现实情况是,物联网对商业建筑来说是福也是祸。物联网连接为许多伟大的技术提供了动力,如楼宇自动化系统,这些技术可以实现更高效、更人性化的建筑。但是,大多数商业建筑中的数千个物联网端点也在网络安全链中造成了薄弱环节。通过这些薄弱环节进行黑客攻击的例子有很多,大多数专家都认为,在改进之前,情况可能会变得更糟。
企业在迁移到云端时花费了大量资金来保护他们的网络。彭博情报社的一份报告估计,到2024年,网络安全支出每年将超过2000亿美元。然而,即使在网络安全上花费了这么多钱,许多企业用户也会让他们的网络容易受到数十万个不受保护的物联网端点的攻击。
对于大多数物联网设备而言,安全性根本不是首要考虑的问题。Stringify 首席技术官 Dave Evans 表示,最大的挑战是大多数设备没有太多内置安全性,这令人不安,因为每秒有 127 个新的物联网设备连接到网络。专家预测,到 2025 年,全球将有 750 亿台联网物联网设备。与笔记本电脑和其他类型的消费电子硬件不同,许多此类设备背后都没有大型公司(如微软和苹果)提供定期安全更新。较小的公司使用较少的资源制造建筑传感器,并且通常使用较弱的安全协议,这对物业经理构成了越来越大的威胁。
更糟糕的是,一些建筑经理没有完全了解所有这些物联网端点。根据 IoT For All 的报告,一般高管认为物联网设备占其网络的 1%,而事实上,这些设备占所有端点的 43% 左右。而我们才刚刚开始物联网硬件的爆炸式增长。笔记本电脑的复合年增长率约为 0.3%,而物联网的增长率接近 36%。建筑物对其网络的不了解可能会对其造成巨大损害,而物联网连接存在许多未知因素。人们很容易忽视公司办公室中种类繁多的物联网设备,因此黑客看到了绝佳的机会。
已知的未知数
“通常灾难发生后才会发生,”卡内基梅隆大学计算机科学系教授 Jason Hong 表示。“我们将看到更多的物联网攻击,甚至可能出现一些真正的噩梦场景,”Hong 告诉我。尽管越来越多的网络摄像头和小型设备经常被入侵,但全球许多大型科技制造商仍然将市场性和易用性置于安全性之上。
物联网安全领域最近最重要的进步是特朗普政府于 2020 年通过了两党共同制定的《物联网网络安全改进法案》。该法律没有具体规定要求,但指示美国国家标准与技术研究所 (NIST) 这样做。从技术上讲,该法律仅涵盖使用美国政府资金购买的物联网设备,但私营企业可能必须遵守该标准。该法律要求标准和政策至少每五年更新一次,但专家强调,这可能只会影响新的物联网购买。这将使现有设备暴露在外。无论如何,许多人认为这是一个好的开始。汽车零部件制造商 Nexteer Automotive 的 CISO Arun DeSouza 告诉 IoT World Today:“如今的物联网就像是狂野西部,没人关心。没人考虑清楚。因此,无论 NIST 提出什么建议,都将是一个巨大的进步。”
对于希望加强物联网安全性的公司来说,识别网络端点至关重要,但这并不像听起来那么容易。如果允许员工访问网络,商业建筑的联网设备数量可能会比居住其中的人还多。IT 团队通常知道设备的存在,但对它是什么知之甚少。即使他们在网络上看到了设备,他们也可能不知道它在建筑中的位置。总的来说,计算机科学教授Hong告诉我,很难管理和跟踪所有事情。
大多数这些被遗忘的设备的安全性都非常薄弱。许多设备都安装了默认密码,而且与大多数软件不同,它们不会定期自动更新和修补。一些建筑和公司占用者有专门检查物联网网络安全的 IT 人员,但并不是所有建筑和公司占用者都有。
管理、监控和安全
