建筑物聯網10大網絡安全挑戰及其解決方案
在整個冠狀病毒大流行期間,物聯網(IoT)技術為無數行業提供了重要工具。物聯網使醫生和其他醫護人員能夠遠程診斷和治療患者,將重要的醫療設備和藥品運送到偏遠地區,而具有物聯網功能的機器人甚至可以幫助保持醫療機構的清潔,從而降低病毒傳播的風險。
如今,辦公大樓正在轉向物聯網設備來監測空氣質量,為重新開放做好準備,并確保使用者的安全。此外,物聯網傳感器越來越多地與各類商業建筑中的智能分析結合使用,以改進故障檢測和判斷能力,以實現遠程監控,并最大限度地減少對現場工作人員的需求。
盡管智能技術前景廣闊,但如果部署不當或管理不善,則物聯網設備的網絡連接性質可能會帶來網絡安全風險。許多批評者認為,互聯網的擴散以及這些智能生態系統中的設備數量之多,使得物聯網成為安全的一個負擔。但是,通過精心規劃,稱職的管理和明智的協議,可以讓智能建筑變得更加安全。
應對10大物聯網網絡安全挑戰
盡管發生了很多變化,但也有很多方面保持不變。2000年,微軟安全響應中心的Scott Pulp寫了一篇關于“十大不變的安全法則”的開創性文章。在面對物聯網網絡安全挑戰的今天,這些不變的安全法則仍然具有現實意義。對于建筑物物聯網,這些挑戰包括:
1. 勒索軟件攻擊
早在智能技術普及之前,惡意軟件就一直是計算機網絡的一個嚴重問題。黑客可以利用物聯網網絡中的漏洞,并利用這些漏洞來發起勒索軟件攻擊。在這些攻擊中,黑客控制系統或對有價值的信息進行加密,然后索要贖金,通常要求使用加密貨幣來支付。
應對策略包括:
- 將安全軟件整合到所有連網設備中,以防止勒索軟件攻擊
- 上傳所有設備和控制系統的最新軟件補丁
- 確保備份是最新的,并且已制定了定期進行更新的流程
- 立即關閉受影響的設備
- 限制對系統的訪問
- 實施強大的密碼管理系統,并確保設備沒有使用供應商提供的默認密碼
- 定期進行安全審計
2. 過時的操作系統
隨著物聯網系統中關鍵操作技術(OT)點的不斷增加,保持操作系統的更新和適當保護非常重要。上述這一步驟的危險性會大大增加嚴重安全漏洞的脆弱性,例如,黑客在熱浪來襲時破壞建筑物的暖通空調系統似乎只是一個小小的麻煩,但是這種情況也有可能危及生命。
2021年2月,一名黑客利用過時的Windows 7操作系統和糟糕的密碼安全性,來增加佛羅里達州奧爾德斯馬市自來水中的氫氧化鈉含量。慶幸的是,細心的自來水廠管理員很快注意到了這一黑客行為,并拒絕其進一步訪問。但這一事件清楚地提醒人們更新操作系統和使用更復雜密碼的重要性。
3. 物聯網設備盜竊
雖然網絡安全著眼于數據盜竊或系統失控,但老套的盜竊行為可能會助長此類犯罪。因為智能建筑系統涉及多個連網設備,包括那些私人擁有的設備,所以被盜走的設備可以滲透到這些相同的網絡中。為避免這種情況出現,請考慮執行以下操作:
- 允許遠程停用設備
- 使用加密來保證通信安全
- 在物聯網網絡和設備以及密碼管理軟件上使用獨特的強密碼
- 禁用未使用的功能
- 審核和升級物聯網設備
- 保持所有其他相關軟件的更新
4. 云攻擊
隨著數字世界和物理世界日益交織,物聯網網絡安全變得更加復雜。隨著遠程工作變得越來越普遍,黑客會攻擊員工在網絡之外使用的設備來危害他們。由于許多物聯網設備的功能依賴于基于云的服務,因此確保適當的訪問控制和正確配置本地軟件有助于防止攻擊事件發生。
5. 訪問控制
