隨著物聯(lián)網(wǎng)的廣泛應(yīng)用，如今現(xiàn)實(shí)情況是，物聯(lián)網(wǎng)對(duì)商業(yè)建筑來說是福也是禍。物聯(lián)網(wǎng)連接為許多偉大的技術(shù)提供支持，例如樓宇自動(dòng)化系統(tǒng)，這些技術(shù)可以實(shí)現(xiàn)更高效和用戶友好的建筑。但是，大多數(shù)商業(yè)建筑中的數(shù)千個(gè)物聯(lián)網(wǎng)端點(diǎn)也造成了網(wǎng)絡(luò)安全鏈中的薄弱環(huán)節(jié)。有很多通過這些薄弱環(huán)節(jié)進(jìn)行黑客攻擊的例子，大多數(shù)專家都認(rèn)為，在改進(jìn)之前，它們可能會(huì)變得更糟。

企業(yè)在遷移到云時(shí)花費(fèi)大量資金來保護(hù)他們的網(wǎng)絡(luò)。Bloomberg Intelligence 的一份報(bào)告估計(jì)，到 2024 年，網(wǎng)絡(luò)安全支出每年將超過 2000 億美元。然而，即使在網(wǎng)絡(luò)安全上花費(fèi)了這么多錢，許多企業(yè)用戶仍讓他們的網(wǎng)絡(luò)容易受到數(shù)十萬個(gè)未受保護(hù)的物聯(lián)網(wǎng)端點(diǎn)的攻擊。

對(duì)于物聯(lián)網(wǎng)設(shè)備，安全性并不是大多數(shù)人的首要任務(wù)。根據(jù) Stringify 首席技術(shù)官 Dave Evans的說法，最大的挑戰(zhàn)是大多數(shù)設(shè)備沒有太多的內(nèi)置安全性，這令人不安，因?yàn)槊棵胗?127 臺(tái)新的物聯(lián)網(wǎng)設(shè)備連接到網(wǎng)絡(luò)。專家預(yù)測(cè)，到 2025 年，全球?qū)⒂? 750 億臺(tái)聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備。與筆記本電腦和其他種類的消費(fèi)電子硬件不同，這些設(shè)備中的許多設(shè)備背后都沒有提供定期安全更新的大公司(如微軟和蘋果)。較小的公司使用更少的資源和通常較弱的安全協(xié)議來構(gòu)建傳感器，這對(duì)物業(yè)經(jīng)理構(gòu)成了越來越大的威脅。

更糟糕的是，一些建筑經(jīng)理并沒有完全看到所有這些物聯(lián)網(wǎng)端點(diǎn)。根據(jù) IoT For All 的一份報(bào)告，一般高管認(rèn)為物聯(lián)網(wǎng)設(shè)備僅占其網(wǎng)絡(luò)的 1%，而事實(shí)上，這些設(shè)備約占所有端點(diǎn)的 43% 。而我們只是在物聯(lián)網(wǎng)硬件爆炸式增長(zhǎng)的開始。筆記本電腦的年復(fù)合增長(zhǎng)率約為 0.3%，而物聯(lián)網(wǎng)的年增長(zhǎng)率接近 36%。如果建筑物對(duì)其網(wǎng)絡(luò)一無所知會(huì)對(duì)其造成巨大傷害，而且物聯(lián)網(wǎng)連接還有很多未知數(shù)。忽略企業(yè)辦公室中種類繁多的物聯(lián)網(wǎng)設(shè)備太正常了，因此給了黑客絕佳的機(jī)會(huì)。

已知的未知數(shù)

卡內(nèi)基梅隆大學(xué)計(jì)算機(jī)科學(xué)系教授 Jason Hong 說：“它的工作方式通常是災(zāi)難首先發(fā)生?！? “我們將看到更多的物聯(lián)網(wǎng)攻擊，可能還有一些真正的噩夢(mèng)場(chǎng)景。”盡管經(jīng)常有更多的網(wǎng)絡(luò)攝像頭和較小的設(shè)備遭到破壞，但全球許多主要科技制造商仍然優(yōu)先考慮適銷性和易用性，而不是安全性。

