如何预防的三个最常见的网络威胁建筑系统

布莱恩来自
从2023年2月的问题

我magine一《财富》杂志500年公司非常宽松的网络安全,甚至不费心去包括计算机网络最基本的保护,如强密码,杀毒,或者最新的软件。想象这个网络管理不善,公司不知道有多少电脑,在那里,他们,或曾获得它们。结果,成千上万的公司的电脑未受保护的定期监测,同时通过网络公开访问。

今天这种程度的不安全感几乎是不可想象的,当网络威胁织机大网络漏洞和公司支付更高的成本。然而,这描述的问题我们正在处理时,物联网(物联网)和操作技术(OT)设备组成现代智能建筑。

楼宇自动化系统(BAS)擅长自动化和管理照明、暖通空调、访问控制、和其他系统。集成的、高效的。大多数是坚实的可靠性设计。但他们普遍缺乏的是健壮的网络安全。这些系统通常低于标准的网络安全控制和大量的脆弱的物联网和设备。例如,这些设备通常有默认的密码(或根本没有密码);过时的固件;补丁;和大多数不清点、审计或定期监控。因此,无数的物联网和OT设备构成一个典型的BAS非常脆弱,经常下落不明,一个局外人非常容易访问。

设施经理必须意识到网络攻击建筑系统不是一个远程或可能的威胁。这些攻击已经定期发生。事实上,很有可能,任何读这篇文章的基金经理可能有多个恶意软件家庭已经嵌入到BAS。这些恶意软件感染可以破坏有价值的设备,增加建筑的能源使用,并将他们的业务从数据盗窃ransomware租户风险,拒绝服务,间谍活动。

BAS砍如何?

BAS本质上是一个大型物联网和OT网络,分布在多个系统(空调、照明、电器、安全性等),可以包含成百上千个人“智能”设备。

等传统计算机就像电脑,这些智能设备上运行与广泛的软件应用程序和操作系统被设计为连接到互联网这意味着他们也可以受到黑客攻击。然而,与传统的电脑相比,物联网和OT设备有糟糕的网络安全,因为他们缺乏甚至一些最基本的安全控制我们理所当然的电脑,如防病毒、强大的访问控制和本地防火墙。他们也使用默认密码而臭名昭著,补丁,和太容易访问,因为大多数有多个连接功能默认开启(例子:无线、蓝牙、以太网和主机的通信协议和服务)。

攻击者可以破解BAS在几个方面。一个常见的方法是为打开设备端口扫描互联网(如Telnet、HTTP、HTTPS、FTP和SSH,等等),使黑客可以简单地登录到这些智能设备就像一个合法的用户。由于50%的物联网和OT设备仍在使用默认密码,这种攻击是非常容易的。黑客也使用“蠕虫”恶意软件扫描能够自动化这个过程的脆弱的互联网设备,输入默认密码,然后立刻自我复制和蔓延到其他设备在同一网络。这就是Mirai僵尸网络能够感染数以百万计的物联网设备,包括建筑安全摄像头。

另一种为黑客寻找脆弱BAS设备是通过Shodan搜索引擎。Shodan允许任何人搜索特定类型的智能设备,以及特定的设备版本(补丁)和地理区域。

黑客们还将使用网络钓鱼邮件,针对建筑管理人员,企业设施团队,维护人员,和个人BAS供应商,偷的登录凭证BAS中的关键系统或设备,远程访问服务(或供应商管理门户),或建筑管理终端。

物理访问的内幕也可以传染,破坏,或重组这些设备很容易。它可能需要的是一个简单的按设备的物理重置按钮来迫使其回到工厂默认设置,将清除任何安全补丁或硬化,使设备更加脆弱。

僵尸网络

最常见的网络威胁建筑系统是“僵尸网络”恶意软件。僵尸网络本质上是“僵尸化”的网络设备,黑客获得了某种程度的控制之后,用一种特殊类型的恶意软件感染它们。

僵尸网络是专注于计算机系统,但随着物联网和OT技术数量激增,他们变得更容易和更有利可图的黑客攻击的目标。

在大多数情况下,僵尸网络劫持物联网或OT设备所以黑客可以运行有限的任务,如发动分布式拒绝服务(DDoS)攻击网站或实施“凭证填料”密码攻击的公司。

至少,僵尸网络感染BAS将减缓和腐败这些昂贵的设备,导致性能降低,不可预测性,“bugginess”和显著短寿命的设备。然而,大型建筑物内的僵尸网络系统也将像一个吸血鬼通过吸收关键资源和使用额外的能量,因此,减少建筑的运营效率和增加成本。

