Gartner預(yù)測,從2015到2020年,物聯(lián)網(wǎng)終端的年均復(fù)合增長率將為33%,全球的物聯(lián)網(wǎng)設(shè)備數(shù)量將達到204億。物聯(lián)網(wǎng)終端廠商、主流運營商的物聯(lián)卡業(yè)務(wù)、云端管控平臺和應(yīng)用開發(fā)者……
但是目前,物聯(lián)網(wǎng)設(shè)備的用戶安全意識普遍較薄弱,固件、補丁等基礎(chǔ)安全能力嚴重匱乏,攻擊門檻低,一旦出現(xiàn)有效的惡意控制方式,影響將迅速擴散;再加上龐大的數(shù)量加持,其作為網(wǎng)絡(luò)武器的威力更是不可小覷。
《2017物聯(lián)網(wǎng)安全年報》都有哪些內(nèi)容值得重點關(guān)注?
1. 物聯(lián)網(wǎng)攻擊鏈
目前來看,社會對物聯(lián)網(wǎng)安全事件的高度敏感性,主要集中在聯(lián)網(wǎng)攝像頭被破解后的隱私數(shù)據(jù)泄露。但物聯(lián)網(wǎng)安全的涉及面,要更廣,包括工業(yè)互聯(lián)網(wǎng)、遠程抄表、智慧醫(yī)療等。對物聯(lián)網(wǎng)設(shè)備的通用攻擊鏈,其大致流程可以歸納如下:
第一步 設(shè)備選型:參考市場占有率(取高)、已公開的漏洞信息、廠商是否有安全團隊支持等指標,選定目標設(shè)備;
第二步 本地漏洞挖掘:通過對選型后的目標設(shè)備購買后拆解,域名購買 directadmin購買,獲取設(shè)備指紋,并對其從弱口令、廠商公開漏洞等角度進行安全測試,挖掘漏洞;
第三步 工具制作:利用本地挖掘的漏洞,制作識別和漏洞利用的(半)自動化工具;
第四步 資產(chǎn)統(tǒng)計:利用上一步制作的目標設(shè)備識別和漏洞利用工具,在全網(wǎng)范圍進行掃描,評估受影響范圍;
第五步 利益轉(zhuǎn)化:結(jié)合上一步的資產(chǎn)統(tǒng)計結(jié)果進行價值評估,通過售賣工具、目標設(shè)備信息以及受控設(shè)備獲取利益。
2. 越來越多的物聯(lián)網(wǎng)設(shè)備和服務(wù)被暴露在互聯(lián)網(wǎng)
基于綠盟自身在物聯(lián)網(wǎng)設(shè)備情報特征(包括設(shè)備指紋識別、設(shè)備行為等)的積累,報告從全球和國內(nèi)兩個維度,對不同類型暴露設(shè)備、物聯(lián)網(wǎng)操作系統(tǒng)和云服務(wù)等情況作了統(tǒng)計。
物聯(lián)網(wǎng)設(shè)備暴露情況
除上圖較為集中的路由器和視頻監(jiān)控設(shè)備外,綠盟還發(fā)現(xiàn)一些諸如商用車統(tǒng)一通信網(wǎng)關(guān)、網(wǎng)絡(luò)恒溫器等較新的物聯(lián)網(wǎng)應(yīng)用,同樣缺乏基礎(chǔ)的安全防護。也就是說,從目前的趨勢來看,香港免備案主機 美國服務(wù)器,黑客對物聯(lián)網(wǎng)設(shè)備的攻擊面,將隨著物聯(lián)網(wǎng)的發(fā)展越來越大。
在云端服務(wù)方面,情況同樣不容樂觀。
家用物聯(lián)網(wǎng)設(shè)備大多數(shù)時間會工作在低功耗場景或睡眠模式,只在需要時才與云端建立連接傳輸數(shù)據(jù),所以云端服務(wù)必須保持時刻開啟,才能滿足設(shè)備隨時連接的需求。那么使用MQTT、AMQP、CoAP等面向物聯(lián)網(wǎng)的協(xié)議的服務(wù)的暴露,隨著物聯(lián)網(wǎng)應(yīng)用的增長,也勢必會持續(xù)增加。
物聯(lián)網(wǎng)云服務(wù)暴露情況
不難想象,越來越多的攻擊者,也會把目光從有成熟防護手段的web和郵件服務(wù),轉(zhuǎn)移到這些新興物聯(lián)網(wǎng)服務(wù),以進行欺詐和以用戶隱私數(shù)據(jù)為目的的攻擊行為。
3. 物聯(lián)網(wǎng)安全防護需要分層處置
典型的物聯(lián)網(wǎng)應(yīng)用涉及終端設(shè)備廠商、物聯(lián)網(wǎng)網(wǎng)絡(luò)提供商、平臺和應(yīng)用提供商。這也對應(yīng)三個層級:感知層、網(wǎng)絡(luò)層、平臺和應(yīng)用層。物聯(lián)網(wǎng)發(fā)展的同時,其背后的安全風(fēng)險卻一直不被產(chǎn)業(yè)鏈中的廠商重視。無論是感知層的設(shè)備嗅探、入侵,還是平臺和應(yīng)用層的數(shù)據(jù)竊取、欺詐、業(yè)務(wù)中斷,龐大的設(shè)備和服務(wù)基數(shù),普遍的脆弱性,片面的追求功能和低成本,都已經(jīng)使物聯(lián)網(wǎng)安全威脅成為一種網(wǎng)絡(luò)空間的新常態(tài)。
報告提及,由受控物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò),目前有很強的擴散能力。地域上,美國、越南和印度是全球前三僵尸網(wǎng)絡(luò)的重災(zāi)區(qū)。威脅方面,雖然還是以發(fā)動大規(guī)模的DDoS攻擊為主,但也有一些新的趨勢,這包括:成為DDoS攻擊的一種常見方式、攻擊會更加頻繁、基于P2P技術(shù)僵尸網(wǎng)絡(luò)的出現(xiàn)(沒有中心控制節(jié)點)等。這對于物聯(lián)網(wǎng)安全威脅的治理,勢必會帶來更大的挑戰(zhàn)。
在防護思路方面,報告認為,應(yīng)對感知、網(wǎng)絡(luò)、平臺和應(yīng)用不同層級的威脅,可針對不同物聯(lián)網(wǎng)應(yīng)用的業(yè)務(wù)特點,按層級進行安全防護能力建設(shè)。
感知層:關(guān)注終端安全,遵循安全開發(fā)的流程,在上市前由第三方進行安全評估和加固,在身份認證、數(shù)據(jù)安全(安全啟動與加密通信)等角度加入基礎(chǔ)安全能力。
