电信行业协会发布智能建筑网络安全评估标准新版SPIRE 2.0
电信行业协会(TIA)和UL解决方案发布了一份白皮书,概述了影响当今智能建筑的网络安全市场变化、趋势以及全球法规和举措。它还概述了新的SPIRE网络安全评估标准2.0版如何解决这些影响,并提供了改进的以建筑为中心和简化的方法,以促进更有效和高效的网络安全评估过程。
白皮书题为“SPIRE 2.0网络安全评估标准:跟上不断变化的网络安全格局”,确定,虽然对IT系统的攻击主要针对敏感数据,并可能导致重大财务损失和声誉受损,但对OT(运营技术)建筑系统的网络攻击可能会产生物理后果,如建筑物关闭、停电、泄漏甚至爆炸。它们甚至会影响建筑物居住者的安全和生活,这对建筑物所有者和运营商来说是一个巨大的责任。
该文件指出:“虽然对OT系统的威胁主要是2020年前的理论,但随之而来的攻击每年翻了一番多。”“当设施被视为关键基础设施部门的一部分时,攻击智能建筑中的OT系统可能会产生更有害的后果,该部门的资产、系统和网络对国家安全、经济或公共卫生和安全至关重要。”
白皮书还观察到,部署在智能建筑中的越来越多的互联物联网(物联网)设备和传感器可以实现从能源和资源计量、空间优化和预测性维护到环境监测和控制、资产跟踪以及生命和财产安全的一切。
“这些设备创造了更多进入OT和IT系统的切入点,扩大了网络攻击表面。物联网设备通常针对计算能力有限的特定功能进行定制,这在技术上和财务上可能会阻止纳入适当的安全措施。”白皮书说。“它们还包括来自庞大的全球供应链中各种供应商的许多软件和硬件组件,这些软件严重依赖第三方开源软件,在编写拙劣或管理不足的代码中存在更大的风险。”
由于这些漏洞,网络犯罪分子越来越多地将物联网设备视为可以访问和利用的低垂果实。在过去的五年里,物联网相关代码库中的高风险漏洞增长了130%,仅2023年前两个月,针对物联网设备的攻击就比2022年增加了41%。随着更多的物联网设备和传感器的到来,各种基于云的解决方案利用开源代码来实现跨不同工作负载的集成。开源软件漏洞、配置错误、大型数据集存储和缺乏访问限制正在引发更多基于云的安全威胁。
该文件还详细说明,云开发案例增长了95%,2022年,近40%的企业在云环境中经历了数据泄露。它补充说:“虽然云提供商正在使用人工智能(AI)和机器学习(ML)等新兴技术来帮助识别异常,以检测恶意活动和软件相关的弱点,但网络犯罪分子现在也在利用这些技术来扫描漏洞,自动化恶意软件,破解密码,分析被盗数据,并制定用于社会工程攻击的内容。”
白皮书还提出,不断增加的网络攻击和不断扩大的攻击范围催生了基于各种国际网络安全标准和框架的几项政府、公司和行业举措。“其中一些举措呼吁需要遵守最新的国家标准和技术研究所(NIST)标准,包括NIST网络安全框架(CSF)、NIST 800-82工业控制系统(ICS)安全指南以及NIST 800-53信息系统和组织安全和隐私控制。”
它补充说,其他人可能要求遵守国际标准化组织和国际电工委员会(ISO/IEC)、UL解决方案、TIA或其他机构的标准。
白皮书还详细说明,在环境、社会和治理(ESG)框架下,网络安全正在成为公司治理的关键组成部分,需要与采购、风险评估、事件管理、响应和灾难恢复相关的监督和报告政策和程序。“遵守日益增长的立法和治理要求会给智能建筑业主和运营商带来更大的压力。与此同时,解决网络安全的行业标准正在扩大其范围,以包括新兴技术、供应链风险管理和治理的覆盖范围,”它补充说。
根据不断变化的网络安全格局以及多个SPIRE 1.5版本验证的智能建筑评估和项目参与者专业知识的反馈,TIA和UL解决方案显著重新设计了SPIRE网络安全智能建筑评估标准。SPIRE网络安全评估标准2.0版提供了一种改进的以建筑为中心的方法,以更密切地解决与建筑环境相关的要求和性能,包括扩大OT暴露和OT/IT融合带来的漏洞。
更新的标准还从全球角度考虑了日益增长的治理要求,并支持国际标准和框架,同时增加了澄清和背景,以简化评估过程。
SPIRE 2.0版网络安全评估标准结构为问答集,按类别分组为以下部分,提供了一个与技术和标准无关的高级而直接的框架。这些包括涵盖政策、程序和监督的治理,以确保有效的智能建筑网络安全;包括识别和保护关键资产的资产,包括数据、网络、设备、硬件和软件;由网络安全基础设施、网络、系统和技术的设计和配置组成的架构;以及由用户和系统的访问控制管理组成的访问,包括身份验证、权限、帐户管理和授权访问。
SPIRE网络安全评估标准2.0版通过记录角色、政策和程序来考虑治理,包括关键系统的风险评估、变更控制、培训和事件响应。该标准通过考虑与IT和OT环境中智能建筑系统相关的用户、资产和政策来解决IT和OT角色之间差距带来的漏洞。
SPIRE网络安全评估标准2.0版涉及所有建筑资产的网络安全,包括设备和系统的采购、管理和维护。这包括供应链安全考虑因素,以确保智能建筑免受外部供应商的网络安全风险,例如物联网设备、系统和平台中使用的开源软件。
白皮书补充说,通过解决适当的固件更新、过时监控、备份以及遵守标准、立法和公司要求的需求,来应对IT/OT融合带来的漏洞的标准。这些标准不仅针对那些部署和运营智能建筑系统和设备的人,还针对提供这些系统的供应商。
SPIRE网络安全评估标准2.0版通过加密、定期漏洞扫描以及遵守公认的行业标准和最佳实践来解决建筑系统、网络和数据的配置、文档和保护。这些标准明确解决了各种IT和OT功能的分割,以防止对其中一个的攻击影响另一个。SPIRE网络安全评估标准2.0版解决了对建筑系统和设备的安全访问,确保只有需要访问的个人才能通过用户管理政策和程序获得授权,如多因素身份验证、有关远程访问的政策以及记录哪些资产、时间和谁访问的详尽文档。
