OryxAlign 客户成功主管 Nathan Charles 讨论了物联网在建筑行业中的网络安全风险,以及公司必须采取哪些措施来保护其连接系统免受不断演变的威胁
2024 年初,安全研究人员发现了一个名为“Matrix”的僵尸网络行动,该行动利用互联网连接设备中的漏洞发动大规模网络攻击。
从工业传感器到安全摄像头,恶意软件迅速传播,利用薄弱的身份验证协议和过时的软件。虽然主要目标是医疗保健和物流等行业的企业,但这次攻击对任何采用物联网 (IoT) 的行业都是一种警告。
为什么物联网是一个安全问题
自动化机械和联网环境传感器等联网设备已成为现代建筑工地的标准配置。虽然这些工具提高了效率和现场监控,但它们也带来了新的漏洞。
主要挑战之一是许多物联网设备缺乏内置的安全保护。与受益于集中控制和定期更新的办公室 IT 系统不同,建筑物联网网络往往是分散的。一个站点可能部署了来自多家制造商的设备,每台设备都有自己的软件漏洞。如果在一个传感器或摄像头中发现安全漏洞,攻击者可以利用它作为入侵整个系统的门户。
对第三方供应商的依赖也使安全工作变得复杂。许多建筑公司与外部供应商合作,提供云存储和远程设备管理等服务。如果任何一家供应商遭遇入侵,攻击者就可以间接访问项目数据。风险不仅仅是理论上的。过去对运营技术的网络攻击表明,当攻击者入侵一个系统时,后果往往会波及整个网络。
但面临风险的不仅仅是设备。网络钓鱼诈骗和凭证盗窃是网络入侵最常见的切入点,建筑也不例外。随着多个承包商和供应商访问项目管理系统,攻击面不断扩大。一次被入侵的登录名就可能让黑客获得禁用安全摄像头、更改传感器数据或停止自动化设备所需的访问权限。
尽管存在这些风险,但许多公司仍未意识到问题的严重性。建筑业的网络安全传统上侧重于保护办公室 IT 基础设施,而对现场部署设备的关注则少得多。随着物联网的普及,这种方法已不再足够。
现实世界的风险
数据泄露仍然是最直接的风险之一。物联网设备会跟踪站点布局、设备使用情况,在某些情况下还会跟踪用于访问控制的生物特征数据。如果攻击者获得访问权限,他们可能会窃取项目详细信息,从而泄露敏感的财务协议或知识产权。大型项目通常涉及多个利益相关者,这意味着一次违规行为可能会影响从供应商到客户的所有人。
勒索软件攻击是另一个日益严重的问题。攻击者可以控制自动化设备或站点网络,要求付款以恢复访问权限。对建筑工地的此类攻击可能会完全停止运营,导致项目超出预算并造成声誉损害。
除了财务损失之外,运营中断还会带来严重的安全风险。网络攻击可能会操纵传感器数据,导致读数不准确,从而导致结构性计算错误或安全漏洞。如果攻击者获得重型设备的访问权限,他们可能会关闭运营,或者在最坏的情况下为现场团队创造危险的工作条件。
如何保护物联网
强大的网络安全策略应该超越基本保护,例如依赖标准设备加密。相反,它应该结合持续监控、严格的访问控制和员工培训来降低风险。
传统的网络安全模型通常基于隐式信任系统,一旦用户或设备进入网络,他们就会被授予广泛的访问权限。这种方法使物联网环境容易受到内部威胁和攻击者的横向移动。相反,公司应该采用零信任安全模型,该模型假设默认情况下不应信任任何设备或用户。
每个连接的设备在被授予网络访问权限之前都应经过严格的身份验证。基于角色的访问控制 (RBAC) 可以确保用户只能访问其特定任务所需的系统和数据,从而进一步限制暴露。这些权限应定期审查,特别是对于可能只需要临时访问权限的分包商和第三方供应商。
正如企业定期测试其办公网络是否存在漏洞一样,建筑公司也应该对其物联网生态系统进行同样的审查。网络犯罪分子会积极寻找漏洞,例如过时的固件、配置错误的传感器或不安全的远程接入点。定期的安全审核有助于在这些风险被利用之前识别它们。
许多物联网安全漏洞源于糟糕的设备配置。当制造商使用默认密码发货设备时,这些凭证通常是公开的或很容易猜到的,这使它们成为常见的攻击媒介。公司应确保在部署前重新配置所有设备,尽可能用独特的强密码和多因素身份验证 (MFA) 替换出厂设置。
