一.物聯網安全概述
物聯網定義:日常物品(如電視、冰箱、空調、燈光、窗簾)的有網絡連接,允許發送和接收數據。
萬物互聯(IOT)時代已經到來,隨著智能硬件創業的興起,大量智能家居和可穿戴設備進入了人們的生活,根據Gartner 報告預測,2020年全球IOT物聯網設備數量將高達260億個。但是由于安全標準滯后,以及智能設備制造商缺乏安全意識和投入,物聯網已經埋下極大隱患,是個人隱私、企業信息安全甚至國家關鍵基礎設施的頭號安全威脅。試想一下,無論家用或企業級的互連設備,如接入互聯網的交通指示燈,恒溫器,或醫用監控設備遭到攻擊,后果都將非常可怕。
物聯網總的體系結構通常由執行器、網關、傳感器、云和移動app五部分組成。
移動app(Mobile):移動設備大多使用的,在設備上的應用程序,以實現手機端控制 IoT環境來進行互動;
云(Cloud):Web界面或API 托管用于收集數據的云端web應用和大型數據集分析。一般來說,就是在做信息與其它方資源共享時使用;
網關(Gateway):用于收集傳感器信息和控制中心;
執行器(Actuator):通過物理過程控制事物,如空調機組、門鎖、窗簾;
傳感器(Sensor):用于檢測環境,例如光、運動、溫度、濕度、水/ 電量;
物聯網根據業務形態主要分為工業控制物聯網、車載物聯網、智能家居物聯網。不同的業務形態對安全的需求不盡相同。
工業控制物聯網:涉及到國家安全、再加上目前工業控制網絡基本是明文協議很容易遭受攻擊。所以很早就有很多安全公司看到這塊蛋糕:威努特、匡恩網絡等已經完成市場布局。主要產品形態:工控防火墻、工控漏洞挖掘、主機白名單產品。安全需求基本是傳統安全的思路。
車載物聯網:涉及到駕車人生命安全。但是目前是爭標準的時代,目前國內廠商360在這方面有所建樹。在標準未確定前,安全廠商都想做升級版的 OBD,嵌入式安全硬件。國外相關安全廠商產品形態大致是OBD防火墻、云端大數據分析異常監控等。安全需求集中在車載核心物聯網硬件安全上。
智能家居物聯網:涉及到個人家庭隱私安全。這一塊的安全投入,比較少。但是大的家電企業相對來說會多一點。這也是安全廠商的機會。目前我們公司的產品形態主要是智能家居物聯網,文中后續會對這塊重點關注。
要想做物聯網安全,首先要了解企業級物聯網架構。
智能家居物聯網:
當前一個典型的物聯網項目,從組成上來講,至少有三部分:一是設備端;二是云端;三是監控端。三者之間遵照通信協議完成消息傳輸。物聯網安全的威脅風險也主要來自于這四部分。
二.物聯網安全威脅現狀及預防
惠普安全研究院調查的10個最流行的物聯網智能設備后發現幾乎所有設備都存在高危漏洞,主要有五大安全隱患,一些關鍵數據如下:
80%的IOT設備存在隱私泄露或濫用風險;
80%的IOT設備允許使用弱密碼;
70%的IOT設備與互聯網或局域網的通訊沒有加密;
60%的IOT設備的web 界面存在安全漏洞;
60%的IOT設備下載軟件更新時沒有使用加密;
讀一下網上關于物聯網安全的報道,我們會發現很多與安全相關的駭人聽聞的事件,例如:汽車被黑客遠程操縱而失控;攝像頭被入侵而遭偷窺;聯網的烤箱被惡意控制干燒;洗衣機空轉;美國制造零日漏洞病毒,利用 “震網”攻入伊朗核電站,破壞伊朗核實施計劃等,這些信息安全問題已經影響到了我們的人身、財產、生命安全乃至國家安全。
2.1.物聯網通信協議安全
需要物聯網廠商提供協議訪問API接口,以及訪問證書,這樣可以更全面的監控物聯網設備,更好判斷異常現象。針對MQTT 協議,如果是XMPP,建議不要使用這種不支持TLS的物聯網協議,協議本身就缺乏安全考慮。自由協議,建議是站在巨人的肩膀上做事情,自己造輪子會存在很多缺陷,所以不建議用。如果出于成本考慮,協議本身建議增加部分安全限制。
2.2.物聯網設備安全現狀
2.2.1. IOT設備通用漏洞按廠商排名
2016年CNVD收錄IOT設備漏洞 1117個,漏洞涉及Cisco、Huawei、Google 、Moxa等廠商。其中,傳統網絡設備廠商思科(Cisco)設備漏洞356條,占全年 IOT設備漏洞的32%;華為(Huawei)位列第二,共收錄155 條;安卓系統提供商谷歌(Google)位列第三,工業設備產品提供廠商摩莎科技(Moxa)、西門子(Siemens )分列第四和第五。
2.2.3. IOT設備通用漏洞按風險技術類型分布
2016年CNVD收錄IOT設備漏洞類型分別為權限繞過、拒絕服務、信息泄露、跨站、命令執行、緩沖區溢出、 SQL注入、弱口令、設計缺陷等漏洞。其中,權限繞過、拒絕服務、信息泄露漏洞數量位列前三,分別占收錄漏洞總數的23%,19%, 13%。而對于弱口令(或內置默認口令)漏洞,雖然在統計比例中漏洞條數占比不大(2%),但實際影響卻十分廣泛,成為惡意代碼攻擊利用的重要風險點。
