背景
建筑物在高效使用能源的同時��,為居住者的舒適和安全提供了一個方便和互聯(lián)的環(huán)境。像這樣的建筑物包含來自各種行業(yè)的關鍵資產(chǎn)��,例如辦公室��、零售��、教育��、酒店和公共機構��。例如��,醫(yī)療建筑必須配備 HVAC 系統(tǒng)��、緊急呼叫設備和醫(yī)療氣體等救生設備��,而辦公樓必須提供門禁設備��、消防設備和電梯等��。
如果建筑物遭受惡意軟件攻擊��,它可能會擾亂企業(yè)的運營并對其中人員的安全構成直接威脅��。為了與智能建筑的概念保持一致��,本文介紹了物聯(lián)網(wǎng) (IoT) 作為樓宇自動化系統(tǒng) (BAS) 的廣泛應用,作為一種可行的解決方案:
樓宇自動化系統(tǒng) (BAS):樓宇自動化系統(tǒng) (BAS) 是一個集成了照明��、HVAC��、消防和安全系統(tǒng)的單一平臺��,能夠及時提供來自樓宇的關鍵操作信息��,并增強人員安全性和便利性��。如圖 1 所示��,BAS 的控制中心區(qū)域能夠接收來自儀表��、HVAC 系統(tǒng)和物理訪問控制的端點數(shù)據(jù)��,使操作員能夠根據(jù)行業(yè)要求調(diào)整建筑物的運行模式��。
圖 1. 建筑物網(wǎng)絡架構概述
網(wǎng)格交互高效建筑系統(tǒng)(GEB):Grid-interactive Efficient Buildings System (GEB)用于整合和持續(xù)優(yōu)化能源消耗��,如圖左側(cè)黑色虛線所示��。GEB 的一個關鍵特性是其資產(chǎn)能夠靈活地通信以及接收和傳輸信號��,使建筑物能夠自動實施最有利的能源使用決策 ��。為實現(xiàn)這一目標��,該系統(tǒng)結(jié)合了 BAS 分析��、公用事業(yè)價格信息��、天氣預報��、可用的現(xiàn)場發(fā)電��、儲能和其他相關數(shù)據(jù)��。建筑物OT協(xié)議:為了讓控制器自動操作建筑物的現(xiàn)場設備并向控制中心提供信息��,必須使用OT(運營技術)協(xié)議進行資產(chǎn)之間的數(shù)據(jù)傳輸��。智能建筑中使用的常見 OT 協(xié)議示例如圖中的橙色和棕色線所示��,包括 BACnet��、Modbus��、LonTalk 和 IEC61850 等��。例如��,控制中心可以將操作指令傳送到位于不同樓層的控制器或網(wǎng)關,這些控制器或網(wǎng)關使用各個設備制造商提供的多協(xié)議接口將指令轉(zhuǎn)換為Modbus RTU��、LonTalk或IEC61850等協(xié)議來操作現(xiàn)場設備��。IoT 托管網(wǎng)絡服務:圖 1 中藍色部分描繪了智能建筑的趨勢��,即使用 IoT 技術連接各種建筑系統(tǒng)并實時收集和分析相關建筑信息��。借助物聯(lián)網(wǎng)托管服務��,設施可以建立基站和天線以從數(shù)千個物聯(lián)網(wǎng)設備收集數(shù)據(jù)��。同樣��,當樓宇系統(tǒng)連接到互聯(lián)網(wǎng)后��,住戶可以通過自己的終端設備��,如移動應用程序或網(wǎng)頁訪問系統(tǒng)��。除了訪問樓宇相關信息��,酒店樓宇場景的住戶甚至可以將應用作為鑰匙進出門禁系統(tǒng)��。
智能建筑行業(yè)面臨的威脅
現(xiàn)在我們已經(jīng)建立了連接到互聯(lián)網(wǎng)的系統(tǒng)��,網(wǎng)絡攻擊已經(jīng)成為一個主要威脅��。例如��,2021年10月��,德國某樓宇自控工程公司遭到敵手攻擊��,通過暴露在網(wǎng)絡中的UDP端口滲透BAS��,導致很多現(xiàn)場設備(如電燈開關��、運動探測器等)失控��、快門控制器等��。此外��,過去曾利用 HVAC 和恒溫器��,使攻擊者能夠不斷滲透金融系統(tǒng)和賭場數(shù)據(jù)庫��,可能威脅數(shù)千萬客戶��。因此,我們分析了智能樓宇的系統(tǒng)和網(wǎng)絡架構��,發(fā)現(xiàn)了以下潛在威脅:
1.IoT 設備容易受到未修補的漏洞和配置錯誤的影響��,這些漏洞和配置錯誤可能允許攻擊者持續(xù)訪問和破壞 BAS��,從而導致依賴它們的行業(yè)的運營中斷��。
