網絡安全已成為商業建筑最薄弱的環節

      但是，大多數商業建筑中的數千個物聯網端點也造成了網絡安全鏈中的薄弱環節。有很多通過這些薄弱環節進行黑客攻擊的例子，大多數專家都認為，在改進之前，它們可能會變得更糟。

　　企業在遷移到云時花費大量資金來保護他們的網絡。Bloomberg Intelligence 的一份報告估計，到 2024 年，網絡安全支出每年將超過 2000 億美元。然而，即使在網絡安全上花費了這么多錢，許多企業用戶仍讓他們的網絡容易受到數十萬個未受保護的物聯網端點的攻擊。

　　對于物聯網設備，安全性并不是大多數人的首要任務。根據 Stringify 首席技術官 Dave Evans的說法，最大的挑戰是大多數設備沒有太多的內置安全性，這令人不安，因為每秒有 127 臺新的物聯網設備連接到網絡。專家預測，到 2025 年，全球將有 750 億臺聯網的物聯網設備。與筆記本電腦和其他種類的消費電子硬件不同，這些設備中的許多設備背后都沒有提供定期安全更新的大公司(如微軟和蘋果)。較小的公司使用更少的資源和通常較弱的安全協議來構建傳感器，這對物業經理構成了越來越大的威脅。

　　更糟糕的是，一些建筑經理并沒有完全看到所有這些物聯網端點。根據 IoT For All 的一份報告，一般高管認為物聯網設備僅占其網絡的 1%，而事實上，這些設備約占所有端點的 43% 。而我們只是在物聯網硬件爆炸式增長的開始。筆記本電腦的年復合增長率約為 0.3%，而物聯網的年增長率接近 36%。如果建筑物對其網絡一無所知會對其造成巨大傷害，而且物聯網連接還有很多未知數。忽略企業辦公室中種類繁多的物聯網設備太正常了，因此給了黑客絕佳的機會。

　　已知的未知數

　　卡內基梅隆大學計算機科學系教授 Jason Hong 說：“它的工作方式通常是災難首先發生。” “我們將看到更多的物聯網攻擊，可能還有一些真正的噩夢場景。”盡管經常有更多的網絡攝像頭和較小的設備遭到破壞，但全球許多主要科技制造商仍然優先考慮適銷性和易用性，而不是安全性。

　　以美國為例，物聯網安全最近最重要的動作是特朗普政府在 2020 年通過了兩黨的物聯網網絡安全改進法案。法律沒有具體規定要求，但指示美國國家標準與技術研究院 (NIST) 這樣做。從技術上講，該法律僅涵蓋使用美國政府資金購買的物聯網設備，但私營企業可能必須遵守該標準。該法律要求至少每五年更新一次標準和政策，但專家強調這可能只會影響新的物聯網購買。這將使現有設備暴露在外。不管怎樣，很多人認為這是一個好的開始。“今天的物聯網是一個狂野的西部，沒有人關心，”汽車零部件制造商耐世特汽車公司的首席信息安全官 Arun DeSouza對媒體表示。“沒有人考慮過。因此，無論 NIST 推薦什么，都將是一個很大的改進。”

　　識別網絡端點對于希望加強物聯網安全的企業來說至關重要，但這并不像聽起來那么容易。如果允許員工訪問網絡，那么商業建筑中的連接設備可能會比占用它的人多。IT 團隊通常知道設備存在，但對其內容知之甚少。即使他們在網絡上看到該設備，他們也可能不知道它在建筑物中的什么位置。總的來說，計算機科學教授 Hong 表示，很難管理和跟蹤所有聯網設備。

　　大多數這些被遺忘的設備的安全性都非常薄弱。許多設備使用默認密碼安裝，并且與大多數軟件不同，它們沒有定期自動更新和補丁。一些建筑物和企業住戶有專門的 IT 人員來檢查物聯網網絡安全，但不是全部。

　　管理、監控和保護

　　各種報告表明，物聯網設備具有易受攻擊的固件。許多設備在更新方面落后了五到七年，這使得它們很容易成為目標。專家估計，多達一半的物聯網設備具有默認憑據，因此無需天才黑客即可猜測憑據并滲透到網絡中。這些設備的定期修補、固件更新和憑證更改對于企業網絡安全至關重要，但有多少公司這樣做是有爭議的。

　　去年，一項對超過 100 萬臺客戶物聯網設備的評估顯示，26% 的設備已“報廢”，這意味著它們不再受支持。評估顯示，18% 的設備存在嚴重漏洞，允許黑客在不使用憑據的情況下完全控制。

　　在大多數建筑物中，應將此類設備從網絡中移除，或者至少將其分段到它們自己的網絡中。分段曾經是物聯網設備安全的最佳方法，但專家表示它不再是可用的最佳措施。通過分段，設備被隔離在單獨的網絡上，使不安全的設備遠離任何更重要的設備。分段可以提供幫助，但這不是永久的解決方案。如果黑客使用不同類型的進入技術，不安全的設備即使被分割，仍然構成威脅。

　　這就是為什么當今最好的網絡安全實踐是為設備提前預防漏洞，這樣可確保物聯網設備的補丁和固件是最新的，定期檢查憑證并保持最新安全數據庫。自動化使許多物業管理 IT 團隊能夠控制和保護其網絡上的物聯網。盡管如此，即使實現了自動化，也需要制定管理、監控和保護物聯網生態系統免受威脅的計劃。

　　案例

　　采取這些措施來確保物聯網安全是明智的，因為違規可能會產生重大的負面影響。有時違規是通過 HVAC 控制發生的，但最臭名昭著的案例是一家賭場的魚缸被黑客入侵。安裝在賭場大廳的高科技魚缸具有物聯網連接，可以遠程監控溫度和鹽度等。賭場將浴缸配置為使用單獨的 VPN 來隔離連接，但該設備偶爾會與建筑物中的其他連接設備進行通信。

　　賭場的威脅系統注意到魚缸設備正在導出大量數據，但為時已晚。到物業管理部門發現黑客攻擊時，設備已經向芬蘭發送了大約 10 GB 的數據，這是泄露的一個例子。魚缸黑客事件在網絡安全界堪稱傳奇，我為這個故事采訪過的所有消息來源都提到了它。這是物聯網設備易受攻擊的一個明顯例子。

　　無論您怎么看，網絡安全都是企業租戶和物業經理日益關注的問題，并且最近獲得了更多關注，這是理所當然的。多年來，網絡安全對話在媒體中變得越來越普遍，甚至小型企業也在加強安全性。但是對于物聯網，我們仍然主要是在追趕。前幾代物聯網設備并未將安全放在首位，因為一些小公司急于將產品推向市場。

　　物聯網行業正在逐漸將重點轉移到更好的安全性上，而且還不能很快到來。美國政府的新物聯網網絡安全法應該會有所幫助。如果賭場魚缸系統可能被黑客入侵，那么商業建筑中幾乎任何東西都容易受到攻擊。物聯網設備為物業經理創造了奇跡，使他們能夠使用智能建筑技術來極大地改善他們的資產。但是，如果這些設備不安全并且仍然容易受到黑客攻擊，那么該技術可能會以驚人的方式適得其反。物聯網是迄今為止商業建筑安全中最薄弱的環節，比以往任何時候都需要更多的關注。