2.2.4. IOT設備通用漏洞按設備標簽類型分布
2016年CNVD公開收錄1117個 IOT設備漏洞中,影響設備的類型(以標簽定義)包括網絡攝像頭、路由器、手機設備、防火墻、網關設備、交換機等。其中,網絡攝像頭、路由器、手機設備漏洞數量位列前三,分別占公開收錄漏洞總數的10%,9% ,5%。
2.2.5. IOT設備事件型漏洞按設備標簽類型分布
根據CNVD白帽子、補天平臺以及漏洞盒子等來源的匯總信息,2016 年CNVD收錄IOT設備事件型漏洞540個。與通用軟硬件漏洞影響設備標簽類型有所不同,主要涉及交換機、路由器、網關設備、 GPS設備、手機設備、智能監控平臺、網絡攝像頭、打印機、一卡通產品等。其中,GPS設備、一卡通產品、網絡攝像頭漏洞數量位列前三,分別占公開收錄漏洞總數的22% ,7%,7%。值得注意的是,目前政府、高校以及相關行業單位陸續建立一些與交通、環境、能源、校園管理相關的智能監控平臺,這些智能監控平臺漏洞占比雖然較少( 2%),但一旦被黑客攻擊,帶來的實際威脅卻是十分嚴重的。
2.2.6. 傳統網絡設備漏洞收錄統計
根據CNVD平臺近五年公開發布的網絡設備(含路由器、交換機、防火墻以及傳統網絡設備網關等產品)漏洞數量分布分析,傳統網絡設備漏洞數量總體呈上升趨勢。 2016年CNVD公開發布的網絡設備漏洞697條,與去年環比增加27% 。
2.2.7. 典型IOT設備漏洞案例
Android NVIDIA攝像頭驅動程序權限獲取漏洞
Lexmark打印機競爭條件漏洞
格爾安全認證網關系統存在多處命令執行漏洞
多款mtk平臺手機廣升FOTA服務存在system 權限提升漏洞(魅魔漏洞)
Android MediaTek GPS驅動提權漏洞
多款Sony網絡攝像頭產品存在后門賬號風險
網件Netgear多款路由器存在任意命令注入漏洞
Pulse Secure Desktop Client(Juniper Junos Pulse)權限提升漏洞
Cisco ASA Software IKE密鑰交換協議緩沖區溢出漏洞
Fortigate防火墻存在SSH認證“后門”漏洞
2.3.云安全
黑客入侵智能設備并不難,很多時候它們不需要知道物聯網智能設備有哪些功能以及如何運作的。只要它們能進入與智能設備連接的相關網站,他們就能操控物聯網設備,而設備連接的網站通常都部署在云端,因此保護好云端安全也是保護好物聯網安全的關鍵環節,云端一般包含三部分:web 前臺+web后臺+中間件。
根據對2016年云產品的調研,發現云安全主要有十二大威脅,云服務客戶和提供商可以根據這些威脅調整防御策略。
近年來,云端應用安全事件頻發。
2.3.1. 數據庫信息泄露
案例:
某云平臺是面向個人、企業和政府的云計算服務,206年3 月被曝出存在門戶管理后臺及系統管理員賬戶弱口令,通過登錄賬號可查看數十萬用戶的個人信息。通過獲取的用戶個人賬戶密碼能夠登錄客戶應用平臺,查看應用配置信息,然后獲取業務安裝包、代碼及密鑰數據等敏感信息,進一步獲取數據庫訪問權限、篡改記錄、偽造交易、癱瘓系統等。這樣一次看似簡單的數據泄露事件,發生在云平臺門戶,造成的影響非比尋常。
產生原因:
賬戶弱口令容易被暴力破解。
預防:
增加密碼復雜度,設置好記難猜的密碼。
2.3.2. 服務配置信息明文存儲在云上
案例:
2014年8月,專業從事Paas服務的某云被曝出由于服務器權限設置不當,導致可使用木馬通過后臺查看不同客戶存放在云上的服務配置信息,包括 WAR包、數據庫配置文件等,給托管客戶的應用服務帶來了巨大的安全隱患。
產生原因:
云服務商的服務器權限設置不當。
預防:
使用云平臺的用戶加密存儲放在云上的服務配置信息。
2.3.3. 虛擬化漏洞
案例:
“傳送門事件”—越界讀取內存導致跨虛機執行任意代碼。
產生原因:
云平臺的虛擬化漏洞導致能夠在宿主機上進行越界內存讀取和寫入,從而實現虛擬機逃逸。
預防:
經調研,大部分云端的威脅風險都來自于云服務提供商自身的平臺漏洞,但云服務使用者過于簡單的應用部署以及對敏感數據保護的不重視,也是導致威脅風險的重要原因。
對于云服務使用者,不能把安全防護完全寄托在云服務提供商身上,必須考慮自保。云服務使用方需要重點保護其云端應用核心代碼、關鍵數據及其系統訪問安全,可分別從云端代碼加固、數據安全保護、云端安全接入三個維度,設計一套安全防護體系。
云服務使用者在應用層面對其云端代碼、數據及系統接入進行安全保護,保證云端應用在不可信環境下的安全。云服務商需要進行云平臺基礎設施安全保護,提供云平臺虛擬化、網絡、配置、漏洞等多方面的安全保護功能。
構建云端安全可信的運行環境,需要云服務提供商和使用者的共同努力,加大黑客進入與物聯網設備連接的網站的難度,進而提升物聯網安全度。
三.企業安全
3.1.為什么做安全?
