一系列攻击。

4、人为错误可能难以控制,这为攻击者提供了通过网络钓鱼、水坑攻击或勒索软件攻击破坏建筑系统的机会。

智能楼宇虽然具备高度自动化控制能力,但系统仍需投入人力管理人员进行辅助工作。但由于智能楼宇涉及的行业范围广,人员很难遵守全面的信息安全规定,因此系统容易因人员失误而导致整栋楼宇面临威胁。Intelligent Buildings 指出,他们约 90% 的建筑系统服务器已连接到电子邮件、社交媒体和其他网站供个人使用,这让攻击者有机会利用网络钓鱼、水坑攻击或勒索软件攻击等入侵建筑系统的方法,导致智能建筑的安全性崩溃。

此外,智能建筑环境在管理常驻端点设备方面也面临挑战。如果这些设备在不安全的网络上使用,它们可能会被感染并暴露居民生活或工作的整个智能建筑。

5、BAS系统采用跨平台云解决方案,为攻击者利用物联网通信协议漏洞攻击楼宇系统创造了机会。

随着物联网在智能建筑中的不断发展,BAS 系统越来越多地采用跨平台云解决方案。例如,一些BAS系统使用MQTT将从控制系统收集的信息和建筑物内部信息传输到云端进行分析,并自动提供最佳系统控制。MQTT 是一种基于发布消息和订阅主题原理的通信协议,因此订阅者不知道谁在发布消息。这意味着如果攻击者可以访问网络并向现有主题发布消息,他们可以很容易地篡改或覆盖原始信息,导致构建系统表现出不安全的行为。

如何减轻对智能建筑行业的潜在威胁

从以上对潜在威胁的分析可以看出,智能建筑严重依赖大量的物联网设备,并且缺乏对人员使用的端点设备的适当管理。因此,TXOne Networks 建议所有行业对其楼宇自动化系统实施完整的可见性和安全控制,以防止攻击者对楼宇执行灾难性的网络攻击并扰乱行业运营:

1、确保 IT 网络不会成为攻击者访问 BAS 网络的途径,反之亦然。

为确保楼宇自动化网络的安全性和可靠性,应在单独的OT网络基础设施上运行,并与IT网络隔离。例如,用于维护楼宇自动化系统的路由器不应该有面向 Internet 或其他外部网络的开放和不受保护的端口,例如 HTTP。如果需要外网访问,需要配置防火墙进行保护,并设置VPN进行远程访问。

然而,为了进一步加强网络分割和提供纵深防御,建议采用IEC62443标准中概述的“区域”和“管道”概念。“安全区域”是指具有共享安全需求和定义边界的一组物理或逻辑资产。这些区域之间的连接称为“管道”,应配备安全措施,以控制访问,防止拒绝服务攻击,屏蔽网络中的脆弱系统,并保持通信的完整性和机密性。

2 、建议通过可信网络列表限制通信通道,建立安全通信和安全配置。

为防止未经授权或不安全的通信,我们建议禁用不安全的网络协议,停用不必要的网络服务,并拒绝转发来自未知来源的数据包。组织可以使用信任列表实施网络策略,以有效管理其运营技术 (OT) 网络中的可信通信和设备访问。每个区域都应该使用过滤表来阻止不应连接到该区域的IP地址,并防止未经授权的BACnet/KNX和其他设备访问BAS系统。OT 零信任网络策略可以检测关键资产中的异常通信模式、未经授权的命令和超出范围的值。这些异常可能包括失败的访问尝试、更改访问权限和恶意端口扫描等。

3、通过增强对 BAS 网络的可见性,组织可以完全识别攻击媒介和影子 OT 设备。

安全漏洞通常是由管理人员未发现的操作安全问题造成的,例如设备漏洞、错误配置、策略违反、安全控制薄弱和未经授权的更改。组织可以实现一个集中式管理平台,该平台可以提供BAS网络活动的全面视图,使管理人员能够检查安装在BAS环境中的所有BAS资产及其连接的详细信息,包括BACnet网关后面的设备。通过增强网络安全可见性,管理员可以持续监控关键设备的网络安全状态,理想情况下可以自动生成安全警报、资产设备信任列表和可疑事件活动。便于管理设备变更、网络配置变更、攻击向量识别和盲点识别。

来源:千家网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