樓宇自動(dòng)化系統(tǒng)的潛在威脅
背景
建筑物在高效使用能源的同時(shí),為居住者的舒適和安全提供了一個(gè)方便和互聯(lián)的環(huán)境。像這樣的建筑物包含來(lái)自各種行業(yè)的關(guān)鍵資產(chǎn),例如辦公室、零售、教育、酒店和公共機(jī)構(gòu)。例如,醫(yī)療建筑必須配備 HVAC 系統(tǒng)、緊急呼叫設(shè)備和醫(yī)療氣體等救生設(shè)備,而辦公樓必須提供門禁設(shè)備、消防設(shè)備和電梯等。
如果建筑物遭受惡意軟件攻擊,它可能會(huì)擾亂企業(yè)的運(yùn)營(yíng)并對(duì)其中人員的安全構(gòu)成直接威脅。為了與智能建筑的概念保持一致,本文介紹了物聯(lián)網(wǎng) (IoT) 作為樓宇自動(dòng)化系統(tǒng) (BAS) 的廣泛應(yīng)用,作為一種可行的解決方案:
- 樓宇自動(dòng)化系統(tǒng) (BAS):樓宇自動(dòng)化系統(tǒng) (BAS) 是一個(gè)集成了照明、HVAC、消防和安全系統(tǒng)的單一平臺(tái),能夠及時(shí)提供來(lái)自樓宇的關(guān)鍵操作信息,并增強(qiáng)人員安全性和便利性。如圖 1 所示,BAS 的控制中心區(qū)域能夠接收來(lái)自儀表、HVAC 系統(tǒng)和物理訪問(wèn)控制的端點(diǎn)數(shù)據(jù),使操作員能夠根據(jù)行業(yè)要求調(diào)整建筑物的運(yùn)行模式。
圖 1. 建筑物網(wǎng)絡(luò)架構(gòu)概述
- 網(wǎng)格交互高效建筑系統(tǒng)(GEB): Grid-interactive Efficient Buildings System (GEB) 用于整合和持續(xù)優(yōu)化能源消耗,如圖左側(cè)黑色虛線所示。GEB 的一個(gè)關(guān)鍵特性是其資產(chǎn)能夠靈活地通信以及接收和傳輸信號(hào),使建筑物能夠自動(dòng)實(shí)施最有利的能源使用決策 。為實(shí)現(xiàn)這一目標(biāo),該系統(tǒng)結(jié)合了 BAS 分析、公用事業(yè)價(jià)格信息、天氣預(yù)報(bào)、可用的現(xiàn)場(chǎng)發(fā)電、儲(chǔ)能和其他相關(guān)數(shù)據(jù)。
- 建筑物OT協(xié)議:為了讓控制器自動(dòng)操作建筑物的現(xiàn)場(chǎng)設(shè)備并向控制中心提供信息,必須使用OT(運(yùn)營(yíng)技術(shù))協(xié)議進(jìn)行資產(chǎn)之間的數(shù)據(jù)傳輸。智能建筑中使用的常見(jiàn) OT 協(xié)議示例如圖中的橙色和棕色線所示,包括 BACnet、Modbus、LonTalk 和 IEC61850 等。例如,控制中心可以將操作指令傳送到位于不同樓層的控制器或網(wǎng)關(guān),這些控制器或網(wǎng)關(guān)使用各個(gè)設(shè)備制造商提供的多協(xié)議接口將指令轉(zhuǎn)換為Modbus RTU、LonTalk或IEC61850等協(xié)議來(lái)操作現(xiàn)場(chǎng)設(shè)備。
- IoT 托管網(wǎng)絡(luò)服務(wù):圖 1 中藍(lán)色部分描繪了智能建筑的趨勢(shì),即使用 IoT 技術(shù)連接各種建筑系統(tǒng)并實(shí)時(shí)收集和分析相關(guān)建筑信息。借助物聯(lián)網(wǎng)托管服務(wù),設(shè)施可以建立基站和天線以從數(shù)千個(gè)物聯(lián)網(wǎng)設(shè)備收集數(shù)據(jù)。同樣,當(dāng)樓宇系統(tǒng)連接到互聯(lián)網(wǎng)后,住戶可以通過(guò)自己的終端設(shè)備,如移動(dòng)應(yīng)用程序或網(wǎng)頁(yè)訪問(wèn)系統(tǒng)。除了訪問(wèn)樓宇相關(guān)信息,酒店樓宇場(chǎng)景的住戶甚至可以將應(yīng)用作為鑰匙進(jìn)出門禁系統(tǒng)。
