針對(duì)大廈的工控系統(tǒng)攻擊已成現(xiàn)實(shí)
責(zé)編:gltian |2019-07-02 15:36:411996 年經(jīng)典動(dòng)作冒險(xiǎn)電影《碟中諜》中,阿湯哥飾演的伊森·亨特 (Ethan Hunt) 黑入目標(biāo)建筑暖通空調(diào) (HVAC) 系統(tǒng),破壞其安全控制措施以順利執(zhí)行任務(wù)。如今,電影中充滿未來(lái)感的橋段已成現(xiàn)實(shí)。
在最近的一份咨詢(xún)報(bào)告中,美國(guó)國(guó)土安全部 (DHS) 對(duì)某流行智能樓宇自動(dòng)化系統(tǒng)中的漏洞給出了最高嚴(yán)重度評(píng)分。該系統(tǒng)接入網(wǎng)絡(luò)并通過(guò) Web 界面控制空調(diào)、暖氣、門(mén)鎖等。攻擊者可利用該漏洞通過(guò)非法后門(mén)腳本獲得完整系統(tǒng)訪問(wèn)權(quán)限,并在易受攻擊設(shè)備上以最高權(quán)限執(zhí)行命令。
由于每個(gè)樓宇管理系統(tǒng) (BMS) 都在線,可通過(guò)互聯(lián)網(wǎng)訪問(wèn)并破解這些系統(tǒng)以破壞智能樓宇運(yùn)營(yíng)。不可能已變?yōu)榭赡堋?/p>
對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊正變得越來(lái)越普遍。事實(shí)上,《紐約時(shí)報(bào)》最近報(bào)道稱(chēng),美國(guó)正加大對(duì)俄羅斯電網(wǎng)的網(wǎng)絡(luò)攻擊力度。這個(gè)新戰(zhàn)場(chǎng)的主角包括民族國(guó)家、恐怖分子和網(wǎng)絡(luò)罪犯。幸運(yùn)的是,有助于緩解無(wú)意疏忽、惡意內(nèi)部人和員工人為失誤的很多控制措施,也可以解決來(lái)自黑客和破壞者的外部威脅。
最近的 DHS 咨詢(xún)報(bào)告表明,智能樓宇中的 BMS 無(wú)法抵御這些威脅。由于與硬連線解決方案、云解決方案和第三方應(yīng)用程序集成并互連,這些系統(tǒng)的攻擊界面很大,且有越來(lái)越大的趨勢(shì)。
與此同時(shí),隨著越來(lái)越多的樓宇變得 “智能”,越來(lái)越多的基礎(chǔ)設(shè)施參與融合,以及工業(yè)物聯(lián)網(wǎng) (IIoT) 成為 BMS 事實(shí)上的標(biāo)準(zhǔn),風(fēng)險(xiǎn)預(yù)計(jì)將呈幾何級(jí)上升。事實(shí)上,市場(chǎng)研究公司 Frost&Sullivan 指稱(chēng),BMS 市場(chǎng) 2019 年創(chuàng)造了 58 億美元,預(yù)計(jì)到 2022 年其復(fù)合年增長(zhǎng)率 (CAGR) 可達(dá) 4.7%。
盡管 BMS 在簡(jiǎn)化流程和降低成本方面可以帶來(lái)巨大的好處,但若不將安全內(nèi)化為其部署和管理的一部分,則也有可能帶來(lái)危害。例如關(guān)閉 HVAC 系統(tǒng)就很有可能導(dǎo)致數(shù)據(jù)中心迅速升溫,燒毀硬件,對(duì)業(yè)務(wù)造成廣泛而永久的損害。
這些系統(tǒng)有多脆弱?DHS 的咨詢(xún)報(bào)告提醒稱(chēng),攻擊者可以通過(guò) “非法后門(mén)腳本” 獲得對(duì) BMS 的 “完整系統(tǒng)訪問(wèn)權(quán)限”,可致攻擊者能以最高權(quán)限在脆弱設(shè)備上執(zhí)行命令。該通報(bào)還指出,此漏洞無(wú)需太高技術(shù)水平即可遠(yuǎn)程利用,漏洞嚴(yán)重性評(píng)分為 10.0——行業(yè)標(biāo)準(zhǔn)通用漏洞評(píng)分系統(tǒng)最高評(píng)分。通報(bào)寫(xiě)道,利用這個(gè)漏洞可以 “一鍵鎖定整棟樓宇”。
電影橋段成為現(xiàn)實(shí),凸顯了擁有健壯 BMS 安全系統(tǒng)的重要性,能在網(wǎng)絡(luò)級(jí)和設(shè)備級(jí)監(jiān)測(cè)威脅已成 BMS 系統(tǒng)必備功能。IT 運(yùn)營(yíng)的安全態(tài)勢(shì)一貫如此,但相同的方法尚未應(yīng)用到樓宇運(yùn)營(yíng)等關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)上。
正如我們從挪威鋁業(yè)巨頭 Norsk Hydro 和世界最大特種化學(xué)品及材料公司 Hexion & Momentive 最近遭遇的勒索軟件攻擊中看到的那樣,IT 與 OT 的融合需要這兩個(gè)領(lǐng)域間更緊密的合作,令兩個(gè)基礎(chǔ)架構(gòu)上的可見(jiàn)性、安全性與控制措施均達(dá)到必要水平。由于 IT 工具與 OT 不直接互通,只有通過(guò)更高水平的安全集成、協(xié)作與情報(bào)共享才能識(shí)別源于任一環(huán)境并在兩者間橫向移動(dòng)的威脅。
只要工業(yè)網(wǎng)絡(luò)安全融入 BMS 基礎(chǔ)設(shè)施并與 IT 安全工具集成,解決和修復(fù)漏洞將更快、更容易、成本更低。同時(shí),安全事件導(dǎo)致樓宇運(yùn)營(yíng)系統(tǒng)崩潰的可能性將變得 “不那么可能”。
DHS 咨詢(xún)報(bào)告原文:
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