各种报告表明,物联网设备的固件存在漏洞。许多设备的更新都落后了五到七年,因此很容易成为攻击目标。专家估计,多达一半的物联网设备都有默认凭证,因此不需要天才黑客就能猜出凭证并渗透网络。定期修补、固件更新和更改这些设备的凭证对于企业网络安全至关重要,但有多少公司这样做尚有争议。
在过去的一年里,对 100 多万台客户物联网设备的评估显示,26% 的设备已“报废”,这意味着它们不再受支持。评估显示,18% 的设备存在严重漏洞,黑客无需使用凭证即可完全控制设备。
大多数建筑物中的此类设备都应该从网络中删除,或者至少将其分割到自己的网络中。分割曾经是物联网设备安全的最佳方法,但专家表示,它不再是可用的最佳措施。通过分段,设备被隔离在单独的网络上,使不安全的设备远离任何更重要的设备。细分可以有所帮助,但这不是永久的解决方案。如果黑客使用不同类型的进入技术,不安全的设备即使被分段,仍然会构成威胁。
这就是为什么当今最好的网络安全实践是保护设备免受漏洞的影响。接种确保物联网设备的补丁和硬件处于最新状态,定期检查凭证并保留准确的库存。自动化使许多物业管理IT团队能够控制和保护其网络上的物联网。尽管如此,即使实现了自动化,也需要制定一个计划来管理、监控和保护物联网生态系统免受威胁。
可疑案例研究
采取这些措施确保物联网安全是明智的,因为入侵可能会产生重大的负面影响。入侵有时会通过暖通空调控制发生,但最臭名昭著的案例是一家赌场通过鱼缸遭到黑客攻击。安装在赌场大厅的高科技鱼缸具有物联网连接,可远程监测温度和盐度等。赌场将鱼缸配置为使用单独的 VPN 来隔离连接,但该设备偶尔会与建筑物内的其他连接设备通信。
赌场的威胁系统注意到鱼缸设备正在输出大量数据,但为时已晚。当物业管理部门发现黑客攻击时,鱼缸设备已将大约 10 GB 的数据发送到芬兰,这是一个数据外泄的例子。鱼缸黑客攻击在网络安全界是传奇,我为本文采访的所有消息来源都提到了这一点。这是一个明显的例子,说明物联网设备是多么脆弱。
无论从哪个角度看,网络安全都是企业占用者和物业经理日益关注的问题,最近也理所当然地引起了更多关注。几年来,网络安全话题在媒体上越来越流行,甚至小企业也在加强安全。但对于物联网,我们仍然在努力追赶。早期的物联网设备并没有把安全放在首位,因为一些小公司急于将产品推向市场。
物联网行业正在一点一点地将重点转向更好的安全性,而且这一举措迫在眉睫。美国政府新的物联网网络安全法应该会有所帮助。如果赌场鱼缸系统可能被黑客入侵,那么商业建筑中的几乎所有东西都容易受到攻击。物联网设备为物业经理创造了奇迹,使他们能够使用智能建筑技术,大大改善他们的资产。但如果这些设备不安全,仍然容易受到黑客攻击,那么这项技术可能会以惊人的方式适得其反。物联网是迄今为止商业建筑安全中最薄弱的环节,需要比以往任何时候都更多的关注。
作者:NICK PIPITONE
CIBIS峰会
由千家网主办的2024年第25届CIBIS建筑智能化峰会即将开启, 本届峰会主题为:“汇智提质:开启未来新篇章”。届时,我们将携手全球知名智能化品牌及业内专家,共同探讨物联网、AI、云计算、大数据、智慧建筑、智能家居、智慧安防等热点话题与最新技术应用,分享如何利用更智慧、更高效、更安全、更低碳的智慧技术,共同开启未来美好智慧生活。
欢迎建筑智能化行业小伙伴报名参会,共同分享交流!
报名方式
成都站(11月05日):https://hdxu.cn/7FoIq
西安站(11月07日):https://hdxu.cn/ToURP
北京站(11月19日):https://hdxu.cn/aeV0J
上海站(11月21日):https://hdxu.cn/xCWWb
广州站(12月05日):https://hdxu.cn/QaqDj
更多2024年峰会信息,详见峰会官网:http://summit.qianjia.com
参与评论 (0)