在許多情況下��,智能建筑中使用的大量物聯(lián)網(wǎng) (IoT) 設備可能對試圖確保所有設備數(shù)據(jù)安全的管理人員構成挑戰(zhàn)��。即使設備制造商提供了信息安全指南��,管理人員也可能難以實施這些建議��。根據(jù) Software Testing Help 的統(tǒng)計數(shù)據(jù)��,2022 年一些最受歡迎的物聯(lián)網(wǎng)設備包括 August Smart Lock��、Belkin WeMo Smart Light Switch��、Nest Smoke Alarm 和 Nest T3021US Learning Thermostat��。過去��,August 智能鎖存在安全漏洞��,允許攻擊者訪問用戶的 Wi-Fi 網(wǎng)絡��。此物聯(lián)網(wǎng)設備的主要問題是加密密鑰使用一種名為 ROT-13 的易于破解的密碼硬編碼到應用程序中��。因此��,黑客可以通過設備容易破解的加密方式截獲用戶的 Wi-Fi 密碼 ��。
在另一個案例中��,TrapX Security 證明 Nest Thermostat 中的漏洞可被利用通過 USB 將自定義軟件加載到 Nest ARM7 處理器上��。如果成功��,這將允許 TrapX 獲取 Nest 所連接的 Wi-Fi 網(wǎng)絡的密碼��,攻擊者可能會訪問有關用戶是否在家的信息��,并從連接到同一 Wi-Fi 網(wǎng)絡的其他設備接收數(shù)據(jù)��。
為了最大限度地減少智能建筑環(huán)境中物聯(lián)網(wǎng)設備受到攻擊的影響��,仔細監(jiān)視和控制通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)包非常重要��。例如,阻止恒溫器向樓宇自動化系統(tǒng)發(fā)送控制命令可能是明智的��。
2.帶有 HMI 的 HVAC 系統(tǒng)中的權限提升漏洞允許攻擊者遠程控制系統(tǒng)��,可能對人類生命構成威脅��。
供暖��、通風��、空調(diào)和制冷 (HVAC) 系統(tǒng)通常用于醫(yī)院建筑��、酒店建筑��、零售建筑和辦公建筑��,以控制室內(nèi)溫度��。TXOne Networks 研究團隊檢查了各種品牌的 HVAC 系統(tǒng)��,發(fā)現(xiàn)其中許多具有可以通過網(wǎng)絡訪問的人機界面 (HMI)��,并且容易受到憑證泄露和特權升級等攻擊��。
例如��,在 2021 年 7 月��,發(fā)現(xiàn)三菱電機空調(diào)系統(tǒng)的 Web 服務未正確實施身份驗證算法��,允許攻擊者提升權限并冒充管理員來篡改系統(tǒng)配置 ��。此外��,在智能建筑環(huán)境中��,HVAC 系統(tǒng)通常連接到其他建筑系統(tǒng)和聯(lián)網(wǎng)設備��,為攻擊者遠程破壞 HVAC 系統(tǒng)提供了更多機會��。根據(jù)建筑物的類型��,這可能會對建筑物內(nèi)的人員和其他人的安全構成威脅��。
3.很多樓宇使用的OT協(xié)議缺乏安全特性��,為攻擊者提供了嗅探數(shù)據(jù)包甚至篡改關鍵操作指令的機會��。
建筑物中使用的常見 OT 通信協(xié)議包括 BACnet��、Modbus 和 KNX��,并且與許多舊的 OT 環(huán)境一樣,它們具有許多可通過 DoS 或欺騙攻擊加以利用的漏洞��。例如��,雖然建筑行業(yè)正在逐步采用 BACnet 安全連接 (BACnet/SC) 來提高建筑物的網(wǎng)絡安全性��,但由于 OT 環(huán)境的使用壽命很長��,許多遺留建筑系統(tǒng)仍然使用過時的通信協(xié)議��,為攻擊者提供了機會攔截和篡改關鍵操作指令��。
此外��,在部署了大量物聯(lián)網(wǎng)設備的建筑環(huán)境中��,削減成本的措施可能會導致使用低功耗廣域網(wǎng) (LPWAN)��,盡管使用了簡單的加密技術��,但仍容易受到一系列攻擊��。
4.人為錯誤可能難以控制��,這為攻擊者提供了通過網(wǎng)絡釣魚��、水坑攻擊或勒索軟件攻擊破壞建筑系統(tǒng)的機會��。
智能樓宇雖然具備高度自動化控制能力��,但系統(tǒng)仍需投入人力管理人員進行輔助工作��。但由于智能樓宇涉及的行業(yè)范圍廣��,人員很難遵守全面的信息安全規(guī)定��,因此系統(tǒng)容易因人員失誤而導致整棟樓宇面臨威脅��。Intelligent Buildings 指出��,他們約 90% 的建筑系統(tǒng)服務器已連接到電子郵件��、社交媒體和其他網(wǎng)站供個人使用��,這讓攻擊者有機會利用網(wǎng)絡釣魚��、水坑攻擊或勒索軟件攻擊等入侵建筑系統(tǒng)的方法��,導致智能建筑的安全性崩潰��。
