物聯(lián)網(wǎng)介紹
根據(jù)ITU的定義�����,物聯(lián)網(wǎng)是:通過二維碼識讀設(shè)備����、射頻識別 (RFID) 裝置、紅外感應(yīng)器����、全球定位系統(tǒng)和激光掃描器等信息傳感設(shè)備,按約定的協(xié)議���,把任何物品與互聯(lián)網(wǎng)相連接�, 并進(jìn)行信息交換和通信����,實現(xiàn)智能化識別、定位��、跟蹤��、監(jiān)控和管理的一種網(wǎng)絡(luò)。根據(jù)行業(yè)劃分維度�����,一般從感知層��、網(wǎng)絡(luò)層和應(yīng)用層描述其結(jié)構(gòu):
威脅來源分析
下面從物聯(lián)網(wǎng)“云���、管��、端”安全三個方面進(jìn)行分析�,闡述了物聯(lián)網(wǎng)目前主要面臨的安全威脅�,并對物聯(lián)網(wǎng)安全管控進(jìn)行分析。
(一)物聯(lián)網(wǎng)終端安全
物聯(lián)網(wǎng)終端作為信息空間和物理空間深度融合的代表產(chǎn)物����,已經(jīng)從面向個人消費(fèi)的先鋒產(chǎn)品快速拓展到經(jīng)濟(jì)社會各個領(lǐng)域,側(cè)重于功能實現(xiàn)���。傳統(tǒng)物聯(lián)網(wǎng)設(shè)備廠商安全能力不足,或者考慮時間和成本等因素�,在終端設(shè)計上普遍忽略安全問題����。物聯(lián)網(wǎng)終端可分為智能終端和非智能終端���,智能終端設(shè)備大多數(shù)具備嵌入式操作系統(tǒng)及終端應(yīng)用����,具有更大的信息安全威脅,主要有以下安全威脅����。
1. 終端物理安全。由于感知終端處于不安全的物理環(huán)境���,可能造成感知終端的丟失�����、位置移動或無法工作�。
2. 終端自身安全��。安全防護(hù)能力缺失使得感知設(shè)備易遭到攻擊和破壞����,未能及時更新導(dǎo)致物聯(lián)網(wǎng)終端設(shè)備存在極高的軟件漏洞風(fēng)險。
3. 網(wǎng)絡(luò)通信及結(jié)構(gòu)安全�����。目前許多適用于通用計算設(shè)備的安全防護(hù)功能由于計算資源或系統(tǒng)類別的限制很難在物聯(lián)網(wǎng)上實現(xiàn),因此物聯(lián)網(wǎng)通信機(jī)制存在較大的安全隱患���。
4. 數(shù)據(jù)泄露風(fēng)險���。物聯(lián)網(wǎng)系統(tǒng)泄露用戶隱私數(shù)據(jù)的風(fēng)險較高。一方面�����,云端服務(wù)平臺可能遭受外部攻擊導(dǎo)致用戶敏感數(shù)據(jù)泄露;另一方面�,在同一網(wǎng)段或相鄰網(wǎng)段的設(shè)備之間也存在數(shù)據(jù)泄露渠道。
5. 惡意軟件感染�����。一旦感知終端被物理俘獲或邏輯攻破����,攻擊者可以利用感知終端的漏洞進(jìn)行木馬、病毒的攻擊�,使得終端節(jié)點(diǎn)被非法控制或處于不可用狀態(tài)。
6. 服務(wù)中斷�����。可用性或連接性的丟失可能會影響物聯(lián)網(wǎng)設(shè)備的功能特性����,例如樓宇警報系統(tǒng)一旦連接中斷的話�,將會直接影響樓宇的整體安全性。
(二)物聯(lián)網(wǎng)管道安全
物聯(lián)網(wǎng)“管”則是連接“云”和“端”之間的管道��,物聯(lián)網(wǎng)“管”安全為大容量智能化的信息管道安全����。根據(jù)對物聯(lián)網(wǎng)信息管道的調(diào)研,發(fā)現(xiàn)物聯(lián)網(wǎng)管道安全主要有如下安全威脅�。
1. 無線數(shù)據(jù)傳輸鏈路具有脆弱性。物聯(lián)網(wǎng)的數(shù)據(jù)傳輸一般借助無線射頻信號進(jìn)行通信�����,信號傳輸過程難以得到有效防護(hù)���,容易被攻擊者劫持�、竊聽甚至篡改�����。