智能建筑行業(yè)面臨的威脅
現(xiàn)在我們已經(jīng)建立了連接到互聯(lián)網(wǎng)的系統(tǒng),網(wǎng)絡(luò)攻擊已經(jīng)成為一個(gè)主要威脅。例如,2021年10月,德國(guó)某樓宇自控工程公司遭到敵手攻擊,通過(guò)暴露在網(wǎng)絡(luò)中的UDP端口滲透BAS,導(dǎo)致很多現(xiàn)場(chǎng)設(shè)備(如電燈開關(guān)、運(yùn)動(dòng)探測(cè)器等)失控、快門控制器等。此外,過(guò)去曾利用 HVAC 和恒溫器,使攻擊者能夠不斷滲透金融系統(tǒng)和賭場(chǎng)數(shù)據(jù)庫(kù),可能威脅數(shù)千萬(wàn)客戶。因此,我們分析了智能樓宇的系統(tǒng)和網(wǎng)絡(luò)架構(gòu),發(fā)現(xiàn)了以下潛在威脅:
1、IoT 設(shè)備容易受到未修補(bǔ)的漏洞和配置錯(cuò)誤的影響,這些漏洞和配置錯(cuò)誤可能允許攻擊者持續(xù)訪問(wèn)和破壞 BAS,從而導(dǎo)致依賴它們的行業(yè)的運(yùn)營(yíng)中斷。
在許多情況下,智能建筑中使用的大量物聯(lián)網(wǎng) (IoT) 設(shè)備可能對(duì)試圖確保所有設(shè)備數(shù)據(jù)安全的管理人員構(gòu)成挑戰(zhàn)。即使設(shè)備制造商提供了信息安全指南,管理人員也可能難以實(shí)施這些建議。根據(jù) Software Testing Help 的統(tǒng)計(jì)數(shù)據(jù),2022 年一些最受歡迎的物聯(lián)網(wǎng)設(shè)備包括 August Smart Lock、Belkin WeMo Smart Light Switch、Nest Smoke Alarm 和 Nest T3021US Learning Thermostat。過(guò)去,August 智能鎖存在安全漏洞,允許攻擊者訪問(wèn)用戶的 Wi-Fi 網(wǎng)絡(luò)。此物聯(lián)網(wǎng)設(shè)備的主要問(wèn)題是加密密鑰使用一種名為 ROT-13 的易于破解的密碼硬編碼到應(yīng)用程序中。因此,黑客可以通過(guò)設(shè)備容易破解的加密方式截獲用戶的 Wi-Fi 密碼 。
在另一個(gè)案例中,TrapX Security 證明 Nest Thermostat 中的漏洞可被利用通過(guò) USB 將自定義軟件加載到 Nest ARM7 處理器上。如果成功,這將允許 TrapX 獲取 Nest 所連接的 Wi-Fi 網(wǎng)絡(luò)的密碼,攻擊者可能會(huì)訪問(wèn)有關(guān)用戶是否在家的信息,并從連接到同一 Wi-Fi 網(wǎng)絡(luò)的其他設(shè)備接收數(shù)據(jù)。
為了最大限度地減少智能建筑環(huán)境中物聯(lián)網(wǎng)設(shè)備受到攻擊的影響,仔細(xì)監(jiān)視和控制通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包非常重要。例如,阻止恒溫器向樓宇自動(dòng)化系統(tǒng)發(fā)送控制命令可能是明智的。
2、帶有 HMI 的 HVAC 系統(tǒng)中的權(quán)限提升漏洞允許攻擊者遠(yuǎn)程控制系統(tǒng),可能對(duì)人類生命構(gòu)成威脅。
供暖、通風(fēng)、空調(diào)和制冷 (HVAC) 系統(tǒng)通常用于醫(yī)院建筑、酒店建筑、零售建筑和辦公建筑,以控制室內(nèi)溫度。TXOne Networks 研究團(tuán)隊(duì)檢查了各種品牌的 HVAC 系統(tǒng),發(fā)現(xiàn)其中許多具有可以通過(guò)網(wǎng)絡(luò)訪問(wèn)的人機(jī)界面 (HMI),并且容易受到憑證泄露和特權(quán)升級(jí)等攻擊。
