1996 年經(jīng)典動(dòng)作冒險電影《碟中諜》中，阿湯哥飾演的伊森·亨特 (Ethan Hunt) 黑入目標建筑暖通空調 (HVAC) 系統，破壞其安全控制措施以順利執行任務(wù)。如今，電影中充滿(mǎn)未來(lái)感的橋段已成現實(shí)。

在最近的一份咨詢(xún)報告中，美國國土安全部 (DHS) 對某流行智能樓宇自動(dòng)化系統中的漏洞給出了最高嚴重度評分。該系統接入網(wǎng)絡(luò )并通過(guò) Web 界面控制空調、暖氣、門(mén)鎖等。攻擊者可利用該漏洞通過(guò)非法后門(mén)腳本獲得完整系統訪(fǎng)問(wèn)權限，并在易受攻擊設備上以最高權限執行命令。

由于每個(gè)樓宇管理系統 (BMS) 都在線(xiàn)，可通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)并破解這些系統以破壞智能樓宇運營(yíng)。不可能已變?yōu)榭赡堋?/p>

對關(guān)鍵基礎設施的網(wǎng)絡(luò )攻擊正變得越來(lái)越普遍。事實(shí)上，《紐約時(shí)報》最近報道稱(chēng)，美國正加大對俄羅斯電網(wǎng)的網(wǎng)絡(luò )攻擊力度。這個(gè)新戰場(chǎng)的主角包括民族國家、恐怖分子和網(wǎng)絡(luò )罪犯。幸運的是，有助于緩解無(wú)意疏忽、惡意內部人和員工人為失誤的很多控制措施，也可以解決來(lái)自黑客和破壞者的外部威脅。

最近的 DHS 咨詢(xún)報告表明，智能樓宇中的 BMS 無(wú)法抵御這些威脅。由于與硬連線(xiàn)解決方案、云解決方案和第三方應用程序集成并互連，這些系統的攻擊界面很大，且有越來(lái)越大的趨勢。

與此同時(shí)，隨著(zhù)越來(lái)越多的樓宇變得 “智能”，越來(lái)越多的基礎設施參與融合，以及工業(yè)物聯(lián)網(wǎng) (IIoT) 成為 BMS 事實(shí)上的標準，風(fēng)險預計將呈幾何級上升。事實(shí)上，市場(chǎng)研究公司 Frost＆Sullivan 指稱(chēng)，BMS 市場(chǎng) 2019 年創(chuàng )造了 58 億美元，預計到 2022 年其復合年增長(cháng)率 (CAGR) 可達 4.7％。

盡管 BMS 在簡(jiǎn)化流程和降低成本方面可以帶來(lái)巨大的好處，但若不將安全內化為其部署和管理的一部分，則也有可能帶來(lái)危害。例如關(guān)閉 HVAC 系統就很有可能導致數據中心迅速升溫，燒毀硬件，對業(yè)務(wù)造成廣泛而永久的損害。

這些系統有多脆弱？DHS 的咨詢(xún)報告提醒稱(chēng)，攻擊者可以通過(guò) “非法后門(mén)腳本” 獲得對 BMS 的 “完整系統訪(fǎng)問(wèn)權限”，可致攻擊者能以最高權限在脆弱設備上執行命令。該通報還指出，此漏洞無(wú)需太高技術(shù)水平即可遠程利用，漏洞嚴重性評分為 10.0——行業(yè)標準通用漏洞評分系統最高評分。通報寫(xiě)道，利用這個(gè)漏洞可以 “一鍵鎖定整棟樓宇”。

電影橋段成為現實(shí)，凸顯了擁有健壯 BMS 安全系統的重要性，能在網(wǎng)絡(luò )級和設備級監測威脅已成 BMS 系統必備功能。IT 運營(yíng)的安全態(tài)勢一貫如此，但相同的方法尚未應用到樓宇運營(yíng)等關(guān)鍵基礎設施運營(yíng)上。

正如我們從挪威鋁業(yè)巨頭 Norsk Hydro 和世界最大特種化學(xué)品及材料公司 Hexion & Momentive 最近遭遇的勒索軟件攻擊中看到的那樣，IT 與 OT 的融合需要這兩個(gè)領(lǐng)域間更緊密的合作，令兩個(gè)基礎架構上的可見(jiàn)性、安全性與控制措施均達到必要水平。由于 IT 工具與 OT 不直接互通，只有通過(guò)更高水平的安全集成、協(xié)作與情報共享才能識別源于任一環(huán)境并在兩者間橫向移動(dòng)的威脅。

只要工業(yè)網(wǎng)絡(luò )安全融入 BMS 基礎設施并與 IT 安全工具集成，解決和修復漏洞將更快、更容易、成本更低。同時(shí)，安全事件導致樓宇運營(yíng)系統崩潰的可能性將變得 “不那么可能”。

來(lái)源：工業(yè)互聯(lián)網(wǎng)安全應急響應中心