2. 傳輸網(wǎng)絡(luò)易受到拒絕服務(wù)攻擊。由于物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大���,且以集群方式存在�,攻擊者可以利用控制的節(jié)點(diǎn)向網(wǎng)絡(luò)發(fā)送惡意數(shù)據(jù)包�,發(fā)動拒絕服務(wù)攻擊,造成網(wǎng)絡(luò)擁塞�����、癱瘓�、服務(wù)中斷。
3. 存在非授權(quán)接入和訪問網(wǎng)絡(luò)����。一是用戶非授權(quán)接入網(wǎng)絡(luò),非法使用網(wǎng)絡(luò)資源�,或?qū)W(wǎng)絡(luò)發(fā)起攻擊;二是用戶非授權(quán)訪問網(wǎng)絡(luò)非法,獲取網(wǎng)絡(luò)數(shù)據(jù)��,如用戶信息���、配置信息����、路由信息等。
4. 通信網(wǎng)絡(luò)運(yùn)營商應(yīng)急管控風(fēng)險����。物聯(lián)網(wǎng)設(shè)備終端規(guī)模大,且不同業(yè)務(wù)的通信功能組合較多���,若運(yùn)營商不能在網(wǎng)絡(luò)側(cè)通過地域�、業(yè)務(wù)����、用戶等多維度實施通信功能批量應(yīng)急管控��,則無法應(yīng)對海量終端被控引發(fā)的風(fēng)險�。
(三)物聯(lián)網(wǎng)云服務(wù)安全
聯(lián)網(wǎng)云服務(wù)在做信息與其他方資源共享時使用,因此保護(hù)好云服務(wù)安全也是保護(hù)好物聯(lián)網(wǎng)安全的關(guān)鍵環(huán)節(jié)���。根據(jù)對目前主流云產(chǎn)品的調(diào)研�����,發(fā)現(xiàn)物聯(lián)網(wǎng)云服務(wù)安全主要有如下安全威脅:
1. 服務(wù)端存儲大量用戶數(shù)據(jù)��,成為攻擊焦點(diǎn)����。
2. 虛擬化、容器技術(shù)提高性能同時帶來安全風(fēng)險����。虛擬化和彈性計算技術(shù)的使用使得用戶、數(shù)據(jù)的邊界模糊��,帶來虛擬機(jī)逃逸�����、虛擬機(jī)鏡像文件泄露�、虛擬網(wǎng)絡(luò)攻擊、虛擬化軟件漏洞等安全問題.
3. 系統(tǒng)基礎(chǔ)環(huán)境及組件存在漏洞����,易受黑客攻擊。物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)中會設(shè)計操作系統(tǒng)�、數(shù)據(jù)庫、web應(yīng)用等組件����,這些程序自身的漏洞或設(shè)計缺陷容易導(dǎo)致非授權(quán)訪問��、數(shù)據(jù)泄露����、遠(yuǎn)程控制等后果���。
4. 物聯(lián)網(wǎng)業(yè)務(wù)接口開放�、應(yīng)用邏輯多樣�����,容易引入新風(fēng)險���。業(yè)務(wù)邏輯漏洞使攻擊者可以繞過或篡改業(yè)務(wù)流程。物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)接口開放則可能會造成接口未授權(quán)調(diào)用�,導(dǎo)致敏感數(shù)據(jù)泄露、消耗資源等風(fēng)險�。
物聯(lián)網(wǎng)典型場景安全風(fēng)險場景
(一)消費(fèi)物聯(lián)網(wǎng):易催生黑色產(chǎn)業(yè)鏈
消費(fèi)物聯(lián)網(wǎng)的應(yīng)用場景貼近數(shù)量眾多的終端銷售者,容易催生黑色產(chǎn)業(yè)鏈��。近期��,針對消費(fèi)物聯(lián)網(wǎng)的安全威脅事件日益增多����,如英國某醫(yī)療公司推出的便攜式胰島素泵被黑客遠(yuǎn)程控制�����。我國國內(nèi)也爆發(fā)了多起黑客利用漏洞入侵并控制家用攝像頭����,并非法獲取用戶敏感視頻對用戶進(jìn)行敲詐的安全事件�。
