背景
建筑物在高效使用能源的同时,为居住者的舒适和安全提供了一个方便和互联的环境。像这样的建筑物包含来自各种行业的关键资产,例如办公室、零售、教育、酒店和公共机构。例如,医疗建筑必须配备 HVAC 系统、紧急呼叫设备和医疗气体等救生设备,而办公楼必须提供门禁设备、消防设备和电梯等。
如果建筑物遭受恶意软件攻击,它可能会扰乱企业的运营并对其中人员的安全构成直接威胁。为了与智能建筑的概念保持一致,本文介绍了物联网 (IoT) 作为楼宇自动化系统 (BAS) 的广泛应用,作为一种可行的解决方案:
- 楼宇自动化系统 (BAS):楼宇自动化系统 (BAS) 是一个集成了照明、HVAC、消防和安全系统的单一平台,能够及时提供来自楼宇的关键操作信息,并增强人员安全性和便利性。如图 1 所示,BAS 的控制中心区域能够接收来自仪表、HVAC 系统和物理访问控制的端点数据,使操作员能够根据行业要求调整建筑物的运行模式。
图 1. 建筑物网络架构概述
- 网格交互高效建筑系统(GEB): Grid-interactive Efficient Buildings System (GEB) 用于整合和持续优化能源消耗,如图左侧黑色虚线所示。GEB 的一个关键特性是其资产能够灵活地通信以及接收和传输信号,使建筑物能够自动实施最有利的能源使用决策 。为实现这一目标,该系统结合了 BAS 分析、公用事业价格信息、天气预报、可用的现场发电、储能和其他相关数据。
- 建筑物OT协议:为了让控制器自动操作建筑物的现场设备并向控制中心提供信息,必须使用OT(运营技术)协议进行资产之间的数据传输。智能建筑中使用的常见 OT 协议示例如图中的橙色和棕色线所示,包括 BACnet、Modbus、LonTalk 和 IEC61850 等。例如,控制中心可以将操作指令传送到位于不同楼层的控制器或网关,这些控制器或网关使用各个设备制造商提供的多协议接口将指令转换为Modbus RTU、LonTalk或IEC61850等协议来操作现场设备。
- IoT 托管网络服务:图 1 中蓝色部分描绘了智能建筑的趋势,即使用 IoT 技术连接各种建筑系统并实时收集和分析相关建筑信息。借助物联网托管服务,设施可以建立基站和天线以从数千个物联网设备收集数据。同样,当楼宇系统连接到互联网后,住户可以通过自己的终端设备,如移动应用程序或网页访问系统。除了访问楼宇相关信息,酒店楼宇场景的住户甚至可以将应用作为钥匙进出门禁系统。
智能建筑行业面临的威胁
现在我们已经建立了连接到互联网的系统,网络攻击已经成为一个主要威胁。例如,2021年10月,德国某楼宇自控工程公司遭到敌手攻击,通过暴露在网络中的UDP端口渗透BAS,导致很多现场设备(如电灯开关、运动探测器等)失控、快门控制器等。此外,过去曾利用 HVAC 和恒温器,使攻击者能够不断渗透金融系统和赌场数据库,可能威胁数千万客户。因此,我们分析了智能楼宇的系统和网络架构,发现了以下潜在威胁:
1、IoT 设备容易受到未修补的漏洞和配置错误的影响,这些漏洞和配置错误可能允许攻击者持续访问和破坏 BAS,从而导致依赖它们的行业的运营中断。
在许多情况下,智能建筑中使用的大量物联网 (IoT) 设备可能对试图确保所有设备数据安全的管理人员构成挑战。即使设备制造商提供了信息安全指南,管理人员也可能难以实施这些建议。根据 Software Testing Help 的统计数据,2022 年一些最受欢迎的物联网设备包括 August Smart Lock、Belkin WeMo Smart Light Switch、Nest Smoke Alarm 和 Nest T3021US Learning Thermostat。过去,August 智能锁存在安全漏洞,允许攻击者访问用户的 Wi-Fi 网络。此物联网设备的主要问题是加密密钥使用一种名为 ROT-13 的易于破解的密码硬编码到应用程序中。因此,黑客可以通过设备容易破解的加密方式截获用户的 Wi-Fi 密码 。
在另一个案例中,TrapX Security 证明 Nest Thermostat 中的漏洞可被利用通过 USB 将自定义软件加载到 Nest ARM7 处理器上。如果成功,这将允许 TrapX 获取 Nest 所连接的 Wi-Fi 网络的密码,攻击者可能会访问有关用户是否在家的信息,并从连接到同一 Wi-Fi 网络的其他设备接收数据。
为了最大限度地减少智能建筑环境中物联网设备受到攻击的影响,仔细监视和控制通过网络传输的数据包非常重要。例如,阻止恒温器向楼宇自动化系统发送控制命令可能是明智的。
2、带有 HMI 的 HVAC 系统中的权限提升漏洞允许攻击者远程控制系统,可能对人类生命构成威胁。
供暖、通风、空调和制冷 (HVAC) 系统通常用于医院建筑、酒店建筑、零售建筑和办公建筑,以控制室内温度。TXOne Networks 研究团队检查了各种品牌的 HVAC 系统,发现其中许多具有可以通过网络访问的人机界面 (HMI),并且容易受到凭证泄露和特权升级等攻击。
