電信行業協會發布智能建筑網絡安全評估標準新版SPIRE 2.0
電信行業協會(TIA)和UL解決方案發布了一份白皮書,概述了影響當今智能建筑的網絡安全市場變化、趨勢以及全球法規和舉措。它還概述了新的SPIRE網絡安全評估標準2.0版如何解決這些影響,并提供了改進的以建筑為中心和簡化的方法,以促進更有效和高效的網絡安全評估過程。
白皮書題為“SPIRE 2.0網絡安全評估標準:跟上不斷變化的網絡安全格局”,確定,雖然對IT系統的攻擊主要針對敏感數據,并可能導致重大財務損失和聲譽受損,但對OT(運營技術)建筑系統的網絡攻擊可能會產生物理后果,如建筑物關閉、停電、泄漏甚至爆炸。它們甚至會影響建筑物居住者的安全和生活,這對建筑物所有者和運營商來說是一個巨大的責任。
該文件指出:“雖然對OT系統的威脅主要是2020年前的理論,但隨之而來的攻擊每年翻了一番多。”“當設施被視為關鍵基礎設施部門的一部分時,攻擊智能建筑中的OT系統可能會產生更有害的后果,該部門的資產、系統和網絡對國家安全、經濟或公共衛生和安全至關重要。”
白皮書還觀察到,部署在智能建筑中的越來越多的互聯物聯網(物聯網)設備和傳感器可以實現從能源和資源計量、空間優化和預測性維護到環境監測和控制、資產跟蹤以及生命和財產安全的一切。
“這些設備創造了更多進入OT和IT系統的切入點,擴大了網絡攻擊表面。物聯網設備通常針對計算能力有限的特定功能進行定制,這在技術上和財務上可能會阻止納入適當的安全措施。”白皮書說。“它們還包括來自龐大的全球供應鏈中各種供應商的許多軟件和硬件組件,這些軟件嚴重依賴第三方開源軟件,在編寫拙劣或管理不足的代碼中存在更大的風險。”
由于這些漏洞,網絡犯罪分子越來越多地將物聯網設備視為可以訪問和利用的低垂果實。在過去的五年里,物聯網相關代碼庫中的高風險漏洞增長了130%,僅2023年前兩個月,針對物聯網設備的攻擊就比2022年增加了41%。隨著更多的物聯網設備和傳感器的到來,各種基于云的解決方案利用開源代碼來實現跨不同工作負載的集成。開源軟件漏洞、配置錯誤、大型數據集存儲和缺乏訪問限制正在引發更多基于云的安全威脅。
該文件還詳細說明,云開發案例增長了95%,2022年,近40%的企業在云環境中經歷了數據泄露。它補充說:“雖然云提供商正在使用人工智能(AI)和機器學習(ML)等新興技術來幫助識別異常,以檢測惡意活動和軟件相關的弱點,但網絡犯罪分子現在也在利用這些技術來掃描漏洞,自動化惡意軟件,破解密碼,分析被盜數據,并制定用于社會工程攻擊的內容。”
白皮書還提出,不斷增加的網絡攻擊和不斷擴大的攻擊范圍催生了基于各種國際網絡安全標準和框架的幾項政府、公司和行業舉措。“其中一些舉措呼吁需要遵守最新的國家標準和技術研究所(NIST)標準,包括NIST網絡安全框架(CSF)、NIST 800-82工業控制系統(ICS)安全指南以及NIST 800-53信息系統和組織安全和隱私控制。”
它補充說,其他人可能要求遵守國際標準化組織和國際電工委員會(ISO/IEC)、UL解決方案、TIA或其他機構的標準。
白皮書還詳細說明,在環境、社會和治理(ESG)框架下,網絡安全正在成為公司治理的關鍵組成部分,需要與采購、風險評估、事件管理、響應和災難恢復相關的監督和報告政策和程序。“遵守日益增長的立法和治理要求會給智能建筑業主和運營商帶來更大的壓力。與此同時,解決網絡安全的行業標準正在擴大其范圍,以包括新興技術、供應鏈風險管理和治理的覆蓋范圍,”它補充說。
根據不斷變化的網絡安全格局以及多個SPIRE 1.5版本驗證的智能建筑評估和項目參與者專業知識的反饋,TIA和UL解決方案顯著重新設計了SPIRE網絡安全智能建筑評估標準。SPIRE網絡安全評估標準2.0版提供了一種改進的以建筑為中心的方法,以更密切地解決與建筑環境相關的要求和性能,包括擴大OT暴露和OT/IT融合帶來的漏洞。
更新的標準還從全球角度考慮了日益增長的治理要求,并支持國際標準和框架,同時增加了澄清和背景,以簡化評估過程。
SPIRE 2.0版網絡安全評估標準結構為問答集,按類別分組為以下部分,提供了一個與技術和標準無關的高級而直接的框架。這些包括涵蓋政策、程序和監督的治理,以確保有效的智能建筑網絡安全;包括識別和保護關鍵資產的資產,包括數據、網絡、設備、硬件和軟件;由網絡安全基礎設施、網絡、系統和技術的設計和配置組成的架構;以及由用戶和系統的訪問控制管理組成的訪問,包括身份驗證、權限、帳戶管理和授權訪問。
SPIRE網絡安全評估標準2.0版通過記錄角色、政策和程序來考慮治理,包括關鍵系統的風險評估、變更控制、培訓和事件響應。該標準通過考慮與IT和OT環境中智能建筑系統相關的用戶、資產和政策來解決IT和OT角色之間差距帶來的漏洞。
SPIRE網絡安全評估標準2.0版涉及所有建筑資產的網絡安全,包括設備和系統的采購、管理和維護。這包括供應鏈安全考慮因素,以確保智能建筑免受外部供應商的網絡安全風險,例如物聯網設備、系統和平臺中使用的開源軟件。
白皮書補充說,通過解決適當的固件更新、過時監控、備份以及遵守標準、立法和公司要求的需求,來應對IT/OT融合帶來的漏洞的標準。這些標準不僅針對那些部署和運營智能建筑系統和設備的人,還針對提供這些系統的供應商。
SPIRE網絡安全評估標準2.0版通過加密、定期漏洞掃描以及遵守公認的行業標準和最佳實踐來解決建筑系統、網絡和數據的配置、文檔和保護。這些標準明確解決了各種IT和OT功能的分割,以防止對其中一個的攻擊影響另一個。SPIRE網絡安全評估標準2.0版解決了對建筑系統和設備的安全訪問,確保只有需要訪問的個人才能通過用戶管理政策和程序獲得授權,如多因素身份驗證、有關遠程訪問的政策以及記錄哪些資產、時間和誰訪問的詳盡文檔。