企業做安全的驅動力主要源于以下幾個方面:
1).面臨來自各方面的安全威脅
譬如:外部黑客、網絡黑產、競爭對手、內鬼等
2).面臨各種安全挑戰
譬如:安全漏洞、網絡攻擊、勒索、敏感信息泄露等
3).安全問題會對公司運營、業務發展造成不良影響
譬如:經濟損失、用戶流失、財產損失、聲譽受損、公信力下降等
3.2.企業需要什么樣的安全?
雖然各個企業由于自身業務特性有所不同,但還是有很多共性的,例如:
1).數據安全
數據安全是所有互聯網公司最核心的安全需求,也是大多數網絡企業高管最為關注的安全問題。目標是保障企業敏感數據的安全、可控。
2).在攻防對抗中占據主動地位
能夠掌握企業整體的安全態勢,可主動發現潛在安全風險,及時知道誰、什么時間、做過什么樣的攻擊、攻擊是否成功、目標系統受影響程度,并且在第一時間內解決遇到的安全問題。
3).保障業務安全、連續、可用
盡可能降低因網絡攻擊造成業務系統受影響的安全風險,比如最常見的DDOS、CC 攻擊。
3.3.如何做好安全?
1).樹立正確的安全觀
安全是相對的。企業絕不是做一次滲透測試、找安全公司提供個安全解決方案或者購買一些安全產品及服務就可以搞定的事情。安全是一個整體的、動態的、需要長期做且持續投入的事情。
2).企業安全完整視角
互聯網企業安全包含以下幾大部分:
人們總想著把任何東西都交給互聯網,但往往會發生嚴重的安全錯誤。目前,我們還處于物聯網早期,很多東西并未聯網。但一旦它們互通互聯,無論對普通用戶還是對黑客來說,都會有非常大的利用價值。這就要求公司應當把安全因素排在首位,將保護措施植入到設備中。大多數錯誤是由于安全目標不明確,缺乏經驗和意識。我們必須采取安全的物聯網策略,而不是期望它們主動來給我們安全。面對物聯網的安全危機,物聯網智能設備廠商進行安全建設時可參考以下建議:
1.對生產的智能產品進行全面的安全審計;
2.企業生產IOT產品前需要部署基本的安全標準;
3.將安全融入產品生命周期,在產品還處于設計階段就接受隱私和風險評估認證,比如當用戶在使用可能有安全隱患的網絡時,強制他們修改密碼或開啟加密服務;
針對傳統的連接互聯網的網絡以及傳統的云端架構還是需要使用傳統邊界防護解決方案。
a.)帶防火墻模塊硬件IPS:可以限制App 訪問的端口,對傳統的SQLi、XSS等做檢測;
b.)WAF:web應用防火墻,主要是通過上下文語義關聯對 OWASP Top 10攻擊類型做檢查和阻斷;
c.)定期對后端web應用、數據庫服務器、物聯網大數據分析平臺等做操作系統、中間件、數據庫漏洞掃描。建議配合滲透測試發現更多問題。
調研了各個物聯網安全公司,發現它們大致的解決方案如下:
a.)對IOT設備進行資產管理
快速發現連接到網絡的IoT設備;
已經連接的IoT設備可視化;
配置檢測、基線檢測;
b.)快速安全響應
快速檢測到異常終端;
隔離可疑應用程序和停止攻擊擴散到IoT網絡;
c.)通過大數據分析IoT事件,預測其安全狀態、給出預防建議
d.)IoT設備上安裝狀態防火墻、保證通訊協議安全
各制造商與開發商為了有效降低風險并提升物聯網設備的安全性水平,可以從以下六個方面入手。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:物聯網安全風險威脅報告
本文網址:http://www.guhuozai8.cn/html/consultation/10839520671.html
相關文章
