Gartner預(yù)測,從2015到2020年,物聯(lián)網(wǎng)終端的年均復(fù)合增長率將為33%,全球的物聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)到204億。物聯(lián)網(wǎng)終端廠商、主流運(yùn)營商的物聯(lián)卡業(yè)務(wù)、云端管控平臺(tái)和應(yīng)用開發(fā)者……
但是目前,物聯(lián)網(wǎng)設(shè)備的用戶安全意識(shí)普遍較薄弱,固件、補(bǔ)丁等基礎(chǔ)安全能力嚴(yán)重匱乏,攻擊門檻低,一旦出現(xiàn)有效的惡意控制方式,影響將迅速擴(kuò)散;再加上龐大的數(shù)量加持,其作為網(wǎng)絡(luò)武器的威力更是不可小覷。
《2017物聯(lián)網(wǎng)安全年報(bào)》都有哪些內(nèi)容值得重點(diǎn)關(guān)注?
1. 物聯(lián)網(wǎng)攻擊鏈
目前來看,社會(huì)對(duì)物聯(lián)網(wǎng)安全事件的高度敏感性,主要集中在聯(lián)網(wǎng)攝像頭被破解后的隱私數(shù)據(jù)泄露。但物聯(lián)網(wǎng)安全的涉及面,要更廣,包括工業(yè)互聯(lián)網(wǎng)、遠(yuǎn)程抄表、智慧醫(yī)療等。對(duì)物聯(lián)網(wǎng)設(shè)備的通用攻擊鏈,其大致流程可以歸納如下:
第一步 設(shè)備選型:參考市場占有率(取高)、已公開的漏洞信息、廠商是否有安全團(tuán)隊(duì)支持等指標(biāo),選定目標(biāo)設(shè)備;
第二步 本地漏洞挖掘:通過對(duì)選型后的目標(biāo)設(shè)備購買后拆解,獲取設(shè)備指紋,并對(duì)其從弱口令、廠商公開漏洞等角度進(jìn)行安全測試,挖掘漏洞;
第三步 工具制作:利用本地挖掘的漏洞,制作識(shí)別和漏洞利用的(半)自動(dòng)化工具;
第四步 資產(chǎn)統(tǒng)計(jì):利用上一步制作的目標(biāo)設(shè)備識(shí)別和漏洞利用工具,在全網(wǎng)范圍進(jìn)行掃描,評(píng)估受影響范圍;
第五步 利益轉(zhuǎn)化:結(jié)合上一步的資產(chǎn)統(tǒng)計(jì)結(jié)果進(jìn)行價(jià)值評(píng)估,通過售賣工具、目標(biāo)設(shè)備信息以及受控設(shè)備獲取利益。
2. 越來越多的物聯(lián)網(wǎng)設(shè)備和服務(wù)被暴露在互聯(lián)網(wǎng)
基于綠盟自身在物聯(lián)網(wǎng)設(shè)備情報(bào)特征(包括設(shè)備指紋識(shí)別、設(shè)備行為等)的積累,報(bào)告從全球和國內(nèi)兩個(gè)維度,對(duì)不同類型暴露設(shè)備、物聯(lián)網(wǎng)操作系統(tǒng)和云服務(wù)等情況作了統(tǒng)計(jì)。
物聯(lián)網(wǎng)設(shè)備暴露情況
除上圖較為集中的路由器和視頻監(jiān)控設(shè)備外,綠盟還發(fā)現(xiàn)一些諸如商用車統(tǒng)一通信網(wǎng)關(guān)、網(wǎng)絡(luò)恒溫器等較新的物聯(lián)網(wǎng)應(yīng)用,同樣缺乏基礎(chǔ)的安全防護(hù)。也就是說,從目前的趨勢來看,黑客對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊面,將隨著物聯(lián)網(wǎng)的發(fā)展越來越大。
在云端服務(wù)方面,情況同樣不容樂觀。
家用物聯(lián)網(wǎng)設(shè)備大多數(shù)時(shí)間會(huì)工作在低功耗場景或睡眠模式,只在需要時(shí)才與云端建立連接傳輸數(shù)據(jù),所以云端服務(wù)必須保持時(shí)刻開啟,才能滿足設(shè)備隨時(shí)連接的需求。那么使用MQTT、AMQP、CoAP等面向物聯(lián)網(wǎng)的協(xié)議的服務(wù)的暴露,隨著物聯(lián)網(wǎng)應(yīng)用的增長,也勢必會(huì)持續(xù)增加。
物聯(lián)網(wǎng)云服務(wù)暴露情況
不難想象,越來越多的攻擊者,也會(huì)把目光從有成熟防護(hù)手段的web和郵件服務(wù),轉(zhuǎn)移到這些新興物聯(lián)網(wǎng)服務(wù),以進(jìn)行欺詐和以用戶隱私數(shù)據(jù)為目的的攻擊行為。
3. 物聯(lián)網(wǎng)安全防護(hù)需要分層處置