例如,在 2021 年 7 月,發(fā)現(xiàn)三菱電機(jī)空調(diào)系統(tǒng)的 Web 服務(wù)未正確實(shí)施身份驗(yàn)證算法,允許攻擊者提升權(quán)限并冒充管理員來(lái)篡改系統(tǒng)配置 。此外,在智能建筑環(huán)境中,HVAC 系統(tǒng)通常連接到其他建筑系統(tǒng)和聯(lián)網(wǎng)設(shè)備,為攻擊者遠(yuǎn)程破壞 HVAC 系統(tǒng)提供了更多機(jī)會(huì)。根據(jù)建筑物的類型,這可能會(huì)對(duì)建筑物內(nèi)的人員和其他人的安全構(gòu)成威脅。
3、很多樓宇使用的OT協(xié)議缺乏安全特性,為攻擊者提供了嗅探數(shù)據(jù)包甚至篡改關(guān)鍵操作指令的機(jī)會(huì)。
建筑物中使用的常見(jiàn) OT 通信協(xié)議包括 BACnet、Modbus 和 KNX,并且與許多舊的 OT 環(huán)境一樣,它們具有許多可通過(guò) DoS 或欺騙攻擊加以利用的漏洞。例如,雖然建筑行業(yè)正在逐步采用 BACnet 安全連接 (BACnet/SC) 來(lái)提高建筑物的網(wǎng)絡(luò)安全性,但由于 OT 環(huán)境的使用壽命很長(zhǎng),許多遺留建筑系統(tǒng)仍然使用過(guò)時(shí)的通信協(xié)議,為攻擊者提供了機(jī)會(huì)攔截和篡改關(guān)鍵操作指令。
此外,在部署了大量物聯(lián)網(wǎng)設(shè)備的建筑環(huán)境中,削減成本的措施可能會(huì)導(dǎo)致使用低功耗廣域網(wǎng) (LPWAN),盡管使用了簡(jiǎn)單的加密技術(shù),但仍容易受到一系列攻擊。
4、人為錯(cuò)誤可能難以控制,這為攻擊者提供了通過(guò)網(wǎng)絡(luò)釣魚、水坑攻擊或勒索軟件攻擊破壞建筑系統(tǒng)的機(jī)會(huì)。
智能樓宇雖然具備高度自動(dòng)化控制能力,但系統(tǒng)仍需投入人力管理人員進(jìn)行輔助工作。但由于智能樓宇涉及的行業(yè)范圍廣,人員很難遵守全面的信息安全規(guī)定,因此系統(tǒng)容易因人員失誤而導(dǎo)致整棟樓宇面臨威脅。Intelligent Buildings 指出,他們約 90% 的建筑系統(tǒng)服務(wù)器已連接到電子郵件、社交媒體和其他網(wǎng)站供個(gè)人使用,這讓攻擊者有機(jī)會(huì)利用網(wǎng)絡(luò)釣魚、水坑攻擊或勒索軟件攻擊等入侵建筑系統(tǒng)的方法,導(dǎo)致智能建筑的安全性崩潰。
此外,智能建筑環(huán)境在管理常駐端點(diǎn)設(shè)備方面也面臨挑戰(zhàn)。如果這些設(shè)備在不安全的網(wǎng)絡(luò)上使用,它們可能會(huì)被感染并暴露居民生活或工作的整個(gè)智能建筑。
5、BAS系統(tǒng)采用跨平臺(tái)云解決方案,為攻擊者利用物聯(lián)網(wǎng)通信協(xié)議漏洞攻擊樓宇系統(tǒng)創(chuàng)造了機(jī)會(huì)。
隨著物聯(lián)網(wǎng)在智能建筑中的不斷發(fā)展,BAS 系統(tǒng)越來(lái)越多地采用跨平臺(tái)云解決方案。例如,一些BAS系統(tǒng)使用MQTT將從控制系統(tǒng)收集的信息和建筑物內(nèi)部信息傳輸?shù)皆贫诉M(jìn)行分析,并自動(dòng)提供最佳系統(tǒng)控制。MQTT 是一種基于發(fā)布消息和訂閱主題原理的通信協(xié)議,因此訂閱者不知道誰(shuí)在發(fā)布消息。這意味著如果攻擊者可以訪問(wèn)網(wǎng)絡(luò)并向現(xiàn)有主題發(fā)布消息,他們可以很容易地篡改或覆蓋原始信息,導(dǎo)致構(gòu)建系統(tǒng)表現(xiàn)出不安全的行為。
如何減輕對(duì)智能建筑行業(yè)的潛在威脅
