在綠盟科技《2017物聯網安全年報》中指出，在對物聯網設備的篩查中發現，有大量物聯網設備直接暴露在互聯網上，其中路由器和視頻監控設備的數量最多。鑒于這些物聯網設備存在被攻擊甚至被利用的風險，綠盟科技認為在物聯網相關的安全問題備受關注的當下，有必要對這些資產進行分析和梳理，提升物聯網設備的防護能力。

 

 

近年來，我國著重發力各類物聯網基礎設施的建設和應用推廣。遠有，2016年國家“十三五”規劃;近有，國務院總理李克強在今年的政府工作報告中多次提及中國智造、物聯網等關鍵詞。物聯網產業在國家政策的加持下，發展亦是如火如荼。

 

將目光聚焦在物聯網產業，在物聯網終端方面，IT 咨詢機構Gartner 預測，自2015 年至2020 年，物聯網終端年均復合增長率為33%，安裝基數將達到204 億臺，其中三分之二為消費者應用。在聯網的消費者和企業設備的投資為2.9萬億美元，年均復合增長率高達20%，將超過非聯網設備的投資。在連接技術方面，移動蜂窩接入技術也成為主流，截止到2017 年底，中國移動已有1.45 億物聯卡用戶，分布在車聯網后裝、共享單車、設備監控等應用領域。在平臺技術方面，物聯網平臺也成為運營商，互聯網巨頭，工業制造巨頭，以及新興平臺廠商之間競爭的主賽道。

 

毫無疑問，物聯網產業無論是發展前景，還是市場錢景均雙在線。

 

 

同時，我們也應注意到隨著物聯網技術和產業的高速發展，物聯網應用亦面臨嚴峻的安全挑戰。大量物聯網設備，如網絡攝像頭、路由器等直接暴露在互聯網上，容易被網絡爬蟲和惡意攻擊者發現。更嚴重的是，這些設備中有相當大的比例存在弱口令、已知漏洞等風險，可能被惡意代碼感染成為僵尸主機。一方面，這些被感染的設備會繼續感染其他的設備，組成大規模的物聯網僵尸網絡;另一方面，它們接受并執行來自命令和控制服務器的指令，發動大規模DDoS攻擊，對互聯網上的業務造成很嚴重的破壞和影響。

 

綠盟科技在報告中強調，在物聯網相關的安全問題越來越引起關注的背景下，對這些資產進行分析和梳理是有必要的。一種可行的研究方法是通過網絡空間搜索引擎去發現相關的物聯網設備，形成面向物聯網資產的威脅情報。在獲得相關數據后，可以技術上做進一步脆弱性和風險評估，并進行物聯網安全態勢展現、分析，并做出處置和決策。

 

 

在這份年報中，綠盟科技對物聯網資產從物聯網設備、操作系統和云服務三個維度進行了分析，并將相關研究成果在《2017物聯網安全年報》中分享。下面我們來看看《2017物聯網安全年報》中的幾點亮點：

 

1. 互聯網上暴露的各類物聯網設備中，路由器和視頻監控設備的數量最多。

 

從綠盟科技的統計數據看出，暴露數量較多的設備相對來說偏傳統一些，物聯網惡意代碼感染的物聯網設備也以這些為主。當安全研究人員在關注各類智能設備的破解時，對于傳統的路由器、視頻監控設備等的研究也不應忽視。對于安全研究人員的一大挑戰是，面對如此多的設備，如何提供一種妥善的防護機制，以有效抑制惡意代碼的傳播?