應當嚴格規范對服務器(無論是物理服務器還是基于云的服務器)的遠程和直接訪問,以防止未經授權的訪問。考慮采取以下步驟來規范訪問:
- 要求員工和承包商簽署保密協議
- 使用具有雙因素身份驗證(2FA)的虛擬專用網絡
- 限制對那些從事項目工作的人員的訪問
- 通過IP地址進行日志訪問。
- 配置系統訪問權限
- 使用智能分析來實時執行用戶權限和訪問
6. 管理問題
隨著建筑系統不斷生成大量數據,管理物聯網網絡安全面臨的挑戰包括:
- 調整協議以監管越來越多的設備
- 物聯網設備以不尋常的格式生成數據,并使用不熟悉的語言編寫軟件
- 設計不佳或難以集成的網絡
- 用于接收物聯網設備和數據的新備份策略
7. 加密技術
當從遠程位置在物聯網生態系統中進行交互時,請務必記住,通過不安全的網絡進行連接會危及系統。切勿通過公共Wi-Fi網絡或使用不可信加密做法的網絡進行連接,因為這些網絡會使設備受到攻擊,并可能導致數據丟失。有線等效保密(WEP)和Wi-Fi保護訪問(WPA)加密已過時,不應成為網絡設置的一部分。
即使使用新的Wi-Fi協議WPA2和WPA3,漏洞也仍然存在。WPA2容易受到密鑰重裝攻擊或Krack的影響,這使得攻擊者能夠破壞和查看加密的流量、劫持憑據并竊取敏感信息。WPA3容易受到Dragonblood攻擊,攻擊者將Wi-Fi網絡上的即時消息作為目標,以獲取密碼并獲取機密信息。
在物聯網設備之間的通信通道內運行多層加密會使攻擊更難發起。虛擬個人網絡還提供了經濟且簡便的方法來配置設備以抵御Krack攻擊。除了加密的虛擬個人網絡連接外,所有情況下都應使用雙因素身份驗證(2FA)。
8. 僵尸網絡攻擊
一個由外部方在所有者不知情的情況下控制其連網計算機或其他設備(如安全攝像頭或嬰兒監視器)的集合被稱為僵尸網絡。僵尸網絡攻擊可以遠程控制大量此類設備,其中許多設備幾乎沒有或根本沒有安全性,并且造成的損失可能會很大。
例如,2016年10月12日,一次廣泛的分布式拒絕服務(DDoS)攻擊導致美國東海岸大部分地區無法訪問互聯網。在這種情況下,攻擊是由黑客掃描仍使用其默認密碼的物聯網設備導致的。這個故事的警示是:更改默認密碼。
9. 隱私和工業間諜
黑客可以接管聯網監控攝像頭,這使得隱私成為物聯網網絡安全的一個關鍵挑戰。盡管通過連接物聯網的攝像頭進行間諜活動是一個問題,但其他設備(例如,智能玩具、可穿戴設備、甚至是記錄用戶信息的醫療設備)也可以被利用。在一個案例中,一個具有藍牙功能的兒童玩偶被發現某些手機可以直接與兒童進行通話。該玩偶被視為間諜工具,并在德國被禁止使用。
當用于工業層面時,可以收集和公開公司的大量數據,從而造成前所未有的損害。任何連接到公共互聯網的設備都可能帶來這種風險,應仔細考慮以確保更改默認密碼、軟件是最新的,并應了解此類設備的網絡連接性質所帶來的影響。
10. 調整安全協議
世界不是一成不變的,物聯網網絡安全挑戰將繼續發展和演變。隨著黑客和其他不良行為者尋求利用智能技術來對付用戶,最佳實踐將發生變化。最好的辦法是制定可靠的策略來解決安全問題并修補漏洞。組織應定義其方法并提前計劃以確保其網絡安全,這包括針對當前和將來的所有物聯網網絡安全挑戰進行培訓和制定協議。
總結
任何連接到互聯網的東西都有風險,尤其是在商業建筑和其他大型設施中。必須通過有效且具有成本效益的策略來確認和補救此類漏洞。
