隨著人工智能、云計(jì)算、大數(shù)據(jù)等新興技術(shù)的快速更新,物聯(lián)網(wǎng)漸漸發(fā)展的風(fēng)生水起。Mickinsey的研究數(shù)據(jù)表明,2025年,通過(guò)IOT將真實(shí)數(shù)字和世界連接起來(lái)能夠產(chǎn)生11.1萬(wàn)億的經(jīng)濟(jì)價(jià)值,而這個(gè)量級(jí)相當(dāng)于全球經(jīng)濟(jì)的11%。快速發(fā)展的物聯(lián)網(wǎng)產(chǎn)業(yè),迅速吸引了大量的目光,其中自然包括了黑客們的注意。在過(guò)去幾年的安全資訊中,IOT安全已經(jīng)成為了物聯(lián)網(wǎng)的首要問(wèn)題。
2016年那場(chǎng)導(dǎo)致歐美半個(gè)互聯(lián)網(wǎng)癱瘓的Mirai僵尸網(wǎng)絡(luò)事件仍然讓人記憶猶新,那就是一場(chǎng)由于IOT設(shè)備引起的大型網(wǎng)絡(luò)安全事故。終端裝置與技術(shù)得到了全面的發(fā)展,從2.5G到4G,我們開(kāi)始迎來(lái)了5G的逐漸普及,這期間,物聯(lián)網(wǎng)的應(yīng)用范圍開(kāi)始逐漸擴(kuò)展,復(fù)雜度也在日趨加大。近年來(lái),大數(shù)據(jù)和云計(jì)算的快速推進(jìn),讓數(shù)據(jù)資源高度集中,黑客總是試圖以感染核心系統(tǒng)提取敏感數(shù)據(jù)問(wèn)題,針對(duì)端點(diǎn)設(shè)備和云端服務(wù)的物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊開(kāi)始層出不窮。
針對(duì)設(shè)備,物聯(lián)網(wǎng)裝置漏洞頻現(xiàn)
自AlphaGo 與著名棋手的世紀(jì)大戰(zhàn)后,人工智能產(chǎn)業(yè)全面興起,大量智能設(shè)備開(kāi)始深入人們的生活。Gartner近期報(bào)告預(yù)測(cè),2020年全球IOT設(shè)備將高達(dá)260億個(gè)。由于設(shè)備數(shù)量極大,且安全標(biāo)準(zhǔn)明顯滯后以及智能設(shè)備制造商缺乏安全意識(shí)和投入,物聯(lián)網(wǎng)安全就像一顆深埋行業(yè)表象的炸彈,稍有不慎,就會(huì)威脅個(gè)人隱私、企業(yè)信息安全甚至是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的敏感地帶。
IOT設(shè)備中大多數(shù)都缺乏應(yīng)有的安全措施且都采用基于Linux的操作系統(tǒng),黑客針對(duì)Linux系統(tǒng)漏洞進(jìn)行重點(diǎn)攻擊。目前市場(chǎng)上的多數(shù)汽車(chē)、醫(yī)療、娛樂(lè)、嵌入式、智能電腦等智能設(shè)備都遭受了不同程度DDos攻擊,淪為僵尸網(wǎng)絡(luò)下的“肉雞”。如今的IOT設(shè)備越做越智能,體積也越來(lái)越小,但I(xiàn)OT廠商卻沒(méi)有對(duì)安全功能做任何調(diào)試,一門(mén)心思撲在銷(xiāo)量和成本上,忽略了產(chǎn)品最致命的問(wèn)題,導(dǎo)致互聯(lián)網(wǎng)裝置漏洞百出,由于物聯(lián)網(wǎng)設(shè)備所造成的安全事故屢屢發(fā)生。
接口后門(mén),物聯(lián)網(wǎng)傳輸鏈接存疑
除卻IOT設(shè)備的基礎(chǔ)裝置的安全bug,還存在各種各樣不安全的Web接口和明文通信協(xié)議以及為各廠商預(yù)留的維護(hù)后門(mén),這些操作都為黑客提供了有效的攻擊途徑。
認(rèn)證和安全傳輸是安全鏈接的核心,在智能設(shè)備的使用過(guò)程中,會(huì)遭遇開(kāi)放Wi-Fi網(wǎng)絡(luò)的情況,而在公共網(wǎng)絡(luò)中,就應(yīng)該保證數(shù)據(jù)的安全傳輸,并為此提供防護(hù)措施,確保所有敏感數(shù)據(jù)在傳輸過(guò)程中確保機(jī)密性和完整性,明確在傳輸和接收這段期間所有數(shù)據(jù)都使用SSL/TLS加密,要求應(yīng)用程序只接受經(jīng)過(guò)驗(yàn)證的SSL證書(shū)。另外在智能設(shè)備交互過(guò)程中,很多設(shè)備都會(huì)因?yàn)闀?huì)話管理措施不當(dāng)導(dǎo)致會(huì)話內(nèi)容受到劫持,設(shè)備被控制。因此,在會(huì)話過(guò)程中,應(yīng)該要周期性重置設(shè)備認(rèn)證令牌,保護(hù)好認(rèn)證令牌的機(jī)密性和完整性,使用可信任服務(wù)生成會(huì)話。
源頭處理,杜絕敏感數(shù)據(jù)泄露
如果要絕對(duì)安全的杜絕數(shù)據(jù)泄露,那么就必須確保高度隱私數(shù)據(jù)不放在移動(dòng)設(shè)備上,而是將它們歸置于服務(wù)器端。如若必須放在設(shè)備存儲(chǔ)上,那么就應(yīng)該對(duì)其做好保護(hù),盡量將數(shù)據(jù)保存進(jìn)程內(nèi)存中,且在發(fā)布前,清理被便已經(jīng)二進(jìn)制數(shù)據(jù)中的敏感信息,不給他人逆向破解的機(jī)會(huì)。
在各個(gè)終端設(shè)備上同時(shí)設(shè)置DPI或者防火墻,大規(guī)模進(jìn)行流量控制,針對(duì)自身行業(yè)業(yè)務(wù)定制現(xiàn)骨干協(xié)議,從非IT協(xié)議中識(shí)別出惡意威脅。設(shè)備持有者定期接收軟件升級(jí)和補(bǔ)丁,將所有隱患防范于未然。
Gartner預(yù)測(cè),到2020年IOT攻擊將會(huì)占據(jù)企業(yè)攻擊的25%,而2016年IOT安全方面的總開(kāi)銷(xiāo)已經(jīng)達(dá)到3.48億美元,2017年則增至4.34美元,之后IOT安全支出還會(huì)以更加快速的方式增長(zhǎng)。這就意味著IOT安全在未來(lái)長(zhǎng)時(shí)間將會(huì)占據(jù)物聯(lián)網(wǎng)行業(yè)的舉足輕重的位置。
京公網(wǎng)安備 11010502049343號(hào)