 

2. 全球數以億計的商務打印機，僅有不足2%真正安全。

 

綠盟科技在年報中指出，打印機的安全問題應該受到用戶和廠商的重視。從全球分布來看，打印機設備主要暴露在美國，總量超過了34萬，占比38%。很多暴露的某品牌打印機的HTTP服務沒有啟用認證機制，遠程用戶不需登錄即可進入打印機管理界面。管理員可在管理界面中設置登陸密碼，可見打印機管理員的安全意識亟待提高。

 

事實上，只有不到44%的IT經理人把打印機列入了安全戰略，與此同時，也僅有不到50%的使用者會使用打印機的“管理密碼”功能。也正是因為這樣，全球數以億計的商務打印機中只有不到2%的打印機是真正安全的。

 

3. 商用車的遠程通信統一網關、網絡恒溫器等在互聯網上也有一定的暴露，其可能面臨遠程登錄無密碼保護、設備停產缺乏安全維護等風險。

 

在對暴露在互聯網上的物聯網資產進行分析的過程中，綠盟科技發現一些數量相對較少的物聯網設備暴露在了互聯網上，如商用車的遠程通信統一網關、網絡恒溫器等。這些設備的暴露，預示著隨著物聯網基礎設施建成和新型物聯網應用豐富，安全問題越來越多的在互聯網上暴露出來。

 

4. 一些常見的物聯網操作系統在互聯網上有不同程度的暴露。

 

5. 越來越多的物聯網云服務會暴露在互聯網上。

 

隨著物聯網的蓬勃發展，物聯網應用層協議也得到廣泛應用。除了HTTP、FTP、SSH等通用服務外，運行MQTT、AMQP、CoAP等面向物聯網的通信協議的服務也暴露在互聯網上。這些物聯網云服務必然會暴露在互聯網上，原因有二：其一，很多家庭內部的物聯網設備部署在網關后面，無法直接對外提供服務，為了實現用戶在外網對設備的控制，需要設備與云端建立長連接;其二，物聯網設備大多數會工作在低功耗場景中或睡眠模式。只有需要傳輸數據時，才重新喚醒來重新建立連接以傳輸數據。所以云端服務必須時刻保持開啟狀態，以保證設備可以隨時連接。

 

半年時間內，MQTT服務的暴露數量增長超過50%。這說明，伴隨著物聯網的廣泛應用，暴露在互聯網上的物聯網云服務的數量會持續增加。攻擊者也會把目光從傳統的Web服務和郵件服務等傳統服務轉向這些新興的物聯網服務。例如，在明文傳輸的物聯網應用中，攻擊者容易將流量劫持后利用信息進行欺騙，或進行中間人攻擊;此外，攻擊者也可能覬覦物聯網云服務所存儲數據背后的價值，所以物聯網云服務的安全性需要引起物聯網解決方案提供商和云服務商的重視。

 

 

結合前述分析，綠盟科技分別從用戶、物聯網廠商和信息安全廠商角度給出一些物聯網安全的建議。

 

首先，用戶在購買物聯網產品后，應該：

 

(1)修改初始口令以及弱口令，加固用戶名和密碼的安全性;

 

(2)關閉不用的端口，如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;

 

(3)修改默認端口為不常用端口，增大端口開放協議被探測的難度;

 

(4)升級設備固件;

 

(5)部署廠商提供的安全解決方案

 

其次，物聯網廠商在設計、實現和運營物聯網應用時，應該：

 

(1)對于設備的首次使用可強制用戶修改初始密碼，并且對用戶密碼的復雜性進行檢測;

 

(2)提供設備固件的自動在線升級方式，降低暴露在互聯網的設備的安全風險;

 

(3)默認配置應遵循最小開放端口的原則，減少端口暴露在互聯網的可能性;

 

(4)設置訪問控制規則，嚴格控制從互聯網發起的訪問;

 

(5)與安全廠商合作，在設備層和網絡層進行加固。

 

最后，信息安全廠商在推廣物聯網安全防護方案時，應該：

 

(1)優先關注暴露數量較多的物聯網資產的脆弱性分析;

 

(2)為物聯網廠商提供設備出廠前的測評服務，將設備可能存在的風險盡可能降低;

 

(3)關注物聯網設備的安全防護，推出既滿足正常用戶的訪問，同時又可抵抗惡意攻擊的安全產品及解決方案;

 

(4)加大物聯網安全宣傳的力度，提高公眾的信息安全意識。