随着物联网的广泛采用,当今的现实是物联网对商业建筑既是福也是祸。物联网连接为许多伟大的技术提供动力,例如楼宇自动化系统,使楼宇更加高效和用户友好。但大多数商业建筑中的数千个物联网端点也在网络安全链中造成了薄弱环节。有很多通过这些弱点进行黑客攻击的例子,而且大多数专家都认为,在改进之前它们可能会变得更糟。在迁移到云端时,企业会花费大量资金来保护他们的网络。BloombergIntelligence的一份报告估计,到2024年,网络安全支出每年将超过2000亿美元。然而,即使所有的钱都花在了网络安全上,许多企业用户仍然让他们的网络容易受到数十万个未受保护的物联网端点的攻击。对于物联网设备,安全性并不是大多数人的首要任务。根据StringifyCTODaveEvans的说法,最大的挑战是大多数设备没有太多的内置安全性,考虑到每秒有127个新的物联网设备连接到网络,这令人不安。专家预测,到2025年,全球将有750亿台联网的物联网设备。与笔记本电脑和其他类型的消费电子硬件不同,这些设备中的许多都没有提供定期安全更新的大公司(如微软和苹果)的支持。较小的公司使用较少的资源和通常较弱的安全协议来构建传感器,对物业经理构成越来越大的威胁。更糟糕的是,一些建筑经理并没有完全看到所有这些物联网端点。根据IoTForAll的一份报告,普通高管认为物联网设备仅占其网络的1%,而实际上,这些设备占所有端点的约43%。我们才刚刚开始物联网硬件的爆炸式增长。笔记本电脑的复合年增长率约为0.3%,而物联网的复合年增长率接近36%。如果建筑物对其网络一无所知,它们可能会造成巨大的损害,而且物联网连接仍然存在许多未知数。忽视公司办公室中种类繁多的物联网设备是很正常的,这给了黑客一个千载难逢的机会。“它的运作方式通常是灾难先行,”卡内基梅隆大学计算机科学教授杰森洪说。’”尽管越来越多的网络摄像头和更小的设备经常受到攻击,但世界上许多主要的技术制造商继续将适销性和易用性置于安全之上。以美国为例,最近在物联网安全方面最重要的举措是特朗普政府在2020年通过的两党物联网网络安全改进法案。该法案没有明确要求,但指示美国国家标准与技术研究院(NIST))这样做。从技术上讲,该法律仅涵盖使用美国政府资金购买的物联网设备,但私营公司可能必须遵守该标准。法律要求标准和政策至少每五年更新一次,但专家强调这可能只会影响新的物联网采购。这将暴露现有设备。无论如何,许多人认为这是一个好的开始。汽车零部件制造商NexteerAutomotive的首席信息安全官ArunDeSouza对媒体说:“今天的物联网就像一片狂野的西部,没人在乎。”“没有人考虑过。所以无论NIST推荐什么,都会是一个很大的改进。”识别网络端点对于希望加强物联网安全的企业来说至关重要,但这并不像听起来那么容易。如果允许员工访问网络,那么商业建筑中连接的设备可能比居住在其中的人还多。IT团队通常知道该设备存在,但对其内容知之甚少。即使他们在网络上看到了该设备,他们也可能不知道它在建筑物中的位置。总的来说,计算机科学教授Hong表示,很难管理和跟踪所有连接的设备。大多数这些被遗忘的设备的安全性非常薄弱。许多设备都安装了默认密码,并且与大多数软件不同,它们没有定期自动更新和补丁。一些建筑物和企业住户有专门的IT人员检查物联网网络安全,但不是全部。管理、监控和保护各种报告表明IoT设备具有易受攻击的固件。许多设备更新落后五到七年,这使它们很容易成为攻击目标。专家估计,多达一半的IoT设备具有默认凭据,因此不需要天才黑客就能猜出它们并渗透到网络中。这些设备的定期补丁、固件更新和凭证更改对企业网络安全至关重要,但有多少公司这样做是值得商榷的。去年,对超过100万个客户物联网设备的评估显示,26%的设备已“报废”,这意味着它们不再受支持。评估显示,18%的设备存在严重漏洞,允许黑客在不使用凭据的情况下完全控制。在大多数建筑物中,此类设备应从网络中移除,或至少分段到它们自己的网络中。分段曾经是物联网设备安全的最佳方法,但专家表示它不再是可用的最佳措施。通过分段,设备被隔离在单独的网络上,使不安全的设备远离任何更重要的设备。分段可以提供帮助,但它不是永久的解决方案。如果黑客使用不同类型的进入技术,不安全的设备即使已分区,仍然会构成威胁。这就是为什么当今最好的网络安全实践是先发制人的漏洞。这确保了物联网设备的补丁和固件是最新的,定期检查凭证并使安全数据库保持最新。自动化使许多物业管理IT团队能够控制和保护其网络上的物联网。尽管如此,即使有了自动化,也需要制定计划来管理、监控和保护物联网生态系统免受威胁。采取这些步骤来保护物联网是明智的,因为漏洞可能会产生重大的负面影响。有时,HVAC控制会发生违规行为,但最臭名昭著的案例是赌场的鱼缸被黑。安装在赌场大堂的高科技鱼缸具有物联网连接功能,可以远程监控温度和盐度等。赌场将浴缸配置为使用单独的VPN来隔离连接,但该设备偶尔会与建筑物中的其他连接设备通信。赌场的威胁系统注意到鱼缸设备正在导出大量数据,但为时已晚。当物业管理部门发现黑客攻击时,该设备已向芬兰发送了大约10GB的数据,这是数据泄露的一个例子。鱼缸黑客事件在网络安全界是一个传奇,我为这个故事采访过的每个消息来源都提到了它。这是物联网设备多么脆弱的一个明显例子。无论您如何看待,网络安全都是企业租户和物业经理日益关注的问题,而且最近越来越受到关注,这是理所当然的。多年来,网络安全对话在媒体上变得越来越普遍,甚至小企业也在加强安全措施。但是对于物联网,我们仍然主要在追赶。由于小公司急于将产品推向市场,前几代物联网设备并未将安全放在首位。物联网行业正在逐渐将重点转移到更好的安全性上,而且不会很快到来。美国政府新的物联网网络安全法应该有所帮助。如果赌场鱼缸系统可以被黑客入侵,那么商业建筑中的几乎所有东西都容易受到攻击。物联网设备为物业经理创造了奇迹,使他们能够使用智能建筑技术来显着改善他们的物业。但是,如果这些设备不安全并且仍然容易受到黑客攻击,那么该技术可能会以令人惊讶的方式适得其反。物联网是迄今为止商业建筑安全中最薄弱的环节,需要比以往更多的关注。
