3的试机号_买彩网 - 【昆明信息港】2017物聯網安全年報:從攻擊鍊到分層防護 - 行業新聞 - 資訊中心 - 上海泰宇信息技術股份有限公司

彩票走试图


          首頁 > 行業新聞 > 2017物聯網安全年報:從攻擊鍊到分層防護
          2018/0410
          2017物聯網安全年報:從攻擊鍊到分層防護

          Gartner預測,從2015到2020年,物聯網終端的年均複合增長率将為33%,全球的物聯網設備數量将達到204億。物聯網終端廠商、主流運營商的物聯卡業務、雲端管控平台和應用開發者

          但是目前,物聯網設備的用戶安全意識普遍較薄弱,固件、補丁等基礎安全能力嚴重匮乏,攻擊門檻低,一旦出現有效的惡意控制方式,影響将迅速擴散;再加上龐大的數量加持,其作為網絡武器的威力更是不可小觑。

          網絡安全已經成為了發展路上不可繞開、回避和無視的重要因素,物聯網也如此。繼去年年末和中國電信-安全幫聯合發布了《2017物聯網安全研究報告》後,綠盟科技又在今年3月末推出了更為詳盡的《2017物聯網安全年報》,基于其在物聯網設備安全情報側的積累,從物聯網資産在網絡空間的暴露情況、脆弱性和風險、以及(三層)防護體系的構建等方面,總結了威脅現狀,并給出了防護思路。

          那麼,此次《2017物聯網安全年報》都有哪些内容值得重點關注?

          1. 物聯網攻擊鍊

          目前來看,社會對物聯網安全事件的高度敏感性,主要集中在聯網攝像頭被破解後的隐私數據洩露。但物聯網安全的涉及面,要更廣,包括工業互聯網、遠程抄表、智慧醫療等。對物聯網設備的通用攻擊鍊,其大緻流程可以歸納如下:

          第一步 設備選型:參考市場占有率(取高)、已公開的漏洞信息、廠商是否有安全團隊支持等指标,選定目标設備;

          第二步 本地漏洞挖掘:通過對選型後的目标設備購買後拆解,獲取設備指紋,并對其從弱口令、廠商公開漏洞等角度進行安全測試,挖掘漏洞;

          第三步 工具制作:利用本地挖掘的漏洞,制作識别和漏洞利用的(半)自動化工具;

          第四步 資産統計:利用上一步制作的目标設備識别和漏洞利用工具,在全網範圍進行掃描,評估受影響範圍;

          第五步 利益轉化:結合上一步的資産統計結果進行價值評估,通過售賣工具、目标設備信息以及受控設備獲取利益。

          2. 越來越多的物聯網設備和服務被暴露在互聯網

          基于綠盟自身在物聯網設備情報特征(包括設備指紋識别、設備行為等)的積累,報告從全球和國内兩個維度,對不同類型暴露設備、物聯網操作系統和雲服務等情況作了統計。

          除上圖較為集中的路由器和視頻監控設備外,綠盟還發現一些諸如商用車統一通信網關、網絡恒溫器等較新的物聯網應用,同樣缺乏基礎的安全防護。也就是說,從目前的趨勢來看,黑客對物聯網設備的攻擊面,将随着物聯網的發展越來越大。

          在雲端服務方面,情況同樣不容樂觀。

          家用物聯網設備大多數時間會工作在低功耗場景或睡眠模式,隻在需要時才與雲端建立連接傳輸數據,所以雲端服務必須保持時刻開啟,才能滿足設備随時連接的需求。那麼使用MQTT、AMQP、CoAP等面向物聯網的協議的服務的暴露,随着物聯網應用的增長,也勢必會持續增加。

          不難想象,越來越多的攻擊者,也會把目光從有成熟防護手段的web和郵件服務,轉移到這些新興物聯網服務,以進行欺詐和以用戶隐私數據為目的的攻擊行為。

          3. 物聯網安全防護需要分層處置

          典型的物聯網應用涉及終端設備廠商、物聯網網絡提供商、平台和應用提供商。這也對應三個層級:感知層、網絡層、平台和應用層。物聯網發展的同時,其背後的安全風險卻一直不被産業鍊中的廠商重視。無論是感知層的設備嗅探、入侵,還是平台和應用層的數據竊取、欺詐、業務中斷,龐大的設備和服務基數,普遍的脆弱性,片面的追求功能和低成本,都已經使物聯網安全威脅成為一種網絡空間的新常态。

          報告提及,由受控物聯網設備組成的僵屍網絡,目前有很強的擴散能力。地域上,美國、越南和印度是全球前三僵屍網絡的重災區。威脅方面,雖然還是以發動大規模的DDoS攻擊為主,但也有一些新的趨勢,這包括:成為DDoS攻擊的一種常見方式、攻擊會更加頻繁、基于P2P技術僵屍網絡的出現(沒有中心控制節點)等。這對于物聯網安全威脅的治理,勢必會帶來更大的挑戰。

          在防護思路方面,報告認為,應對感知、網絡、平台和應用不同層級的威脅,可針對不同物聯網應用的業務特點,按層級進行安全防護能力建設。

          • 感知層:關注終端安全,遵循安全開發的流程,在上市前由第三方進行安全評估和加固,在身份認證、數據安全(安全啟動與加密通信)等角度加入基礎安全能力。

          • 網絡層:關注數據的傳輸鍊路安全,尤其是運營商的物聯卡濫用和利用受控設備發動網絡攻擊等情況,通過物聯網安全風控平台的建立,對流量、日志等數據進行建模分析,以期更早發現攻擊行為。

          • 平台和應用層:關注平台的基礎架構安全和數據安全(尤其是隐私數據),感知層設備與平台的連接安全,以及通過大數據分析來判别業務異常。

          關于物聯網安全的解決方案,綠盟科技的思路是結合安全網關(威脅檢測、接入安全)和掃描器(漏洞管理、弱口令等不當配置),進行持續的安全評估,并利用雲端的物聯網設備安全情報積累和大數據分析能力,建設物聯網威脅态勢感知平台,對設備的狀态、攻擊特征和趨勢進行跟蹤,輔助廠商進行安全運維。同時,配合上綠盟在全球大量分布的安全設備(諸如DDoS緩解等傳統拳頭産品),對可能的攻擊行為盡早做出響應。

          4. 未來方向

          關于未來的物聯網安全的發展方向,綠盟認為,軟件定義邊界(SDP)将成為有效的物聯網訪問控制手段。用戶在客戶端對設備的可靠性(透明、多因子)和賬戶的合法性認證通過後,才可與服務器端建立服務連接。這意味着應用提供商可以在認證通過前,保持對外部的不可見和不可訪問,将軟件定義的邊界部署在任意位置。

          除此以外,IoT設備分散性強,結合去中心化的區塊鍊技術,會讓物聯網設備的身份認證更加可靠,而不再是單個認證平台被攻破就迅速擴散。

           

          
                  彩票走试图