典型的物聯(lián)網(wǎng)應(yīng)用涉及終端設(shè)備廠商、物聯(lián)網(wǎng)網(wǎng)絡(luò)提供商、平臺(tái)和應(yīng)用提供商。這也對(duì)應(yīng)三個(gè)層級(jí):感知層、網(wǎng)絡(luò)層、平臺(tái)和應(yīng)用層。物聯(lián)網(wǎng)發(fā)展的同時(shí),其背后的安全風(fēng)險(xiǎn)卻一直不被產(chǎn)業(yè)鏈中的廠商重視。無論是感知層的設(shè)備嗅探、入侵,還是平臺(tái)和應(yīng)用層的數(shù)據(jù)竊取、欺詐、業(yè)務(wù)中斷,龐大的設(shè)備和服務(wù)基數(shù),普遍的脆弱性,片面的追求功能和低成本,都已經(jīng)使物聯(lián)網(wǎng)安全威脅成為一種網(wǎng)絡(luò)空間的新常態(tài)。
報(bào)告提及,由受控物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò),目前有很強(qiáng)的擴(kuò)散能力。地域上,美國、越南和印度是全球前三僵尸網(wǎng)絡(luò)的重災(zāi)區(qū)。威脅方面,雖然還是以發(fā)動(dòng)大規(guī)模的DDoS攻擊為主,但也有一些新的趨勢,這包括:成為DDoS攻擊的一種常見方式、攻擊會(huì)更加頻繁、基于P2P技術(shù)僵尸網(wǎng)絡(luò)的出現(xiàn)(沒有中心控制節(jié)點(diǎn))等。這對(duì)于物聯(lián)網(wǎng)安全威脅的治理,勢必會(huì)帶來更大的挑戰(zhàn)。
在防護(hù)思路方面,報(bào)告認(rèn)為,應(yīng)對(duì)感知、網(wǎng)絡(luò)、平臺(tái)和應(yīng)用不同層級(jí)的威脅,可針對(duì)不同物聯(lián)網(wǎng)應(yīng)用的業(yè)務(wù)特點(diǎn),按層級(jí)進(jìn)行安全防護(hù)能力建設(shè)。
感知層:關(guān)注終端安全,遵循安全開發(fā)的流程,在上市前由第三方進(jìn)行安全評(píng)估和加固,在身份認(rèn)證、數(shù)據(jù)安全(安全啟動(dòng)與加密通信)等角度加入基礎(chǔ)安全能力。
網(wǎng)絡(luò)層:關(guān)注數(shù)據(jù)的傳輸鏈路安全,尤其是運(yùn)營商的物聯(lián)卡濫用和利用受控設(shè)備發(fā)動(dòng)網(wǎng)絡(luò)攻擊等情況,通過物聯(lián)網(wǎng)安全風(fēng)控平臺(tái)的建立,對(duì)流量、日志等數(shù)據(jù)進(jìn)行建模分析,以期更早發(fā)現(xiàn)攻擊行為。
平臺(tái)和應(yīng)用層:關(guān)注平臺(tái)的基礎(chǔ)架構(gòu)安全和數(shù)據(jù)安全(尤其是隱私數(shù)據(jù)),感知層設(shè)備與平臺(tái)的連接安全,以及通過大數(shù)據(jù)分析來判別業(yè)務(wù)異常。
關(guān)于物聯(lián)網(wǎng)安全的解決方案,綠盟科技的思路是結(jié)合安全網(wǎng)關(guān)(威脅檢測、接入安全)和掃描器(漏洞管理、弱口令等不當(dāng)配置),進(jìn)行持續(xù)的安全評(píng)估,并利用云端的物聯(lián)網(wǎng)設(shè)備安全情報(bào)積累和大數(shù)據(jù)分析能力,建設(shè)物聯(lián)網(wǎng)威脅態(tài)勢感知平臺(tái),對(duì)設(shè)備的狀態(tài)、攻擊特征和趨勢進(jìn)行跟蹤,輔助廠商進(jìn)行安全運(yùn)維。同時(shí),配合上綠盟在全球大量分布的安全設(shè)備(諸如DDoS緩解等傳統(tǒng)拳頭產(chǎn)品),對(duì)可能的攻擊行為盡早做出響應(yīng)。
4. 未來方向
關(guān)于未來的物聯(lián)網(wǎng)安全的發(fā)展方向,綠盟認(rèn)為,軟件定義邊界(SDP)將成為有效的物聯(lián)網(wǎng)訪問控制手段。用戶在客戶端對(duì)設(shè)備的可靠性(透明、多因子)和賬戶的合法性認(rèn)證通過后,才可與服務(wù)器端建立服務(wù)連接。這意味著應(yīng)用提供商可以在認(rèn)證通過前,保持對(duì)外部的不可見和不可訪問,將軟件定義的邊界部署在任意位置。
除此以外,IoT設(shè)備分散性強(qiáng),結(jié)合去中心化的區(qū)塊鏈技術(shù),會(huì)讓物聯(lián)網(wǎng)設(shè)備的身份認(rèn)證更加可靠,而不再是單個(gè)認(rèn)證平臺(tái)被攻破就迅速擴(kuò)散。
5. 給個(gè)人用戶的安全建議:
修改IoT設(shè)備的初始口令和弱口令;
關(guān)閉不同的端口,如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;
將不常用端口作為默認(rèn)端口,增加端口開放協(xié)議被嗅探的難度;
升級(jí)設(shè)備固件;
部署IoT設(shè)備廠商提供的安全解決方案。