以美國(guó)為例，物聯(lián)網(wǎng)安全最近最重要的動(dòng)作是特朗普政府在 2020 年通過了兩黨的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案。法律沒有具體規(guī)定要求，但指示美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 這樣做。從技術(shù)上講，該法律僅涵蓋使用美國(guó)政府資金購買的物聯(lián)網(wǎng)設(shè)備，但私營(yíng)企業(yè)可能必須遵守該標(biāo)準(zhǔn)。該法律要求至少每五年更新一次標(biāo)準(zhǔn)和政策，但專家強(qiáng)調(diào)這可能只會(huì)影響新的物聯(lián)網(wǎng)購買。這將使現(xiàn)有設(shè)備暴露在外。不管怎樣，很多人認(rèn)為這是一個(gè)好的開始?！敖裉斓奈锫?lián)網(wǎng)是一個(gè)狂野的西部，沒有人關(guān)心，”汽車零部件制造商耐世特汽車公司的首席信息安全官 Arun DeSouza對(duì)媒體表示?！皼]有人考慮過。因此，無論 NIST 推薦什么，都將是一個(gè)很大的改進(jìn)?！?/p>

識(shí)別網(wǎng)絡(luò)端點(diǎn)對(duì)于希望加強(qiáng)物聯(lián)網(wǎng)安全的企業(yè)來說至關(guān)重要，但這并不像聽起來那么容易。如果允許員工訪問網(wǎng)絡(luò)，那么商業(yè)建筑中的連接設(shè)備可能會(huì)比占用它的人多。IT 團(tuán)隊(duì)通常知道設(shè)備存在，但對(duì)其內(nèi)容知之甚少。即使他們?cè)诰W(wǎng)絡(luò)上看到該設(shè)備，他們也可能不知道它在建筑物中的什么位置?？偟膩碚f，計(jì)算機(jī)科學(xué)教授 Hong 表示，很難管理和跟蹤所有聯(lián)網(wǎng)設(shè)備。

大多數(shù)這些被遺忘的設(shè)備的安全性都非常薄弱。許多設(shè)備使用默認(rèn)密碼安裝，并且與大多數(shù)軟件不同，它們沒有定期自動(dòng)更新和補(bǔ)丁。一些建筑物和企業(yè)住戶有專門的 IT 人員來檢查物聯(lián)網(wǎng)網(wǎng)絡(luò)安全，但不是全部。

管理、監(jiān)控和保護(hù)

各種報(bào)告表明，物聯(lián)網(wǎng)設(shè)備具有易受攻擊的固件。許多設(shè)備在更新方面落后了五到七年，這使得它們很容易成為目標(biāo)。專家估計(jì)，多達(dá)一半的物聯(lián)網(wǎng)設(shè)備具有默認(rèn)憑據(jù)，因此無需天才黑客即可猜測(cè)憑據(jù)并滲透到網(wǎng)絡(luò)中。這些設(shè)備的定期修補(bǔ)、固件更新和憑證更改對(duì)于企業(yè)網(wǎng)絡(luò)安全至關(guān)重要，但有多少公司這樣做是有爭(zhēng)議的。

去年，一項(xiàng)對(duì)超過 100 萬臺(tái)客戶物聯(lián)網(wǎng)設(shè)備的評(píng)估顯示，26% 的設(shè)備已“報(bào)廢”，這意味著它們不再受支持。評(píng)估顯示，18% 的設(shè)備存在嚴(yán)重漏洞，允許黑客在不使用憑據(jù)的情況下完全控制。

在大多數(shù)建筑物中，應(yīng)將此類設(shè)備從網(wǎng)絡(luò)中移除，或者至少將其分段到它們自己的網(wǎng)絡(luò)中。分段曾經(jīng)是物聯(lián)網(wǎng)設(shè)備安全的最佳方法，但專家表示它不再是可用的最佳措施。通過分段，設(shè)備被隔離在單獨(dú)的網(wǎng)絡(luò)上，使不安全的設(shè)備遠(yuǎn)離任何更重要的設(shè)備。分段可以提供幫助，但這不是永久的解決方案。如果黑客使用不同類型的進(jìn)入技術(shù)，不安全的設(shè)備即使被分割，仍然構(gòu)成威脅。

