如何提高设施网络安全

【蜂耘网   智能安防】建筑技术历来缺乏对网络安全的关注，这一点最能体现在之前用于建筑自动化的开放通信标准的迭代中。BACnet、LonWorks和KNX等公司过去缺乏基本的加密、身份验证或完整性保护功能，因为它们都是作为封闭网络的一部分运行的。当然，这种情况现在已经通过例如BACnet/SC得到解决。

如果不解决广泛的建筑特定网络安全问题，就不可能实现托管数百个互连设备的大规模超连接智能建筑的最终愿景。 每个系统、设备、路由器、服务器和网关，包括它们的多个版本和迭代，都会给建筑物带来自己的网络安全风险。 而且，如果没有严格的分段，对如此广泛的漏洞中任何一个的未经授权的访问都可能暴露整个网络。 建筑物的设计并没有以这种速度发展，新的智能建筑必须快速了解网络安全。

“智能建筑行业对其系统所代表的日益扩大的攻击面的理解在很大程度上仍然落后。 设施管理团队通常仍然缺乏管理网络安全所需的 IT 技能，安全性较差的物联网设备仍然以有吸引力的价格涌入市场，尽管存在网络安全问题，但建筑物中的技术仍在不断增加。”Memoori 最近的一份研究报告称。 “构成智能建筑生态系统的每个不同元素都需要采取全面、多学科的防御方法，以有效减轻网络威胁。”

建筑技术历来缺乏对网络安全的关注，这一点最能体现在之前用于建筑自动化的开放通信标准的迭代中。BACnet、LonWorks和KNX等公司过去缺乏基本的加密、身份验证或完整性保护功能，因为它们都是作为封闭网络的一部分运行的。当然，这种情况现在已经通过例如BACnet/SC得到解决。

最近的一项网络安全研究指出：“由于许多智能建筑解决方案的生命周期延长，该行业仍然拥有相当大的遗留建筑自动化系统和设备的安装基础，这些系统和设备仍然充满安全缺陷和配置问题。” “遗留系统显然给建筑运营带来了重大网络风险，老练的攻击者意识到遗留系统造成的安全漏洞，并且越来越积极地利用已知漏洞来破坏运营和窃取敏感数据。”

现代物联网和楼宇自动化设备也很快因容易受到注入和内存损坏等问题而闻名，因为不良的编码实践使攻击者能够绕过其安全功能并完全控制它们。 此外，太多的连接设备仍然带有默认的用户名和密码设置。 然后，用户也常常无法定期更改密码、对多个系统使用相同的密码或选择简单且易于猜测的密码。 许多较新的物联网设备还附带通过未加密协议进行通信的默认设置，从而导致流量嗅探和敏感信息被篡改。

报告称：“应该注意的是，设备在互联网上被简单搜索并不一定是负责安装的供应商或系统集成商的错，最终是建筑员工和企业It部门的责任，以确保他们的设备免受窥探。”。最终，不同建筑系统的联网意味着它们的安全性取决于网络中最弱的设备。因此，为了确定现代网络化智能建筑中潜在的系统漏洞，有必要全面评估连接到建筑自动化和控制系统的系统、设备和网络的范围。”

为了对特定网络上的所有设备进行全面的网络安全风险评估，需要对所有设备和系统连接进行全面审核。 然而，通常部署在 IT 环境中以促进此审核过程的自动网络扫描工具和技术并不适合建筑物等 OT 环境。 由于智能建筑 OT 设备和系统通常运行在过时的传统协议上，因此它们无法响应 IT 扫描流程所使用的消息协议类型，而这些协议会报告设备状态、固件等。 事实上，这种扫描方法可能会对 OT 环境产生积极的破坏。

公开可用的物联网设备搜索引擎，如Shodan、BinaryEdge或Censys，可用于识别威胁的规模和暴露的设备的绝对数量。ForeScout Technologies 2019年的一项研究汇总了Shodan和Censys上的搜索数据，发现在发现的22,902台设备中，9,103台(39.3%)容易受到零日攻击，易受攻击的设备包括访问控制和暖通空调控制器以及协议网关。ForeScout的研究发现，对于连接IP的摄像头，91.5%的摄像头容易受到攻击，这一点令人震惊。检查安装在这些搜索引擎上的设备对建筑经理来说是必须的，但这意味着他们将不得不处理他们发现的问题。

“在Shodan和其他同类搜索引擎上进行搜索不需要网络安全知识或网络专业知识，任何人只要有两分钟的空闲时间，就可以轻松获得与暴露设备有关的大量数据，包括设备的IP地址、地理位置(包括纬度和经度坐标)、所有者、服务端口头信息、固件详细信息和可用的协议，”网络安全报告解释道。所有信息都是从公开来源获得的，这意味着任何有足够动力寻找它的人都可以获得这些信息。

（蜂耘智能安防网   责任编辑：辛渺）