专家说,公司应该仔细审查第三方工程师监控建筑控制系统的网络接入情况,以避免类似目标的攻击。
楼宇自动化和控制系统安全相关的供应商是在聚光灯下本周的安全博客KrebsonSecurity报道,凭证偷法齐奥机械服务,总部设在夏普斯堡,佩恩,被黑客使用了去年年底4000万借记卡和信用卡号码从目标的电子收银机,叫做销售点(POS)系统。
该博客最初将Fazio确定为制冷和采暖、通风和空调(HVAC)系统的供应商。该报告在安全领域引发了一场讨论,即这样一个分包商的凭证如何能够提供法齐奥不需要的进入零售商网络的权限。
据KrebsonSecurity报道,法齐奥周四发表声明称,该公司不会监控目标公司的暖通空调系统。取而代之的是,它为零售商远程处理“电子账单、合同提交和项目管理”。
根据其工作,Fazio可以访问目标业务应用程序,这些应用程序可以绑定到POS系统。然而,在Fazio澄清之前对专家的采访发现,远程监控和维护HVAC和其他建筑系统的分包商经常过多地访问公司网络。
数据安全公司Tripwire的首席技术官Dwayne Melancon表示:“通常情况下,一些新的业务服务需要网络接入,因此,如果时间紧迫,可能会将其放在现有网络上,而不考虑所有的安全影响。”
大多数建筑系统,比如HVAC,都是联网的,所以维修公司可以远程监控。研究人员发现,使用Shodan搜索引擎搜索互联网设备,可以发现数千个登录凭证薄弱的系统,从建筑自动化到火葬场。
漏洞管理公司Qualys的威胁情报总监比利•里奥斯(Billy Rios)利用本土技术,在互联网上发现了Target位于明尼阿波利斯的总部的一个建筑控制系统。
当系统连接到一个内部网络时,里奥斯无法在不入侵系统的情况下确定这是否是一个公司网络,这将是非法的。
“我们知道我们可能可以利用它,但我们不知道它的目的是什么,”他说。“它可以控制能源,它可以控制HVAC,它可以控制照明,或者它可以用于出入控制。”我们不确定。”
如果此类系统的Web接口在企业网络上,则需要采取一些重要的安全措施。
所有来往于服务器的数据流量都应该被密切监视。为了完成他们的工作,建筑工程师只需要访问几个系统。监控软件应该立即标记到任何其他地方的流量。
里奥斯说:“人力资源部门的工作站不应该和你的制冷设备对话。”“看到公司网络内嵌设备的流量峰值也表明出了问题。”
此外,公司应该知道分包商在访问系统时使用的IP地址。无法识别的地址应该被自动阻止。
更好的密码管理也是防止网络攻击的一种方法。通常,分包商的员工将共享相同的凭据来访问客户的系统。即使有员工离开公司,这些证书也很少会改变。
Melancon说:“这就是为什么严格限制这些账户和系统的访问非常重要的原因,这样你就不能使用技术人员登录在网络上做其他事情。”
每个公司都应该彻底检查他们的网络,以确定每个建筑系统。“了解这些系统的位置是第一步,”里奥斯说。
发现之后应该对Internet上的那些系统进行安全性评估。
这篇文章,“建筑控制系统可以成为类似目标攻击的途径”最初是由方案 。