此外��,智能建筑環(huán)境在管理常駐端點設備方面也面臨挑戰(zhàn)。如果這些設備在不安全的網(wǎng)絡上使用��,它們可能會被感染并暴露居民生活或工作的整個智能建筑��。
5.BAS系統(tǒng)采用跨平臺云解決方案��,為攻擊者利用物聯(lián)網(wǎng)通信協(xié)議漏洞攻擊樓宇系統(tǒng)創(chuàng)造了機會��。
隨著物聯(lián)網(wǎng)在智能建筑中的不斷發(fā)展��,BAS 系統(tǒng)越來越多地采用跨平臺云解決方案��。例如��,一些BAS系統(tǒng)使用MQTT將從控制系統(tǒng)收集的信息和建筑物內(nèi)部信息傳輸?shù)皆贫诉M行分析��,并自動提供最佳系統(tǒng)控制��。MQTT 是一種基于發(fā)布消息和訂閱主題原理的通信協(xié)議��,因此訂閱者不知道誰在發(fā)布消息��。這意味著如果攻擊者可以訪問網(wǎng)絡并向現(xiàn)有主題發(fā)布消息��,他們可以很容易地篡改或覆蓋原始信息,導致構建系統(tǒng)表現(xiàn)出不安全的行為��。
如何減輕對智能建筑行業(yè)的潛在威脅
從以上對潛在威脅的分析可以看出��,智能建筑嚴重依賴大量的物聯(lián)網(wǎng)設備��,并且缺乏對人員使用的端點設備的適當管理��。因此��,TXOne Networks 建議所有行業(yè)對其樓宇自動化系統(tǒng)實施完整的可見性和安全控制��,以防止攻擊者對樓宇執(zhí)行災難性的網(wǎng)絡攻擊并擾亂行業(yè)運營:
1.確保 IT 網(wǎng)絡不會成為攻擊者訪問 BAS 網(wǎng)絡的途徑��,反之亦然��。
為確保樓宇自動化網(wǎng)絡的安全性和可靠性��,應在單獨的OT網(wǎng)絡基礎設施上運行��,并與IT網(wǎng)絡隔離��。例如��,用于維護樓宇自動化系統(tǒng)的路由器不應該有面向 Internet 或其他外部網(wǎng)絡的開放和不受保護的端口��,例如 HTTP��。如果需要外網(wǎng)訪問��,需要配置防火墻進行保護��,并設置VPN進行遠程訪問��。
然而��,為了進一步加強網(wǎng)絡分割和提供縱深防御��,建議采用IEC62443標準中概述的“區(qū)域”和“管道”概念��?�!鞍踩珔^(qū)域”是指具有共享安全需求和定義邊界的一組物理或邏輯資產(chǎn)��。這些區(qū)域之間的連接稱為“管道”��,應配備安全措施��,以控制訪問��,防止拒絕服務攻擊��,屏蔽網(wǎng)絡中的脆弱系統(tǒng),并保持通信的完整性和機密性��。
2��、建議通過可信網(wǎng)絡列表限制通信通道��,建立安全通信和安全配置��。
為防止未經(jīng)授權或不安全的通信��,我們建議禁用不安全的網(wǎng)絡協(xié)議��,停用不必要的網(wǎng)絡服務��,并拒絕轉(zhuǎn)發(fā)來自未知來源的數(shù)據(jù)包��。組織可以使用信任列表實施網(wǎng)絡策略��,以有效管理其運營技術 (OT) 網(wǎng)絡中的可信通信和設備訪問��。每個區(qū)域都應該使用過濾表來阻止不應連接到該區(qū)域的IP地址��,并防止未經(jīng)授權的BACnet/KNX和其他設備訪問BAS系統(tǒng)��。OT 零信任網(wǎng)絡策略可以檢測關鍵資產(chǎn)中的異常通信模式��、未經(jīng)授權的命令和超出范圍的值��。這些異?�?赡馨ㄊ〉脑L問嘗試��、更改訪問權限和惡意端口掃描等��。
3.通過增強對 BAS 網(wǎng)絡的可見性��,組織可以完全識別攻擊媒介和影子 OT 設備��。
安全漏洞通常是由管理人員未發(fā)現(xiàn)的操作安全問題造成的��,例如設備漏洞��、錯誤配置��、策略違反��、安全控制薄弱和未經(jīng)授權的更改��。組織可以實現(xiàn)一個集中式管理平臺��,該平臺可以提供BAS網(wǎng)絡活動的全面視圖��,使管理人員能夠檢查安裝在BAS環(huán)境中的所有BAS資產(chǎn)及其連接的詳細信息,包括BACnet網(wǎng)關后面的設備��。通過增強網(wǎng)絡安全可見性��,管理員可以持續(xù)監(jiān)控關鍵設備的網(wǎng)絡安全狀態(tài)��,理想情況下可以自動生成安全警報��、資產(chǎn)設備信任列表和可疑事件活動��。便于管理設備變更��、網(wǎng)絡配置變更��、攻擊向量識別和盲點識別��。
