原创 | 智能建筑中的安全风险

作者 | 绿盟科技格物实验室 潘雨晨

被黑的空调和垂直坠落的电梯

想象一下，一幢高层建筑中的满载电梯正在运行中，突然，电梯开始坠落，除了慌忙按亮所有楼层的按钮之外，似乎没有其他明显的停止装置，急速坠落的轿厢甚至在两侧擦出火花。当然这只是电影中的场景，在现实中，即便电梯发生下坠，在超过额定速度的时候，也会触发安全钳，确保轿厢被刹停在导轨上。但是安全是百分百的吗？这也引发我们思考这样一个事实，即拥有各种自动化设施的建筑中，到底存在多少被忽视的风险。

几年前有研究员探索过通过空调装置入侵电网的可能性。一家电力公司为在空调上安装了调节器的客户提供折扣。这使得电力公司可以对空调保持控制，以防止在极端需求情况下的电压骤降和浪涌。在此过程中，相当于电力公司将工业控制系统(ICS)引入到了每一个接受安装的建筑中。但是，这些ICS设备存在未经授权访问的可能性，攻击者可能通过执行与电力公司命令相反的操作来控制设备，从而导致故障。

中央空调、火灾报警系统、电梯、电子锁到冰箱和联网咖啡机，整个智能建筑就相当于一个易受攻击的物联网大设备，但这些系统通常不在网络安全维护人员的控制范围内，他们可能甚至都不知道网络上有这些系统。所以，即便已知中央空调存在被远程利用的可能性，针对该系统的网络攻击风险也很少被重视过。

数字化转型涵盖了各种复杂的场景，包括供暖、暖通空调系统（HVAC）、电力管理、照明控制、视频监控、访问控制和电梯控制等。最重要的是，它们都连接有传感器，例如摄像头、恒温器和光传感器等。这些系统中的每一个都有望在运营和能源成本上节省大量资金，但同时也增加了网络攻击面和安全管理的复杂性。每个系统和设备，甚至每个系统或设备的每个版本和修订版，都存在特定的网络风险。

风险真实存在

针对美国零售连锁店Target的攻击案例中，网络罪犯通过HVAC系统破坏了企业内部网络。他们从HVAC系统横向转移到了零售商的财务系统，并窃取了超过4000万张信用卡记录。

今年夏天，Ripple20震惊了物联网世界。它是在TCP/IP软件库中发现的19个漏洞的统称。由于所有网络流量均由TCP/IP堆栈处理，因此TCP/IP库中的任何错误都可能造成重大危害。Ripple20的发现威胁着各种设备，包括电源插座、医疗设备以及ICS传感器。这些漏洞是由以色列安全公司JSOF的研究人员发现的，他们还确定攻击者可以利用漏洞渗透并远程执行代码或泄露关键数据。

网络攻击者可以使用的另一种攻击媒介是不安全的工控协议，可以被用来破坏和损害正常操作。楼宇自动化和制造业中常用的协议在设计时并未考虑安全性，并且包含比较独特的漏洞。比如，利用漏洞在控制器和其他设备中访问并发布破坏性命令。

在这种情况下，保护人员、流程和技术是一项严峻的挑战。并且由于以下原因，通常无法及时实现安装更新、分段网络或实施防病毒软件之类的解决方案：

• 更新有时并不可用，因为补丁或许会改变原有程序的行为。

• 工业控制网络与企业信息网络完全隔离不切实际，因为信息网或第三方需要与工业控制网络保持连接并传输数据。

• 新软件的引入同时也会带来更大的攻击面。

这些问题表明，安全性本身也可能成为一种业务风险，但至少这种风险是可量化的。要想做到量化，前提是所有的组件和漏洞都像通信过程一样能被全面记录下来。收集这些信息的最佳工具是一个不妨碍设施或系统运行的被动软件解决方案。收集到的数据可被用于制定适当的安全战略，并能清楚回答下列问题：

• 哪些系统可以轻松更新到最新版本？

• 哪些系统、设施需要加强保护？

• 防火墙应该放置在哪里？

最坏的情况：发现攻击正在进行怎么办？

仅仅能够发现攻击还不够，还要知道该如何应对。因此，提前确定谁应该参与以及应对哪种事件，并制定清晰的事件应对流程至关重要。您还应该对所有设备进行分类，并确定哪些设备涉及关键业务，哪些设备可能会破坏业务，哪些设备不是日常业务的绝对必需品。基于这种分类，可以在分秒必争的时候，更快、更有针对性地采取行动。一旦成功遏制了一次攻击，还需要决定如何将设施恢复到正常的状态，以及接下来采取哪些额外的安全措施来防止未来发生类似事件。

只有备份还不够

勒索软件一直是一个重大威胁，尤其是对于关键基础设施行业而言。现在，甚至还有不少“勒索软件即服务”产品，专为那些想要参与这一利润丰厚的犯罪活动的新手提供。除了勒索软件，另一大威胁是目标明确的持久性攻击。一旦进入网络，恶意软件通常会隐藏相当长的时间，期间不会造成任何可见的破坏。因此，运营商除了依靠良好的备份策略，还应记录操作更改、监控环境的完整性，尽量及早发现那些躲在暗处窃取数据的潜伏者。

总结

与其他智能设备一样，智能建筑也同样会遭遇黑客攻击，网络安全和物理安全的融合意味着存在更多相互影响的现象，比如进入信息系统可以帮助攻击者成功获取物理入口，同样获取物理访问权限也能够帮助攻击者入侵关键信息系统。

在外部威胁、恶意内部活动和人为错误都无法被完全消除的情况下，负责信息安全、物理安全以及设备管理的团队必须进行更紧密的合作才能全面有效地保护其设施安全。

参考连接：

https://www.tripwire.com/state-of-security/featured/cybersecurity-smart-enough-to-protect-automated-buildings/

转载请注明来源：关键基础设施安全应急响应中心

本文始发于微信公众号（关键基础设施安全应急响应中心）：原创 | 智能建筑中的安全风险