管理智能互聯(lián)建筑中的物聯(lián)網(wǎng)安全 | 專(zhuān)家視點(diǎn)

本文作者：Michael C. Skurla, chief product officer of Radix IoT

據(jù)相關(guān)調(diào)查統(tǒng)計(jì)，目前價(jià)值 806.2 億美元的全球智能建筑市場(chǎng)預(yù)計(jì)到 2029 年將達(dá)到 3286.2 億美元。這些互聯(lián)的智能建筑是一個(gè)由控制、芯片、傳感器和最重要的遺留系統(tǒng)組成的復(fù)雜網(wǎng)絡(luò)。最近，這些網(wǎng)絡(luò)還與物聯(lián)網(wǎng)設(shè)備分層，這些設(shè)備增加了設(shè)施運(yùn)營(yíng)商管理建筑性能各個(gè)方面的能力——從安全到租戶(hù)的需求、遠(yuǎn)程操作控制、暖通空調(diào)、訪問(wèn)控制、照明解決方案等等，而先進(jìn)的地理定位服務(wù)現(xiàn)已進(jìn)入市場(chǎng)。

從第三方角度來(lái)看，這些系統(tǒng)有助于降低不斷上升的運(yùn)營(yíng)支出成本。商業(yè)天然氣價(jià)格在兩年內(nèi)上漲了 42%，并用于電力生產(chǎn)（兩年內(nèi)上漲了 15%），這是一個(gè)特殊的起點(diǎn)，根據(jù)一份世邦魏理仕報(bào)告，數(shù)據(jù)與運(yùn)營(yíng)數(shù)據(jù)相結(jié)合可以節(jié)省開(kāi)支。

物聯(lián)網(wǎng) (IoT) 具有巨大的全球經(jīng)濟(jì)和社會(huì)意義，但也存在重大安全問(wèn)題。盡管幾十年來(lái)人們一直關(guān)注安全和保護(hù)網(wǎng)絡(luò)的想法，但物聯(lián)網(wǎng)由于其多樣化且通常是隨意的部署而帶來(lái)了混亂。建筑技術(shù)、運(yùn)營(yíng)技術(shù)以及商業(yè)信息技術(shù)現(xiàn)在共享空間的想法令人不安，其中大部分歸結(jié)為定價(jià)。不管是好是壞，物聯(lián)網(wǎng)已經(jīng)使技術(shù)民主化，并將自動(dòng)化和監(jiān)控的價(jià)格提高到現(xiàn)在人們和行業(yè)都可以接受的水平，而這些人和行業(yè)從未想過(guò)這種范圍的技術(shù)改進(jìn)是可能的。

這當(dāng)然是有代價(jià)的。設(shè)備的激增打開(kāi)了不再受典型 IT 安全規(guī)定保護(hù)的攻擊媒介，市場(chǎng)已經(jīng)證明它不愿意為物聯(lián)網(wǎng)安全支付高額費(fèi)用。這是一個(gè)尚未解決的困境。

考慮物聯(lián)網(wǎng)安全的業(yè)務(wù)方面

技術(shù)正在快速發(fā)展，監(jiān)管機(jī)構(gòu)和管理機(jī)構(gòu)需要迎頭趕上。

2022年9 月，歐盟委員會(huì)提出了歐盟首個(gè)針對(duì)物聯(lián)網(wǎng)行業(yè)的網(wǎng)絡(luò)安全法規(guī)《網(wǎng)絡(luò)彈性法案》，價(jià)值近 1.5 萬(wàn)億歐元，以強(qiáng)制“對(duì)物聯(lián)網(wǎng)設(shè)備提供更強(qiáng)有力的網(wǎng)絡(luò)安全保護(hù)”。

10 月，白宮宣布了一項(xiàng)產(chǎn)品標(biāo)簽系統(tǒng)計(jì)劃，以提醒消費(fèi)者注意“與聯(lián)網(wǎng)設(shè)備相關(guān)”的安全風(fēng)險(xiǎn)，這將涉及利益相關(guān)者、企業(yè)和貿(mào)易協(xié)會(huì)，以提供“符合美國(guó)政府標(biāo)準(zhǔn)的產(chǎn)品的通用標(biāo)簽”由經(jīng)過(guò)審查和批準(zhǔn)的實(shí)體進(jìn)行測(cè)試。