這就是為什么當(dāng)今最好的網(wǎng)絡(luò)安全實(shí)踐是為設(shè)備提前預(yù)防漏洞，這樣可確保物聯(lián)網(wǎng)設(shè)備的補(bǔ)丁和固件是最新的，定期檢查憑證并保持最新安全數(shù)據(jù)庫。自動(dòng)化使許多物業(yè)管理 IT 團(tuán)隊(duì)能夠控制和保護(hù)其網(wǎng)絡(luò)上的物聯(lián)網(wǎng)。盡管如此，即使實(shí)現(xiàn)了自動(dòng)化，也需要制定管理、監(jiān)控和保護(hù)物聯(lián)網(wǎng)生態(tài)系統(tǒng)免受威脅的計(jì)劃。

案例

采取這些措施來確保物聯(lián)網(wǎng)安全是明智的，因?yàn)檫`規(guī)可能會(huì)產(chǎn)生重大的負(fù)面影響。有時(shí)違規(guī)是通過 HVAC 控制發(fā)生的，但最臭名昭著的案例是一家賭場(chǎng)的魚缸被黑客入侵。安裝在賭場(chǎng)大廳的高科技魚缸具有物聯(lián)網(wǎng)連接，可以遠(yuǎn)程監(jiān)控溫度和鹽度等。賭場(chǎng)將浴缸配置為使用單獨(dú)的 VPN 來隔離連接，但該設(shè)備偶爾會(huì)與建筑物中的其他連接設(shè)備進(jìn)行通信。

賭場(chǎng)的威脅系統(tǒng)注意到魚缸設(shè)備正在導(dǎo)出大量數(shù)據(jù)，但為時(shí)已晚。到物業(yè)管理部門發(fā)現(xiàn)黑客攻擊時(shí)，設(shè)備已經(jīng)向芬蘭發(fā)送了大約 10 GB 的數(shù)據(jù)，這是泄露的一個(gè)例子。魚缸黑客事件在網(wǎng)絡(luò)安全界堪稱傳奇，我為這個(gè)故事采訪過的所有消息來源都提到了它。這是物聯(lián)網(wǎng)設(shè)備易受攻擊的一個(gè)明顯例子。

無論您怎么看，網(wǎng)絡(luò)安全都是企業(yè)租戶和物業(yè)經(jīng)理日益關(guān)注的問題，并且最近獲得了更多關(guān)注，這是理所當(dāng)然的。多年來，網(wǎng)絡(luò)安全對(duì)話在媒體中變得越來越普遍，甚至小型企業(yè)也在加強(qiáng)安全性。但是對(duì)于物聯(lián)網(wǎng)，我們?nèi)匀恢饕窃谧汾s。前幾代物聯(lián)網(wǎng)設(shè)備并未將安全放在首位，因?yàn)橐恍┬」炯庇趯a(chǎn)品推向市場(chǎng)。

物聯(lián)網(wǎng)行業(yè)正在逐漸將重點(diǎn)轉(zhuǎn)移到更好的安全性上，而且還不能很快到來。美國(guó)政府的新物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法應(yīng)該會(huì)有所幫助。如果賭場(chǎng)魚缸系統(tǒng)可能被黑客入侵，那么商業(yè)建筑中幾乎任何東西都容易受到攻擊。物聯(lián)網(wǎng)設(shè)備為物業(yè)經(jīng)理創(chuàng)造了奇跡，使他們能夠使用智能建筑技術(shù)來極大地改善他們的資產(chǎn)。但是，如果這些設(shè)備不安全并且仍然容易受到黑客攻擊，那么該技術(shù)可能會(huì)以驚人的方式適得其反。物聯(lián)網(wǎng)是迄今為止商業(yè)建筑安全中最薄弱的環(huán)節(jié)，比以往任何時(shí)候都需要更多的關(guān)注。