談?wù)剺怯罟芾硐到y(tǒng) (BMS)

樓宇管理系統(tǒng) (BMS) ，是對(duì)大型建筑物的攝像頭、電力、照明、空調(diào)、消防、電梯和其他設(shè)備的所有控制和監(jiān)測(cè)系統(tǒng)的管理。傳統(tǒng)的 BMS 是獨(dú)立運(yùn)行，各種設(shè)備分散管理，各自的控制裝置連接到單獨(dú)的專(zhuān)用網(wǎng)絡(luò)。隨著物聯(lián)網(wǎng)廣泛發(fā)展， BMS 經(jīng)歷了快速的數(shù)字化轉(zhuǎn)型，轉(zhuǎn)向智能互聯(lián)系統(tǒng)，從而達(dá)到性能改進(jìn)、能耗降低和效益提升。世界各地的智能樓宇數(shù)量急劇增加，智能樓宇中運(yùn)行的連接設(shè)備數(shù)量，將從 2020 年的 17 億增長(zhǎng)到 2025 年的近 30 億，復(fù)合年增長(zhǎng)率為 10.8%。但是，與所有形式的數(shù)字化轉(zhuǎn)型一樣，將以前孤立的 BMS 連接到互聯(lián)網(wǎng)，可能給商業(yè)環(huán)境或企業(yè)內(nèi)部網(wǎng)絡(luò)帶來(lái)額外風(fēng)險(xiǎn)，網(wǎng)絡(luò)犯罪分子便會(huì)有機(jī)可乘。事實(shí)如此，BMS 的網(wǎng)絡(luò)安全容易被忽略，其中許多系統(tǒng)沒(méi)有包含現(xiàn)代計(jì)算系統(tǒng)和設(shè)備中常見(jiàn)的安全功能。網(wǎng)絡(luò)犯罪分子認(rèn)為 BMS 是網(wǎng)絡(luò)防御范圍內(nèi)的潛在弱點(diǎn)，把它作為通往其他安全基礎(chǔ)設(shè)施的途徑，造成破壞和竊取數(shù)據(jù)謀利，利用 BMS 成為網(wǎng)絡(luò)犯罪分子的入侵手段。

網(wǎng)絡(luò)犯罪分子利用 BMS 通往攻擊目標(biāo)

舉一個(gè)眾所周知的黑客攻擊事件，2013 年美國(guó)連鎖百貨公司 Target 的空調(diào)監(jiān)控系統(tǒng)被網(wǎng)絡(luò)犯罪分子入侵，該系統(tǒng)是連接到內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的。網(wǎng)絡(luò)犯罪分子將空調(diào)系統(tǒng)當(dāng)作闖入計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)關(guān)，利用此安全弱點(diǎn)成功盜取了 4,000 萬(wàn)張信用卡和借記卡信息。其實(shí)，全球有數(shù)萬(wàn)個(gè)類(lèi)似的空調(diào)系統(tǒng)存在漏洞，包括 2014 年俄羅斯索契冬奧會(huì)競(jìng)技場(chǎng)安裝的空調(diào)系統(tǒng)。2017 年，全世界數(shù)以千萬(wàn)計(jì)的關(guān)鍵系統(tǒng)和服務(wù)器被臭名昭著的 WannaCry 勒索軟件摧毀，該勒索軟件當(dāng)時(shí)是利用了 Windows 7 中的一個(gè)漏洞，而 Windows 7 廣泛用于傳統(tǒng) BMS 的操作系統(tǒng)。有些網(wǎng)絡(luò)犯罪分子破壞 BMS 系統(tǒng)不是為了竊取數(shù)據(jù)以獲取贖金，可能會(huì)試圖通過(guò)改變工廠或其他生產(chǎn)設(shè)施的環(huán)境參數(shù)的控制，來(lái)擾亂競(jìng)爭(zhēng)對(duì)手的生產(chǎn)。甚至可以想象，在緊張時(shí)期，一個(gè)國(guó)家通過(guò)改變醫(yī)院環(huán)境參數(shù)的控制來(lái)破壞另一個(gè)國(guó)家的醫(yī)療系統(tǒng)……

為什么 BMS 比 IT 系統(tǒng)更容易受到網(wǎng)絡(luò)攻擊？

當(dāng)今，BMS 比 IT 系統(tǒng)更容易受到網(wǎng)絡(luò)攻擊的原因，分別為以下四點(diǎn)：

傳統(tǒng) BMS 的各種設(shè)備操作是相互隔離的。例如，控制空調(diào)系統(tǒng)與訪問(wèn)管理系統(tǒng)是分開(kāi)的。在現(xiàn)代的智能樓宇中，每個(gè) BMS 設(shè)備功能都是連接到互聯(lián)網(wǎng)集成系統(tǒng)的一部分。這無(wú)疑是提升了被攻擊的潛在影響。

