在整个冠状病毒大流行期间,物联网(IoT)技术为无数行业提供了重要工具。物联网使医生和其他医护人员能够远程诊断和治疗患者,将重要的医疗设备和药品运送到偏远地区,而具有物联网功能的机器人甚至可以帮助保持医疗机构的清洁,从而降低病毒传播的风险。
如今,办公大楼正在转向物联网设备来监测空气质量,为重新开放做好准备,并确保使用者的安全。此外,物联网传感器越来越多地与各类商业建筑中的智能分析结合使用,以改进故障检测和判断能力,以实现远程监控,并最大限度地减少对现场工作人员的需求。
尽管智能技术前景广阔,但如果部署不当或管理不善,则物联网设备的网络连接性质可能会带来网络安全风险。许多批评者认为,互联网的扩散以及这些智能生态系统中的设备数量之多,使得物联网成为安全的一个负担。但是,通过精心规划,称职的管理和明智的协议,可以让智能建筑变得更加安全。
应对10大物联网网络安全挑战
尽管发生了很多变化,但也有很多方面保持不变。2000年,微软安全响应中心的Scott Pulp写了一篇关于“十大不变的安全法则”的开创性文章。在面对物联网网络安全挑战的今天,这些不变的安全法则仍然具有现实意义。对于建筑物物联网,这些挑战包括:
1. 勒索软件攻击
早在智能技术普及之前,恶意软件就一直是计算机网络的一个严重问题。黑客可以利用物联网网络中的漏洞,并利用这些漏洞来发起勒索软件攻击。在这些攻击中,黑客控制系统或对有价值的信息进行加密,然后索要赎金,通常要求使用加密货币来支付。
应对策略包括:
- 将安全软件整合到所有连网设备中,以防止勒索软件攻击
- 上传所有设备和控制系统的最新软件补丁
- 确保备份是最新的,并且已制定了定期进行更新的流程
- 立即关闭受影响的设备
- 限制对系统的访问
- 实施强大的密码管理系统,并确保设备没有使用供应商提供的默认密码
- 定期进行安全审计
2. 过时的操作系统
随着物联网系统中关键操作技术(OT)点的不断增加,保持操作系统的更新和适当保护非常重要。上述这一步骤的危险性会大大增加严重安全漏洞的脆弱性,例如,黑客在热浪来袭时破坏建筑物的暖通空调系统似乎只是一个小小的麻烦,但是这种情况也有可能危及生命。
2021年2月,一名黑客利用过时的Windows 7操作系统和糟糕的密码安全性,来增加佛罗里达州奥尔德斯马市自来水中的氢氧化钠含量。庆幸的是,细心的自来水厂管理员很快注意到了这一黑客行为,并拒绝其进一步访问。但这一事件清楚地提醒人们更新操作系统和使用更复杂密码的重要性。
3. 物联网设备盗窃
虽然网络安全着眼于数据盗窃或系统失控,但老套的盗窃行为可能会助长此类犯罪。因为智能建筑系统涉及多个连网设备,包括那些私人拥有的设备,所以被盗走的设备可以渗透到这些相同的网络中。为避免这种情况出现,请考虑执行以下操作:
- 允许远程停用设备
- 使用加密来保证通信安全
- 在物联网网络和设备以及密码管理软件上使用独特的强密码
- 禁用未使用的功能
- 审核和升级物联网设备
- 保持所有其他相关软件的更新
4. 云攻击
随着数字世界和物理世界日益交织,物联网网络安全变得更加复杂。随着远程工作变得越来越普遍,黑客会攻击员工在网络之外使用的设备来危害他们。由于许多物联网设备的功能依赖于基于云的服务,因此确保适当的访问控制和正确配置本地软件有助于防止攻击事件发生。
5. 访问控制
应当严格规范对服务器(无论是物理服务器还是基于云的服务器)的远程和直接访问,以防止未经授权的访问。考虑采取以下步骤来规范访问:
- 要求员工和承包商签署保密协议
- 使用具有双因素身份验证(2FA)的虚拟专用网络
- 限制对那些从事项目工作的人员的访问
- 通过IP地址进行日志访问。
- 配置系统访问权限
- 使用智能分析来实时执行用户权限和访问
6. 管理问题
随着建筑系统不断生成大量数据,管理物联网网络安全面临的挑战包括:
- 调整协议以监管越来越多的设备
- 物联网设备以不寻常的格式生成数据,并使用不熟悉的语言编写软件
- 设计不佳或难以集成的网络
- 用于接收物联网设备和数据的新备份策略
7. 加密技术
当从远程位置在物联网生态系统中进行交互时,请务必记住,通过不安全的网络进行连接会危及系统。切勿通过公共Wi-Fi网络或使用不可信加密做法的网络进行连接,因为这些网络会使设备受到攻击,并可能导致数据丢失。有线等效保密(WEP)和Wi-Fi保护访问(WPA)加密已过时,不应成为网络设置的一部分。
即使使用新的Wi-Fi协议WPA2和WPA3,漏洞也仍然存在。WPA2容易受到密钥重装攻击或Krack的影响,这使得攻击者能够破坏和查看加密的流量、劫持凭据并窃取敏感信息。WPA3容易受到Dragonblood攻击,攻击者将Wi-Fi网络上的即时消息作为目标,以获取密码并获取机密信息。
在物联网设备之间的通信通道内运行多层加密会使攻击更难发起。虚拟个人网络还提供了经济且简便的方法来配置设备以抵御Krack攻击。除了加密的虚拟个人网络连接外,所有情况下都应使用双因素身份验证(2FA)。
8. 僵尸网络攻击
一个由外部方在所有者不知情的情况下控制其连网计算机或其他设备(如安全摄像头或婴儿监视器)的集合被称为僵尸网络。僵尸网络攻击可以远程控制大量此类设备,其中许多设备几乎没有或根本没有安全性,并且造成的损失可能会很大。
例如,2016年10月12日,一次广泛的分布式拒绝服务(DDoS)攻击导致美国东海岸大部分地区无法访问互联网。在这种情况下,攻击是由黑客扫描仍使用其默认密码的物联网设备导致的。这个故事的警示是:更改默认密码。
9. 隐私和工业间谍
黑客可以接管联网监控摄像头,这使得隐私成为物联网网络安全的一个关键挑战。尽管通过连接物联网的摄像头进行间谍活动是一个问题,但其他设备(例如,智能玩具、可穿戴设备、甚至是记录用户信息的医疗设备)也可以被利用。在一个案例中,一个具有蓝牙功能的儿童玩偶被发现某些手机可以直接与儿童进行通话。该玩偶被视为间谍工具,并在德国被禁止使用。
当用于工业层面时,可以收集和公开公司的大量数据,从而造成前所未有的损害。任何连接到公共互联网的设备都可能带来这种风险,应仔细考虑以确保更改默认密码、软件是最新的,并应了解此类设备的网络连接性质所带来的影响。
10. 调整安全协议
世界不是一成不变的,物联网网络安全挑战将继续发展和演变。随着黑客和其他不良行为者寻求利用智能技术来对付用户,最佳实践将发生变化。最好的办法是制定可靠的策略来解决安全问题并修补漏洞。组织应定义其方法并提前计划以确保其网络安全,这包括针对当前和将来的所有物联网网络安全挑战进行培训和制定协议。
总结
任何连接到互联网的东西都有风险,尤其是在商业建筑和其他大型设施中。必须通过有效且具有成本效益的策略来确认和补救此类漏洞。