例如,在 2021 年 7 月,发现三菱电机空调系统的 Web 服务未正确实施身份验证算法,允许攻击者提升权限并冒充管理员来篡改系统配置 。此外,在智能建筑环境中,HVAC 系统通常连接到其他建筑系统和联网设备,为攻击者远程破坏 HVAC 系统提供了更多机会。根据建筑物的类型,这可能会对建筑物内的人员和其他人的安全构成威胁。
3、很多楼宇使用的OT协议缺乏安全特性,为攻击者提供了嗅探数据包甚至篡改关键操作指令的机会。
建筑物中使用的常见 OT 通信协议包括 BACnet、Modbus 和 KNX,并且与许多旧的 OT 环境一样,它们具有许多可通过 DoS 或欺骗攻击加以利用的漏洞。例如,虽然建筑行业正在逐步采用 BACnet 安全连接 (BACnet/SC) 来提高建筑物的网络安全性,但由于 OT 环境的使用寿命很长,许多遗留建筑系统仍然使用过时的通信协议,为攻击者提供了机会拦截和篡改关键操作指令。
此外,在部署了大量物联网设备的建筑环境中,削减成本的措施可能会导致使用低功耗广域网 (LPWAN),尽管使用了简单的加密技术,但仍容易受到一系列攻击。
4、人为错误可能难以控制,这为攻击者提供了通过网络钓鱼、水坑攻击或勒索软件攻击破坏建筑系统的机会。
智能楼宇虽然具备高度自动化控制能力,但系统仍需投入人力管理人员进行辅助工作。但由于智能楼宇涉及的行业范围广,人员很难遵守全面的信息安全规定,因此系统容易因人员失误而导致整栋楼宇面临威胁。Intelligent Buildings 指出,他们约 90% 的建筑系统服务器已连接到电子邮件、社交媒体和其他网站供个人使用,这让攻击者有机会利用网络钓鱼、水坑攻击或勒索软件攻击等入侵建筑系统的方法,导致智能建筑的安全性崩溃。
此外,智能建筑环境在管理常驻端点设备方面也面临挑战。如果这些设备在不安全的网络上使用,它们可能会被感染并暴露居民生活或工作的整个智能建筑。
5、BAS系统采用跨平台云解决方案,为攻击者利用物联网通信协议漏洞攻击楼宇系统创造了机会。
随着物联网在智能建筑中的不断发展,BAS 系统越来越多地采用跨平台云解决方案。例如,一些BAS系统使用MQTT将从控制系统收集的信息和建筑物内部信息传输到云端进行分析,并自动提供最佳系统控制。MQTT 是一种基于发布消息和订阅主题原理的通信协议,因此订阅者不知道谁在发布消息。这意味着如果攻击者可以访问网络并向现有主题发布消息,他们可以很容易地篡改或覆盖原始信息,导致构建系统表现出不安全的行为。
如何减轻对智能建筑行业的潜在威胁
从以上对潜在威胁的分析可以看出,智能建筑严重依赖大量的物联网设备,并且缺乏对人员使用的端点设备的适当管理。因此,TXOne Networks 建议所有行业对其楼宇自动化系统实施完整的可见性和安全控制,以防止攻击者对楼宇执行灾难性的网络攻击并扰乱行业运营:
1、确保 IT 网络不会成为攻击者访问 BAS 网络的途径,反之亦然。
为确保楼宇自动化网络的安全性和可靠性,应在单独的OT网络基础设施上运行,并与IT网络隔离。例如,用于维护楼宇自动化系统的路由器不应该有面向 Internet 或其他外部网络的开放和不受保护的端口,例如 HTTP。如果需要外网访问,需要配置防火墙进行保护,并设置VPN进行远程访问。
然而,为了进一步加强网络分割和提供纵深防御,建议采用IEC62443标准中概述的“区域”和“管道”概念。“安全区域”是指具有共享安全需求和定义边界的一组物理或逻辑资产。这些区域之间的连接称为“管道”,应配备安全措施,以控制访问,防止拒绝服务攻击,屏蔽网络中的脆弱系统,并保持通信的完整性和机密性。
2 、建议通过可信网络列表限制通信通道,建立安全通信和安全配置。
为防止未经授权或不安全的通信,我们建议禁用不安全的网络协议,停用不必要的网络服务,并拒绝转发来自未知来源的数据包。组织可以使用信任列表实施网络策略,以有效管理其运营技术 (OT) 网络中的可信通信和设备访问。每个区域都应该使用过滤表来阻止不应连接到该区域的IP地址,并防止未经授权的BACnet/KNX和其他设备访问BAS系统。OT 零信任网络策略可以检测关键资产中的异常通信模式、未经授权的命令和超出范围的值。这些异常可能包括失败的访问尝试、更改访问权限和恶意端口扫描等。
3、通过增强对 BAS 网络的可见性,组织可以完全识别攻击媒介和影子 OT 设备。
安全漏洞通常是由管理人员未发现的操作安全问题造成的,例如设备漏洞、错误配置、策略违反、安全控制薄弱和未经授权的更改。组织可以实现一个集中式管理平台,该平台可以提供BAS网络活动的全面视图,使管理人员能够检查安装在BAS环境中的所有BAS资产及其连接的详细信息,包括BACnet网关后面的设备。通过增强网络安全可见性,管理员可以持续监控关键设备的网络安全状态,理想情况下可以自动生成安全警报、资产设备信任列表和可疑事件活动。便于管理设备变更、网络配置变更、攻击向量识别和盲点识别。