許多 BMS 依賴(lài)于舊版軟件，很少更新，存在安全漏洞。從而產(chǎn)生的影響是：網(wǎng)絡(luò)犯罪分子可以通過(guò)簡(jiǎn)單的操作（例如重置密碼）相對(duì)容易地獲得訪問(wèn)權(quán)限。

傳統(tǒng) BMS 系統(tǒng)的設(shè)計(jì)是通過(guò)隔離來(lái)防護(hù)，然而技術(shù)人員容易產(chǎn)生自滿心理，他們經(jīng)常共享密碼，或創(chuàng)建非常弱的密碼。

如今，特有的大型安裝的 BMS 非常復(fù)雜，結(jié)合了不同供應(yīng)商的眾多設(shè)備。很難保持所有設(shè)備和軟件版本的最新完整列表，要確保每一個(gè)設(shè)備都安全且沒(méi)有漏洞就更加困難。此外，所有供應(yīng)商經(jīng)常要遠(yuǎn)程訪問(wèn)其產(chǎn)品進(jìn)行維護(hù)管理，而每一個(gè)訪問(wèn)渠道都能成為潛在攻擊的媒介。

面對(duì)這些挑戰(zhàn)，BMS 需要強(qiáng)大的網(wǎng)絡(luò)安全措施來(lái)保護(hù)其持續(xù)運(yùn)行的關(guān)鍵功能，防止商業(yè)環(huán)境與企業(yè)內(nèi)部大規(guī)模的 IT 系統(tǒng)受到任何損害。而 Claroty 網(wǎng)絡(luò)安全解決方案可以提高所有 BMS 的安全級(jí)別。

Claroty 如何保護(hù) BMS ？

實(shí)現(xiàn)資產(chǎn)可視化。為了保護(hù) BMS，首先要實(shí)現(xiàn)各種 BMS 資產(chǎn)可視化，了解網(wǎng)絡(luò)上連接的設(shè)備數(shù)量以及它們之間的通信路徑。Claroty 涵蓋了450多種專(zhuān)有協(xié)議，采用自動(dòng)、被動(dòng)、AppDB掃描技術(shù)、Edge技術(shù)與第三方集成的多種發(fā)現(xiàn)方法實(shí)現(xiàn)100%資產(chǎn)發(fā)現(xiàn)，可以自動(dòng)收集和分析 BMS 內(nèi)每個(gè)設(shè)備的詳細(xì)信息，包括品牌、型號(hào)、軟件版本等，并保持最新列表。

漏洞與風(fēng)險(xiǎn)管理。保護(hù) BMS 的下一步是評(píng)估每一個(gè)設(shè)備所帶來(lái)的安全風(fēng)險(xiǎn)。Claroty 會(huì)根據(jù)設(shè)備品牌、型號(hào)和軟件版本將已知 CVE 準(zhǔn)確匹配，確定修復(fù)漏洞優(yōu)先級(jí)，并且基于漏洞帶來(lái)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，自動(dòng)對(duì)其進(jìn)行評(píng)估與評(píng)分，從而實(shí)現(xiàn)更高效的優(yōu)先級(jí)排序與修復(fù)。

提供安全遠(yuǎn)程訪問(wèn)。對(duì) BMS 進(jìn)行遠(yuǎn)程訪問(wèn)的渠道是網(wǎng)絡(luò)犯罪分子的入侵媒介。無(wú)論是樓宇管理者還是第三方設(shè)備供應(yīng)商，Claroty SRA 都能讓獲得遠(yuǎn)程訪問(wèn)權(quán)限的用戶(hù)，通過(guò)模擬其本地工作站的直觀界面快速輕松地維護(hù)設(shè)備。從而消除遠(yuǎn)程訪問(wèn)的復(fù)雜性和管理障礙，滿足他們對(duì)監(jiān)控、管理和定期更新的需求。

檢測(cè)威脅并響應(yīng)。無(wú)論保護(hù) BMS 的解決方案多么精密，但網(wǎng)絡(luò)犯罪分子也有可能完全攻破防御。所以，必須盡早發(fā)現(xiàn)任何違規(guī)行為，采取適當(dāng)措施，將損失降至最低。Claroty 能夠持續(xù)監(jiān)控整個(gè) BMS 系統(tǒng)，檢測(cè)可疑活動(dòng)，并向技術(shù)人員和管理人員發(fā)出的警報(bào)。

Claroty BMS 網(wǎng)絡(luò)安全解決方案旨在為樓宇所有者、設(shè)備供應(yīng)商和安全團(tuán)隊(duì)提供一個(gè)簡(jiǎn)易有效的解決方案，不會(huì)額外增加工作量，使用戶(hù)能夠自信地對(duì)其樓宇管理系統(tǒng) (BMS) 進(jìn)行現(xiàn)代化改造，并跨系統(tǒng)、設(shè)施和工作空間安全地將其 BMS 與 XIoT 連接起來(lái)。

審核編輯 黃宇