對(duì)建筑管理系統(tǒng)的威脅

深入研究受已知被利用漏洞 (KEV)感染的組織，51%的組織受到KEV的影響，這些KEV也與勒索軟件相關(guān)，并且以不安全的方式連接到互聯(lián)網(wǎng)。在這些組織中，2%的設(shè)備具有同等級(jí)別的風(fēng)險(xiǎn)，這意味著對(duì)業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要的設(shè)備處于最高風(fēng)險(xiǎn)暴露級(jí)別。

由于商業(yè)房地產(chǎn)、零售、酒店和數(shù)據(jù)中心設(shè)施廣泛依賴BMS來(lái)運(yùn)行HVAC、照明、能源、電梯、安全等系統(tǒng)，因此這些風(fēng)險(xiǎn)因素的組合引起了警報(bào)。

與大多數(shù)OT（運(yùn)營(yíng)技術(shù)）一樣，許多BMS在構(gòu)建時(shí)并未考慮互聯(lián)網(wǎng)連接，更不用說(shuō)對(duì)網(wǎng)絡(luò)安全的支持了。它們使用本身不支持加密的傳統(tǒng)系統(tǒng)進(jìn)行通信。

攻擊者還可能發(fā)現(xiàn)BMS設(shè)備仍在使用默認(rèn)或硬編碼憑證，這使得未經(jīng)授權(quán)的訪問(wèn)更加容易。攻擊者可以使用Shodan等工具找到聯(lián)網(wǎng)系統(tǒng)，并發(fā)起暴力攻擊，從而入侵系統(tǒng)并在網(wǎng)絡(luò)中橫向移動(dòng)。

許多BMS設(shè)備已經(jīng)投入使用多年，供應(yīng)商可能不再提供支持。因此，由于制造商已停止為舊設(shè)備提供更新，一些軟件或固件漏洞仍未得到修補(bǔ)。

第三方訪問(wèn)會(huì)帶來(lái)額外的風(fēng)險(xiǎn)。供應(yīng)商通常使用自己的遠(yuǎn)程訪問(wèn)工具，其中許多工具缺乏像MFA這樣的關(guān)鍵安全功能。最近的一份報(bào)告發(fā)現(xiàn)，超過(guò)一半的組織使用四種或更多的遠(yuǎn)程訪問(wèn)工具，有些組織甚至使用多達(dá)16種。

重新思考建筑管理系統(tǒng)風(fēng)險(xiǎn)管理

這些設(shè)備的暴露為攻擊者提供了易于訪問(wèn)的入口點(diǎn)，可能導(dǎo)致代價(jià)高昂且危險(xiǎn)的中斷。報(bào)告的結(jié)果表明，需要更加優(yōu)先保護(hù)這些系統(tǒng)，尤其是在它們因遠(yuǎn)程管理和分析等運(yùn)營(yíng)和業(yè)務(wù)原因而上線的情況下。

通過(guò)采用針對(duì)網(wǎng)絡(luò)物理系統(tǒng)(CPS)環(huán)境的獨(dú)特需求而定制的風(fēng)險(xiǎn)管理方法，組織可以識(shí)別、評(píng)估和確定其風(fēng)險(xiǎn)最高的設(shè)備的優(yōu)先級(jí)，從而節(jié)省寶貴的時(shí)間和資源。

Claroty首席戰(zhàn)略官GrantGeyer表示：“很多時(shí)候，BMS和樓宇自動(dòng)化系統(tǒng)(BAS)在網(wǎng)絡(luò)上的運(yùn)行并沒(méi)有考慮到網(wǎng)絡(luò)安全影響。如果沒(méi)有得到有效的保護(hù)，效率和便利性所帶來(lái)的好處可能會(huì)帶來(lái)真正的風(fēng)險(xiǎn)——例如，數(shù)據(jù)中心的冷卻系統(tǒng)或零售店易腐商品的冷藏系統(tǒng)，這些關(guān)鍵系統(tǒng)一旦受到攻擊，可能會(huì)突然下線。”

接受數(shù)字化轉(zhuǎn)型并在BMS上線時(shí)采取措施保護(hù)其安全的組織有機(jī)會(huì)整合業(yè)務(wù)影響的衡量并保障這些設(shè)備的運(yùn)營(yíng)關(guān)鍵性。

通過(guò)了解這些系統(tǒng)的完整環(huán)境，他們可以降低風(fēng)險(xiǎn)，并避免故障可能造成的嚴(yán)重破壞。隨著建筑變得越來(lái)越“智能”，組織需要采用一個(gè)安全框架，為網(wǎng)絡(luò)安全決策者和資產(chǎn)所有者提供對(duì)其安全態(tài)勢(shì)的真實(shí)評(píng)估，以及一個(gè)專為風(fēng)險(xiǎn)管理團(tuán)隊(duì)量身定制、高管易于理解的補(bǔ)救計(jì)劃。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。