|
BMS 面臨的主要網絡安全挑戰
1. BMS 通常是為了工程效率而設計的,沒有足夠的安全性
大多數 BMS 本質上是不安全的,會產生網絡和運營風險。 主要關注點和暴露領域包括:
物理安全問題:
1���、對BMS控制臺的物理訪問控制不佳����;缺乏足夠的基于角色的訪問控制和用戶監察���。
2�����、BACnet是一種主要協議���。BMS通過該協議實現對所有樓宇系統的訪問和控制����。該協議是明文且未經身份驗證的�����,會增加 物理安全風險和與受損 相關的其他風險���。
重置密碼漏洞:
1�����、BMS一般包含不經常修補的舊技術,因此很容易出現重置密碼漏洞。
2、此類漏洞可以使未經身份驗證的用戶輕松檢索和重置設備密碼��,從而導致BMS底層系統受損���。
網絡健康度差:
1���、將運營效率置于網絡安全之上的普遍做法����,導致許多BMS技術人員使用 弱、默認或共享憑據。
2����、BMS技術人員通常擁有 管理憑據�,這種做法會顯 著增加最關鍵的系統和設備因憑據盜竊和權限升級攻擊而受到損害的風險����。
邏輯連接暴露:
1�����、BMS 經常連接到 IT 網絡和互聯網����,以實現基于云的分析����、遠程監察和維護等。
2��、這種連通性與BMS固有的不安全性相結合�,擴大了攻擊面,使BMS易于訪問��,并容易受到各種有針對性和機會性的外部威 脅�。
2. 智能樓宇的興起正在加劇 BMS 的安全弱點
智能樓宇正在迅速改變現狀。 在過去��,樓宇僅獨立包含暖通空調����、照明、電力�����、電梯和安全系統等�����。 但現在���,智能樓宇技術 使越來越多的樓宇能夠通過一個中央控制臺( 即,樓宇管理系統 BMS )連接���、集成和控制所有這些系統。
這種方法的普及得益于其好處,從能源和維護的效率到舒適性和安全性的提高���,再到節省成本�。然而�,這些好處往往掩 蓋了真正的風險。通過將以前孤立的�、在許多情況下本質上不安全的樓宇系統融合到與 IT 共享的異構網絡中,智能樓宇 技術可以進一步擴大攻擊面�����,并放大 BMS 現有的安全弱點。
3. BMS 受損產生的潛在影響很嚴重
無論攻擊類型或媒介如何�����,BMS 受損產生的影響可能是非常嚴重的����。 一些常見的情況包括:IT 網絡攻擊的媒介、附帶損害�����、勒索軟件Siegeware����、內部威脅。
Claroty 如何應對 BMS 的網絡安全挑戰��?
Claroty 通過實施以下控制措施來幫助客戶克服 BMS 的網絡安全挑戰:
1�����、發現:BMS的全部內容、與其連接的所有內容、依賴于它的所有內容
自動發現和編目BMS環境的所有組件����,包括所有連接的系統和設備�����、相關流程、連接的用戶會話。
創建集中式��、易于管理���、始終保持最新的BMS環境庫存���。
對正常情況的明確洞察��。
支持有效BMS安全計劃 的所有后續和基本方面所需的廣泛可視化����。
2��、保護: 針對漏洞�����、BMS技術人員的危險行為、其他安全弱點
自動識別BMS風險因素: 未修補的漏洞、不安全的協議、錯誤配置�、員工網絡健康狀況不佳���、使用不適當的遠程訪問工具等�����。
持續進行風險和漏洞評估����,并提供優先級和緩解指導。
使用基于角色的訪問控制���、實時監察和緊急斷開機制,確保遠程訪問安全����。
基于設備通信實現和優化BMS網絡分段的能力�����。
3���、檢測:可能影響BMS和連接系統的 最早威脅指標
持續監察整個BMS環境�����,獲取已知和未知威脅的最早指標。
所有警報的可操作上下文,包括完整的根本原因分析和風險評估。
能夠快速檢測����,并斷開遠程技術人員和供應商的風險性會話����。
由Claroty著名研究團隊支持的彈性威脅檢測模 型�,確保最新的簽名和修復指南始終可訪問,并內置于BMS防御中。
4��、優化:通過現有工具��、人員和流程�, 從BMS安全性到IT安全性和GRC計劃
龐大的集成生態系統和強大的API��,能夠通過現有和熟悉的工具、基礎設 施�、工作流程實現和維護有效的BMS安全性��。
靈活、可擴展的架構����,具有云和本地選項����,所有這些都支持多站點部署和各種BMS規范�����。
針對風險態勢����、健康度和整體績效的可行分析��,適合執行人員使用�,并揭示BMS安全性對企業范圍 的影響��。
Claroty 平臺在 BMS 客戶中的常見用例
1��、為 BMS 設備的外部供應商提供安全、無摩擦���、高度控制的方法,通過該方法遠程訪問設備以進行維護�。
2�����、使 SOC 分析師能夠通過現有的 SIEM 和 SOAR 工具,在可操作的上下文中無縫���、自信地接收和響應 BMS 警報����。
3、監察數據中心HVAC系統的過程值����,以確�����?焖贆z測可能對服務器有害的任何溫度變化。
4���、識別樓宇自動化設備中的重要 漏洞,并實施基于零信任的控制以補償風險,直到下一個維護窗口可以安全地進行修補為止。
5、使用自定義警報規則快速查明電力系統���、所有連接設備中的維護問題和 EOL 指標���。
|