這些只是微不足道的開(kāi)始，即使有了這些進(jìn)步，很明顯法規(guī)也跟不上技術(shù)的步伐。市場(chǎng)是這里唯一的答案，但我們花了太多時(shí)間試圖防范攻擊，我們幾乎忘記了防范某事不如檢測(cè)攻擊重要，更重要的是，優(yōu)雅地緩解問(wèn)題。

多年來(lái)，我們一直在執(zhí)行試圖保護(hù)的愚蠢任務(wù)。這是不可持續(xù)的，敵人有優(yōu)勢(shì)。相反，每個(gè)人都應(yīng)該談?wù)撐覀冊(cè)诔霈F(xiàn)漏洞時(shí)所做的事情，而答案過(guò)去是“停止、關(guān)閉并等待修復(fù)”。然而，現(xiàn)在的世界已經(jīng)超出了這個(gè)范圍，這是對(duì)物聯(lián)網(wǎng)中一個(gè)問(wèn)題的糟糕回答，物聯(lián)網(wǎng)中的設(shè)備在道路上的汽車(chē)中運(yùn)行，而在醫(yī)療保健中則是人們的生命支持設(shè)備。對(duì)不可避免的事情進(jìn)行分類(lèi)是“保護(hù)和祈禱”投資的更好途徑。

最后，IoT 安全性比 IT 更深層次涉及內(nèi)存訪問(wèn)——黑客利用軟件缺陷在硬件級(jí)別控制設(shè)備或系統(tǒng)。它不同于IT設(shè)備安全。微軟和谷歌最近的一項(xiàng)研究表明，70% 的漏洞實(shí)際上是內(nèi)存安全問(wèn)題。此外，使用內(nèi)存安全語(yǔ)言可以完全避免 95 個(gè)錯(cuò)誤中的 53 個(gè)。考慮 Morello 的 CHERI 架構(gòu)擴(kuò)展，它通過(guò)指向計(jì)算機(jī)代碼中引用數(shù)據(jù)在內(nèi)存中存儲(chǔ)位置的變量來(lái)幫助緩解內(nèi)存安全漏洞。這限制了這些引用的使用方式、它們“接觸”的地址范圍以及它們的整體功能。

從市場(chǎng)角度來(lái)看，迄今為止業(yè)界最雄心勃勃的網(wǎng)絡(luò)安全項(xiàng)目是劍橋大學(xué)（英國(guó)）、谷歌和微軟之間的合作。去年，IT 治理發(fā)現(xiàn)了 1,243 起安全事件，涉及超過(guò) 5,126,930,507 條違規(guī)記錄——安全事件比上一年增加了 11%。醫(yī)院和醫(yī)療保健提供商是去年全球超過(guò) 3 億次針對(duì)設(shè)備的勒索軟件攻擊的主要站點(diǎn)。

鑒于迄今為止市場(chǎng)力量反應(yīng)平淡，監(jiān)管機(jī)構(gòu)正在盡其所能（盡管主要在歐洲和英國(guó)），幾乎所有標(biāo)準(zhǔn)都基于 EN-303-645——消費(fèi)者物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的全球適用標(biāo)準(zhǔn)。雖然相當(dāng)冗長(zhǎng)，但可以總結(jié)為：

最后一個(gè)，透明度，很可能是最重要的。當(dāng)我們進(jìn)入一個(gè)“萬(wàn)物互聯(lián)”的世界時(shí)，我們的冰箱在某個(gè)時(shí)候停止更新的想法應(yīng)該會(huì)嚇到我們。

美國(guó)國(guó)家安全與技術(shù)研究所 (NIST) 框架推薦的最佳實(shí)踐是：識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。雖然安全永遠(yuǎn)不會(huì)是絕對(duì)的，但迄今為止還沒(méi)有規(guī)定性標(biāo)準(zhǔn)。即使您想要標(biāo)準(zhǔn)（一個(gè)月后就會(huì)過(guò)時(shí)），這些標(biāo)準(zhǔn)也需要花費(fèi) 9000 英鎊，并包含 61 份不同的文件。沒(méi)有制造商愿意處理這個(gè)問(wèn)題，當(dāng)然也沒(méi)有用戶(hù)。