從以上對(duì)潛在威脅的分析可以看出,智能建筑嚴(yán)重依賴大量的物聯(lián)網(wǎng)設(shè)備,并且缺乏對(duì)人員使用的端點(diǎn)設(shè)備的適當(dāng)管理。因此,TXOne Networks 建議所有行業(yè)對(duì)其樓宇自動(dòng)化系統(tǒng)實(shí)施完整的可見(jiàn)性和安全控制,以防止攻擊者對(duì)樓宇執(zhí)行災(zāi)難性的網(wǎng)絡(luò)攻擊并擾亂行業(yè)運(yùn)營(yíng):
1、確保 IT 網(wǎng)絡(luò)不會(huì)成為攻擊者訪問(wèn) BAS 網(wǎng)絡(luò)的途徑,反之亦然。
為確保樓宇自動(dòng)化網(wǎng)絡(luò)的安全性和可靠性,應(yīng)在單獨(dú)的OT網(wǎng)絡(luò)基礎(chǔ)設(shè)施上運(yùn)行,并與IT網(wǎng)絡(luò)隔離。例如,用于維護(hù)樓宇自動(dòng)化系統(tǒng)的路由器不應(yīng)該有面向 Internet 或其他外部網(wǎng)絡(luò)的開放和不受保護(hù)的端口,例如 HTTP。如果需要外網(wǎng)訪問(wèn),需要配置防火墻進(jìn)行保護(hù),并設(shè)置VPN進(jìn)行遠(yuǎn)程訪問(wèn)。
然而,為了進(jìn)一步加強(qiáng)網(wǎng)絡(luò)分割和提供縱深防御,建議采用IEC62443標(biāo)準(zhǔn)中概述的“區(qū)域”和“管道”概念。“安全區(qū)域”是指具有共享安全需求和定義邊界的一組物理或邏輯資產(chǎn)。這些區(qū)域之間的連接稱為“管道”,應(yīng)配備安全措施,以控制訪問(wèn),防止拒絕服務(wù)攻擊,屏蔽網(wǎng)絡(luò)中的脆弱系統(tǒng),并保持通信的完整性和機(jī)密性。
2 、建議通過(guò)可信網(wǎng)絡(luò)列表限制通信通道,建立安全通信和安全配置。
為防止未經(jīng)授權(quán)或不安全的通信,我們建議禁用不安全的網(wǎng)絡(luò)協(xié)議,停用不必要的網(wǎng)絡(luò)服務(wù),并拒絕轉(zhuǎn)發(fā)來(lái)自未知來(lái)源的數(shù)據(jù)包。組織可以使用信任列表實(shí)施網(wǎng)絡(luò)策略,以有效管理其運(yùn)營(yíng)技術(shù) (OT) 網(wǎng)絡(luò)中的可信通信和設(shè)備訪問(wèn)。每個(gè)區(qū)域都應(yīng)該使用過(guò)濾表來(lái)阻止不應(yīng)連接到該區(qū)域的IP地址,并防止未經(jīng)授權(quán)的BACnet/KNX和其他設(shè)備訪問(wèn)BAS系統(tǒng)。OT 零信任網(wǎng)絡(luò)策略可以檢測(cè)關(guān)鍵資產(chǎn)中的異常通信模式、未經(jīng)授權(quán)的命令和超出范圍的值。這些異常可能包括失敗的訪問(wèn)嘗試、更改訪問(wèn)權(quán)限和惡意端口掃描等。
3、通過(guò)增強(qiáng)對(duì) BAS 網(wǎng)絡(luò)的可見(jiàn)性,組織可以完全識(shí)別攻擊媒介和影子 OT 設(shè)備。
安全漏洞通常是由管理人員未發(fā)現(xiàn)的操作安全問(wèn)題造成的,例如設(shè)備漏洞、錯(cuò)誤配置、策略違反、安全控制薄弱和未經(jīng)授權(quán)的更改。組織可以實(shí)現(xiàn)一個(gè)集中式管理平臺(tái),該平臺(tái)可以提供BAS網(wǎng)絡(luò)活動(dòng)的全面視圖,使管理人員能夠檢查安裝在BAS環(huán)境中的所有BAS資產(chǎn)及其連接的詳細(xì)信息,包括BACnet網(wǎng)關(guān)后面的設(shè)備。通過(guò)增強(qiáng)網(wǎng)絡(luò)安全可見(jiàn)性,管理員可以持續(xù)監(jiān)控關(guān)鍵設(shè)備的網(wǎng)絡(luò)安全狀態(tài),理想情況下可以自動(dòng)生成安全警報(bào)、資產(chǎn)設(shè)備信任列表和可疑事件活動(dòng)。便于管理設(shè)備變更、網(wǎng)絡(luò)配置變更、攻擊向量識(shí)別和盲點(diǎn)識(shí)別。
