今日頭條
官方微信
官方抖音
資訊頻道1996 年經典動作冒險電影《碟中諜》中,阿湯哥飾演的伊森·亨特 (Ethan Hunt) 黑入目標建筑暖通空調 (HVAC) 系統,破壞其安全控制措施以順利執行任務。如今,電影中充滿未來感的橋段已成現實。
在最近的一份咨詢報告中,美國國土安全部 (DHS) 對某流行智能樓宇自動化系統中的漏洞給出了最高嚴重度評分。該系統接入網絡并通過 Web 界面控制空調、暖氣、門鎖等。攻擊者可利用該漏洞通過非法后門腳本獲得完整系統訪問權限,并在易受攻擊設備上以最高權限執行命令。
由于每個樓宇管理系統 (BMS) 都在線,可通過互聯網訪問并破解這些系統以破壞智能樓宇運營。不可能已變為可能。
對關鍵基礎設施的網絡攻擊正變得越來越普遍。事實上,《紐約時報》最近報道稱,美國正加大對俄羅斯電網的網絡攻擊力度。這個新戰場的主角包括民族國家、恐怖分子和網絡罪犯。幸運的是,有助于緩解無意疏忽、惡意內部人和員工人為失誤的很多控制措施,也可以解決來自黑客和破壞者的外部威脅。
最近的 DHS 咨詢報告表明,智能樓宇中的 BMS 無法抵御這些威脅。由于與硬連線解決方案、云解決方案和第三方應用程序集成并互連,這些系統的攻擊界面很大,且有越來越大的趨勢。
與此同時,隨著越來越多的樓宇變得 “智能”,越來越多的基礎設施參與融合,以及工業物聯網 (IIoT) 成為 BMS 事實上的標準,風險預計將呈幾何級上升。事實上,市場研究公司 Frost&Sullivan 指稱,BMS 市場 2019 年創造了 58 億美元,預計到 2022 年其復合年增長率 (CAGR) 可達 4.7%。
盡管 BMS 在簡化流程和降低成本方面可以帶來巨大的好處,但若不將安全內化為其部署和管理的一部分,則也有可能帶來危害。例如關閉 HVAC 系統就很有可能導致數據中心迅速升溫,燒毀硬件,對業務造成廣泛而永久的損害。
這些系統有多脆弱?DHS 的咨詢報告提醒稱,攻擊者可以通過 “非法后門腳本” 獲得對 BMS 的 “完整系統訪問權限”,可致攻擊者能以最高權限在脆弱設備上執行命令。該通報還指出,此漏洞無需太高技術水平即可遠程利用,漏洞嚴重性評分為 10.0——行業標準通用漏洞評分系統最高評分。通報寫道,利用這個漏洞可以 “一鍵鎖定整棟樓宇”。
電影橋段成為現實,凸顯了擁有健壯 BMS 安全系統的重要性,能在網絡級和設備級監測威脅已成 BMS 系統必備功能。IT 運營的安全態勢一貫如此,但相同的方法尚未應用到樓宇運營等關鍵基礎設施運營上。
正如我們從挪威鋁業巨頭 Norsk Hydro 和世界最大特種化學品及材料公司 Hexion & Momentive 最近遭遇的勒索軟件攻擊中看到的那樣,IT 與 OT 的融合需要這兩個領域間更緊密的合作,令兩個基礎架構上的可見性、安全性與控制措施均達到必要水平。由于 IT 工具與 OT 不直接互通,只有通過更高水平的安全集成、協作與情報共享才能識別源于任一環境并在兩者間橫向移動的威脅。
只要工業網絡安全融入 BMS 基礎設施并與 IT 安全工具集成,解決和修復漏洞將更快、更容易、成本更低。同時,安全事件導致樓宇運營系統崩潰的可能性將變得 “不那么可能”。
來源:工業互聯網安全應急響應中心
北京市公安局海淀分局備案號:11010802023656號