对建筑管理系统的威胁
深入研究受已知被利用漏洞 (KEV)感染的组织,51%的组织受到KEV的影响,这些KEV也与勒索软件相关,并且以不安全的方式连接到互联网。在这些组织中,2%的设备具有同等级别的风险,这意味着对业务运营至关重要的设备处于最高风险暴露级别。
由于商业房地产、零售、酒店和数据中心设施广泛依赖BMS来运行HVAC、照明、能源、电梯、安全等系统,因此这些风险因素的组合引起了警报。
与大多数OT(运营技术)一样,许多BMS在构建时并未考虑互联网连接,更不用说对网络安全的支持了。它们使用本身不支持加密的传统系统进行通信。
攻击者还可能发现BMS设备仍在使用默认或硬编码凭证,这使得未经授权的访问更加容易。攻击者可以使用Shodan等工具找到联网系统,并发起暴力攻击,从而入侵系统并在网络中横向移动。
许多BMS设备已经投入使用多年,供应商可能不再提供支持。因此,由于制造商已停止为旧设备提供更新,一些软件或固件漏洞仍未得到修补。
第三方访问会带来额外的风险。供应商通常使用自己的远程访问工具,其中许多工具缺乏像MFA这样的关键安全功能。最近的一份报告发现,超过一半的组织使用四种或更多的远程访问工具,有些组织甚至使用多达16种。
重新思考建筑管理系统风险管理
这些设备的暴露为攻击者提供了易于访问的入口点,可能导致代价高昂且危险的中断。报告的结果表明,需要更加优先保护这些系统,尤其是在它们因远程管理和分析等运营和业务原因而上线的情况下。
通过采用针对网络物理系统(CPS)环境的独特需求而定制的风险管理方法,组织可以识别、评估和确定其风险最高的设备的优先级,从而节省宝贵的时间和资源。
Claroty首席战略官GrantGeyer表示:“很多时候,BMS和楼宇自动化系统(BAS)在网络上的运行并没有考虑到网络安全影响。如果没有得到有效的保护,效率和便利性所带来的好处可能会带来真正的风险——例如,数据中心的冷却系统或零售店易腐商品的冷藏系统,这些关键系统一旦受到攻击,可能会突然下线。”
接受数字化转型并在BMS上线时采取措施保护其安全的组织有机会整合业务影响的衡量并保障这些设备的运营关键性。
通过了解这些系统的完整环境,他们可以降低风险,并避免故障可能造成的严重破坏。随着建筑变得越来越“智能”,组织需要采用一个安全框架,为网络安全决策者和资产所有者提供对其安全态势的真实评估,以及一个专为风险管理团队量身定制、高管易于理解的补救计划。
本文链接:http://www.xihao.site/showinfo-1-79413.html暴露于风险却浑然不知?智能建筑需要更智能的风险控制
