談談樓宇管理系統 (BMS)

樓宇管理系統 (BMS) ，是對大型建筑物的攝像頭、電力、照明、空調、消防、電梯和其他設備的所有控制和監測系統的管理。傳統的 BMS 是獨立運行，各種設備分散管理，各自的控制裝置連接到單獨的專用網絡。隨著物聯網廣泛發展， BMS 經歷了快速的數字化轉型，轉向智能互聯系統，從而達到性能改進、能耗降低和效益提升。世界各地的智能樓宇數量急劇增加，智能樓宇中運行的連接設備數量，將從 2020 年的 17 億增長到 2025 年的近 30 億，復合年增長率為 10.8%。但是，與所有形式的數字化轉型一樣，將以前孤立的 BMS 連接到互聯網，可能給商業環境或企業內部網絡帶來額外風險，網絡犯罪分子便會有機可乘。事實如此，BMS 的網絡安全容易被忽略，其中許多系統沒有包含現代計算系統和設備中常見的安全功能。網絡犯罪分子認為 BMS 是網絡防御范圍內的潛在弱點，把它作為通往其他安全基礎設施的途徑，造成破壞和竊取數據謀利，利用 BMS 成為網絡犯罪分子的入侵手段。

網絡犯罪分子利用 BMS 通往攻擊目標

舉一個眾所周知的黑客攻擊事件，2013 年美國連鎖百貨公司 Target 的空調監控系統被網絡犯罪分子入侵，該系統是連接到內部計算機網絡的。網絡犯罪分子將空調系統當作闖入計算機網絡的網關，利用此安全弱點成功盜取了 4,000 萬張信用卡和借記卡信息。其實，全球有數萬個類似的空調系統存在漏洞，包括 2014 年俄羅斯索契冬奧會競技場安裝的空調系統。2017 年，全世界數以千萬計的關鍵系統和服務器被臭名昭著的 WannaCry 勒索軟件摧毀，該勒索軟件當時是利用了 Windows 7 中的一個漏洞，而 Windows 7 廣泛用于傳統 BMS 的操作系統。有些網絡犯罪分子破壞 BMS 系統不是為了竊取數據以獲取贖金，可能會試圖通過改變工廠或其他生產設施的環境參數的控制，來擾亂競爭對手的生產。甚至可以想象，在緊張時期，一個國家通過改變醫院環境參數的控制來破壞另一個國家的醫療系統……

為什么 BMS 比 IT 系統更容易受到網絡攻擊？

當今，BMS 比 IT 系統更容易受到網絡攻擊的原因，分別為以下四點：

傳統 BMS 的各種設備操作是相互隔離的。例如，控制空調系統與訪問管理系統是分開的。在現代的智能樓宇中，每個 BMS 設備功能都是連接到互聯網集成系統的一部分。這無疑是提升了被攻擊的潛在影響。

許多 BMS 依賴于舊版軟件，很少更新，存在安全漏洞。從而產生的影響是：網絡犯罪分子可以通過簡單的操作（例如重置密碼）相對容易地獲得訪問權限。

傳統 BMS 系統的設計是通過隔離來防護，然而技術人員容易產生自滿心理，他們經常共享密碼，或創建非常弱的密碼。

如今，特有的大型安裝的 BMS 非常復雜，結合了不同供應商的眾多設備。很難保持所有設備和軟件版本的最新完整列表，要確保每一個設備都安全且沒有漏洞就更加困難。此外，所有供應商經常要遠程訪問其產品進行維護管理，而每一個訪問渠道都能成為潛在攻擊的媒介。

面對這些挑戰，BMS 需要強大的網絡安全措施來保護其持續運行的關鍵功能，防止商業環境與企業內部大規模的 IT 系統受到任何損害。而 Claroty 網絡安全解決方案可以提高所有 BMS 的安全級別。

Claroty 如何保護 BMS ？

實現資產可視化。為了保護 BMS，首先要實現各種 BMS 資產可視化，了解網絡上連接的設備數量以及它們之間的通信路徑。Claroty 涵蓋了450多種專有協議，采用自動、被動、AppDB掃描技術、Edge技術與第三方集成的多種發現方法實現100%資產發現，可以自動收集和分析 BMS 內每個設備的詳細信息，包括品牌、型號、軟件版本等，并保持最新列表。

漏洞與風險管理。保護 BMS 的下一步是評估每一個設備所帶來的安全風險。Claroty 會根據設備品牌、型號和軟件版本將已知 CVE 準確匹配，確定修復漏洞優先級，并且基于漏洞帶來的網絡風險，自動對其進行評估與評分，從而實現更高效的優先級排序與修復。

提供安全遠程訪問。對 BMS 進行遠程訪問的渠道是網絡犯罪分子的入侵媒介。無論是樓宇管理者還是第三方設備供應商，Claroty SRA 都能讓獲得遠程訪問權限的用戶，通過模擬其本地工作站的直觀界面快速輕松地維護設備。從而消除遠程訪問的復雜性和管理障礙，滿足他們對監控、管理和定期更新的需求。

檢測威脅并響應。無論保護 BMS 的解決方案多么精密，但網絡犯罪分子也有可能完全攻破防御。所以，必須盡早發現任何違規行為，采取適當措施，將損失降至最低。Claroty 能夠持續監控整個 BMS 系統，檢測可疑活動，并向技術人員和管理人員發出的警報。

Claroty BMS 網絡安全解決方案旨在為樓宇所有者、設備供應商和安全團隊提供一個簡易有效的解決方案，不會額外增加工作量，使用戶能夠自信地對其樓宇管理系統 (BMS) 進行現代化改造，并跨系統、設施和工作空間安全地將其 BMS 與 XIoT 連接起來。

審核編輯 黃宇