多管齐下的攻击是另一个风险,因为僵尸网络恶意软件本质上是一个开放的网络,黑客可以使用导入其他类型的恶意软件可能会进一步破坏建筑的系统,如ransomware或“雨刷。“另外,网络罪犯经常创建僵尸网络为目的的租出去,其他的黑客组织。因此,黑客的多个集合,每个都有不同的动机,可能获得BAS设备,从而增加更昂贵的伤害的风险。

Cryptojacking

的一种更为专门化的使用僵尸网络恶意软件cryptomining是违法的。被称为“cryptojacking”,这种攻击是类似于其他僵尸网络感染,但有一个重要的区别。

Cryptomining是一个极其耗电操作,甚至比传统的僵尸网络,这意味着cryptojacking恶意软件使用了更多的处理能力和地方资源从受感染的建筑系统,吸引了大量的电力。非法cryptomining肯定会增加建筑物的整体能源使用,因为一个比特币交易需要完成1449千瓦时,相当于大约50天的普通的美国家庭。然而,除了设施的能源成本上升,BAS cryptojacking攻击也构成物理障碍和经济过热的风险构建的关键系统,这可能会导致严重的故障。

自从基地管理重要的功能,如建立访问控制、安全监控、火灾报警/抑制,暖通空调等他们承担不起失败。但是如果他们的物联网和OT组件cryptojacking恶意软件感染,很有可能,这些设备将表现不佳的变得不可靠。他们可以完全失败,导致物理中断和安全风险。这就是建筑的安全系统没有警告可能突然被禁用。或如何灭火系统可能无法在需要的时候工作。

后门

黑客也利用构建系统为了舞台隐形攻击公司网络。

这听起来有点不可思议,但它不是。我公司最近参与多个案例中,美国公司的目标ransomware团体和网络间谍演员在攻击者第一次偷偷从一个脆弱的BAS的一部分,如安全摄像系统或门访问控制器。

通过渗透BAS在很大程度上是无监视的,黑客可以设置一个营地在这些系统将不被发现。他们可以使用这个安全优势“嗅嗅”当地的网络流量和寻找脆弱的设备与受感染的物联网共享网络连接或设备。这样,黑客可以逐渐爬上他或她的网络。

很少有公司能监控为这种类型的攻击,所以他们发生时完全措手不及。构建系统的无监视的性质也使公司更难完全消除威胁一旦被检测到。即使黑客从网络,引导他们能保持他们的立足点BAS和用它来发动更多攻击在公司的网络在未来。这允许黑客实现长期持久性和使公司更加难以保护自己的网络。

如何防止攻击建筑系统

而构建系统容易受到黑客,好消息是,他们可以得到保护而不需要复杂的流程或昂贵的安全团队。

大多数攻击建筑系统设备利用基本安全失败像默认密码和补丁。因此,通过简单地改变设备密码和更新固件,设施经理将大大降低总体风险。

额外的措施,进一步强化这些设备包括:禁用远程服务;关掉不必要的连接功能;和检查有效的“证书”,确保设备有一个身份验证和加密的连接到网络。设施经理还应该考虑定期重启BAS设备,这个简单的一步将从系统明确的许多类型的恶意软件。

然而,大型设施会更安全的挑战,由于BAS的规模,这可能包含对成千上万的智能设备,从复杂的物联网设备工业级OT系统。这些大型系统可以手动困难和劳动密集型的安全,所以设施经理应该考虑投资于自动化解决方案。

在一天结束的时候,防止BAS安全的唯一途径恶意攻击是知道所有这些设备,它们是什么,它们在什么条件。一个完整的库存的所有BAS组件是至关重要的,随着安全更新,硬化,定期监测。

来自弗是首席安全官(方案)磷。他是一个25年的资深网络安全行业的。他最近担任Mandiant公司安全战略的副总裁,收购Verodin之后,他是CISO的地方。

你有一个评论吗?在下面的评论栏中分享你的想法,或者发送电子邮件编辑jen@groupc.com。