(二)車聯(lián)網(wǎng):網(wǎng)關(guān)類組件安全風(fēng)險凸顯
智能車聯(lián)網(wǎng)通過車載智能設(shè)備同時實現(xiàn)與云端服務(wù)通訊和與本地總線通訊,實現(xiàn)通過手機(jī)應(yīng)用對車輛進(jìn)行遠(yuǎn)程控制的智能化需求���。因此���,接入車聯(lián)網(wǎng)的車輛信息架構(gòu)至少包括了行車信息總線和物聯(lián)網(wǎng)/互聯(lián)網(wǎng)兩部分通訊網(wǎng)絡(luò),這使得網(wǎng)關(guān)類組件安全也成為了影響車聯(lián)網(wǎng)安全的重要因素�。
(三)工業(yè)互聯(lián)網(wǎng):漏洞等隱患嚴(yán)重
工業(yè)互聯(lián)網(wǎng)在工業(yè)生產(chǎn)中的應(yīng)用使工業(yè)生產(chǎn)活動開始呈現(xiàn)“數(shù)字化、智能化�、網(wǎng)絡(luò)化”的發(fā)展趨勢,各個生產(chǎn)環(huán)節(jié)的互聯(lián)互通成為新常態(tài)���。這使得工業(yè)生產(chǎn)部分環(huán)節(jié)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互通����,在提高效率的同時,可能引發(fā)嚴(yán)重的安全事件�����。據(jù)不完全統(tǒng)計�,我國工業(yè)互聯(lián)網(wǎng)聯(lián)盟82家工業(yè)企業(yè)的ICS、SCADA等工控系統(tǒng)中����,28.05%都出現(xiàn)過漏洞。
(四)產(chǎn)業(yè)物聯(lián)網(wǎng):網(wǎng)絡(luò)安全易被忽視
產(chǎn)業(yè)物聯(lián)網(wǎng)使用“智能設(shè)備+互聯(lián)網(wǎng)”技術(shù)對已有的產(chǎn)業(yè)行業(yè)進(jìn)行改進(jìn)����,實現(xiàn)了人、數(shù)據(jù)和機(jī)器間自由溝通��,大幅提高工作效率���。但由于部分設(shè)備廠商重視業(yè)務(wù)和成本而忽視安全,導(dǎo)致部分新設(shè)備投產(chǎn)后向已有業(yè)務(wù)系統(tǒng)引入了大量安全隱患����。
物聯(lián)網(wǎng)安全問題案例
當(dāng)我們在思考,怎么才能確定所關(guān)注的攝像頭問題、路由器問題等是否是物聯(lián)網(wǎng)的典型安全問題時�,我去翻閱了綠盟科技2020年的IOT報告,查看物聯(lián)網(wǎng)設(shè)備被惡意利用的現(xiàn)狀��,如圖可知��,攝像頭���、路由器����、VoIP電話等物聯(lián)網(wǎng)設(shè)備存在大量失陷:
國內(nèi)物聯(lián)網(wǎng)資產(chǎn)類型分布情況數(shù)據(jù)來源:綠盟科技威脅情報中心(NTI )
以下進(jìn)行舉例
防護(hù)建議
1�、對于個人用戶,減小物聯(lián)網(wǎng)設(shè)備感染風(fēng)險的建議:
初始設(shè)置時更改設(shè)備默認(rèn)密碼�,修改為復(fù)雜密碼。
定期檢查是否有固件的新版本發(fā)布并更新固件版本�����。
如無絕對必要����,不要將物聯(lián)網(wǎng)設(shè)備端口向互聯(lián)網(wǎng)開放。
2�、對于物聯(lián)網(wǎng)設(shè)備廠商:
安全啟動:每次啟動時����,有必要通過證書來驗證全部有效啟動程序����。
及時更新補(bǔ)丁和固件:漏洞出現(xiàn)時,及時更新補(bǔ)丁���,以免造成重大影響��。
數(shù)據(jù)安全:無論是通訊中�,還是在設(shè)備內(nèi)部存儲上看���,數(shù)據(jù)安全性是通過加密來保障的�。
加密密鑰管理:使用動態(tài)密碼���,不使用固化的靜態(tài)密碼����。默認(rèn)密碼導(dǎo)致的弱密碼都是可入侵的漏洞�。
來源:東方隱俠安全實驗室
在線咨詢
在線咨詢
0371-63319761