除了密码之外,还应禁用未使用的设备功能以减少潜在的攻击面。物联网传感器和摄像头也会生成大量数据,其中一些数据可能很敏感。应加密静态和传输中的数据,以防止未经授权的访问。
许多建筑公司依赖于拼凑的安全解决方案,使用不同的工具监控不同的系统。这种分散的方法使得难以有效地检测和应对网络威胁。更有效的策略是整合安全监控,确保所有物联网设备都汇入单个仪表板,以进行实时威胁检测。
扩展检测和响应 (XDR) 等工具将多个安全层统一为一个更易于管理的单一系统。这种方法使安全团队能够实时检测整个物联网网络中的异常情况,在潜在漏洞升级之前识别它们。
与可信赖的供应商合作
建筑公司通常依赖第三方供应商来供应和管理其物联网设备,但并非所有供应商都优先考虑安全性。在集成新设备之前,公司应进行供应商风险评估,确保供应商遵守严格的网络安全标准。
定期固件更新和安全补丁很重要,但许多物联网制造商在首次销售之外提供的支持有限。公司应与提供持续维护和主动安全更新的供应商建立长期关系。部署未打补丁的设备会带来额外的风险,因为攻击者经常利用未修复的已知漏洞。
对员工进行物联网网络安全风险培训
即使采取了最好的技术保护措施,员工或承包商的一个错误也可能危及整个系统。建筑行业在这方面面临着独特的挑战,因为现场工作人员的网络安全意识可能不如办公室工作人员。
人为错误仍然是网络安全漏洞的最大因素之一。根据行业研究,74% 的网络安全问题源于人为错误,例如陷入网络钓鱼诈骗或使用弱密码。
应培训工人识别针对物联网登录的网络钓鱼攻击,以及用于诱骗他们泄露敏感信息的社会工程策略。安全演习可以成为测试意识的有效方法,模拟与物联网相关的网络攻击以评估团队的响应方式。
通过将技术驱动的防御与以人为本的安全意识相结合,建筑公司可以显著减少其面临的网络威胁。
监管格局与合规性
随着建筑公司将更多物联网技术融入其运营,监管格局正在发生变化。网络安全法正在收紧,公司必须走在新兴规则的前面,以避免受到处罚和声誉损害。合规的两个关键领域脱颖而出:网络安全法规和数据保护法。
欧盟的 NIS2 指令对被视为对国家基础设施至关重要的行业引入了更严格的网络安全义务。虽然建筑业没有明确列出,但从事能源、水和运输等关键基础设施项目的公司可能会受到影响。如果被归类为 NIS2,公司必须改善网络防御,在 24 小时内报告安全事件,如果不遵守规定,将面临更严格的执法措施。这些措施包括高达 1000 万欧元或全球年营业额 2% 的罚款、具有约束力的安全命令以及在疏忽情况下高管可能承担的个人责任。英国虽然不再是欧盟成员国,但预计将遵守类似的网络安全标准。
建筑业的许多物联网设备都会收集个人数据,从跟踪工人安全的可穿戴设备到现场的生物识别访问控制。根据 GDPR,公司必须确保数据安全且透明处理。这涉及加密敏感信息并实施严格的访问控制。违规行为可能导致高达 2000 万欧元或公司上一财年全球年收入的 4% 的巨额罚款,以较高者为准。
数据中心行业的经验教训
英国决定将数据中心归类为关键国家基础设施 (CNI),标志着人们对数字基础设施的看法发生了转变。这些设施现在被认为是经济必不可少的,需要加强安全措施和政府支持。建筑公司,特别是那些参与大型基础设施项目的公司,应该注意。随着数字连接变得与物理基础设施一样重要,建筑中的物联网安全可能很快就会面临类似的监管审查。
未来的挑战和趋势
物联网在建筑业中的日益广泛使用使企业面临不断变化的威胁形势。攻击者变得越来越老练,新技术将重塑联网站点面临的风险。未能预见这些挑战的企业可能会措手不及。
一个新出现的担忧是人工智能 (AI) 在网络攻击中的使用。基于人工智能的恶意软件可以分析网络活动、实时适应并比传统方法更有效地绕过安全控制。虽然人工智能也被用于加强网络安全,但攻击者正在开发自动化入侵和大规模利用物联网漏洞的方法。
Matrix 僵尸网络攻击提醒我们,网络威胁升级的速度有多快。物联网设备中的一个漏洞可能成为深远攻击的切入点,其后果将超出预期目标。
现在采取行动的企业将为未来做好更好的准备。那些拖延的企业将在下一次攻击来临时手忙脚乱。建筑业正在转型,但如果没有更强大的安全性,它就无法在稳定的基础上建设。
参与评论 (0)