行業(yè)的回答似乎是說(shuō)我們正在招聘更多的網(wǎng)絡(luò)安全專(zhuān)業(yè)人員。問(wèn)題是我們不需要更多的網(wǎng)絡(luò)安全專(zhuān)家。我們需要更多的貿(mào)易和供應(yīng)商網(wǎng)絡(luò)安全能力。

什么是安全與隱私

互聯(lián)智能建筑的安全預(yù)防措施側(cè)重于安全與隱私。

雖然確保隱私的最佳方式首先是不要擁有數(shù)據(jù)，但我們知道數(shù)據(jù)無(wú)處不在。

根據(jù) Forrester Consulting 的 2019 年“北美企業(yè)物聯(lián)網(wǎng)安全狀況：不受管理和不安全”的研究，雖然 67% 的企業(yè)經(jīng)歷過(guò)物聯(lián)網(wǎng)安全事件，但只有 16% 的安全經(jīng)理表示他們對(duì)物聯(lián)網(wǎng)設(shè)備有足夠的了解在他們的環(huán)境中。還值得注意的是：

我們可以通過(guò)協(xié)作、系統(tǒng)和多學(xué)科的方法建立大多數(shù)安全措施。但安全不僅僅是一個(gè) IT 問(wèn)題——它是一個(gè)組織范圍的問(wèn)題，涉及所有利益相關(guān)者——運(yùn)營(yíng)商、租戶(hù)、訪客、股東和所有相關(guān)供應(yīng)商。

安全和隱私之間的相互聯(lián)系是顯而易見(jiàn)的。沒(méi)有安全，我們就沒(méi)有隱私。小的安全弱點(diǎn)可能成為主要的攻擊區(qū)域。請(qǐng)記住，96% 的攻擊并不復(fù)雜 - 簡(jiǎn)單的事情，例如員工在一張紙上記下密碼，任何經(jīng)過(guò)辦公桌的人都可以看到，或者在信息被收集和濫用的不安全網(wǎng)站上輸入密碼。

影子世界

遠(yuǎn)程工作已將數(shù)以百萬(wàn)計(jì)的個(gè)人“影子物聯(lián)網(wǎng)設(shè)備”帶入企業(yè)網(wǎng)絡(luò)，擴(kuò)大了攻擊面。員工不考慮安全預(yù)防措施，網(wǎng)絡(luò)管理員對(duì)影子設(shè)備缺乏可見(jiàn)性，這意味著安全漏洞可能來(lái)自：

企業(yè)通常會(huì)忽視現(xiàn)有的系統(tǒng)性物聯(lián)網(wǎng)從他們所在的建筑物中滲透。然后再考慮遠(yuǎn)程工作人員及其連接的網(wǎng)絡(luò)，這會(huì)變得非常復(fù)雜。

設(shè)施操作員通常沒(méi)有想到有關(guān)添加到網(wǎng)絡(luò)的設(shè)備（通常是在不知不覺(jué)中）：

通往物聯(lián)網(wǎng)安全的共同道路

改進(jìn)的物聯(lián)網(wǎng)安全性應(yīng)該成為行業(yè)信任標(biāo)志計(jì)劃。使用最低限度的可行政策規(guī)范開(kāi)放標(biāo)準(zhǔn)和制造商的透明度可以提供互操作性作為所有相關(guān)行業(yè)的規(guī)范。迄今為止，這還不是物聯(lián)網(wǎng)領(lǐng)域的事情，盡管美國(guó)以外的國(guó)家也在努力。

在 IoT 世界中，構(gòu)建系統(tǒng)需要安全的驅(qū)動(dòng)力和易用性作為其基礎(chǔ)（遺憾的是需要匹配的價(jià)格點(diǎn)）。我們現(xiàn)在從比以往更多的來(lái)源獲取數(shù)據(jù)。每個(gè)組織都必須分析我們?nèi)绾伪Ｗo(hù)它。沒(méi)有適合所有人的尺寸，但同時(shí)說(shuō)物聯(lián)網(wǎng)不會(huì)影響業(yè)務(wù)的東西對(duì)于那些只想保留它的人來(lái)說(shuō)是個(gè)謊言。物聯(lián)網(wǎng)就在這里，它會(huì)一直存在，而且它已經(jīng)在您的設(shè)施中……你現(xiàn)在不能真正阻止它。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。