隨著“中國(guó)制造 2025”戰(zhàn)略推進(jìn)、兩化深度融合、以及多層面互聯(lián)互通政策帶來(lái)的產(chǎn)業(yè)大規(guī)模提檔升級(jí)，物聯(lián)網(wǎng)應(yīng)用在各行業(yè)得到了越來(lái)越多的部署。同時(shí)，物聯(lián)網(wǎng)設(shè)備安全風(fēng)險(xiǎn)逐年升高，物聯(lián)網(wǎng)設(shè)備的安全不容忽視。

　　在綠盟科技《2017物聯(lián)網(wǎng)安全年報(bào)》中指出，在對(duì)物聯(lián)網(wǎng)設(shè)備的篩查中發(fā)現(xiàn)，有大量物聯(lián)網(wǎng)設(shè)備直接暴露在互聯(lián)網(wǎng)上，其中路由器和視頻監(jiān)控設(shè)備的數(shù)量最多。鑒于這些物聯(lián)網(wǎng)設(shè)備存在被攻擊甚至被利用的風(fēng)險(xiǎn)，綠盟科技認(rèn)為在物聯(lián)網(wǎng)相關(guān)的安全問(wèn)題備受關(guān)注的當(dāng)下，有必要對(duì)這些資產(chǎn)進(jìn)行分析和梳理，提升物聯(lián)網(wǎng)設(shè)備的防護(hù)能力。

　　物聯(lián)網(wǎng)產(chǎn)業(yè)前景和錢(qián)景雙在線(xiàn)

　　近年來(lái)，我國(guó)著重發(fā)力各類(lèi)物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的建設(shè)和應(yīng)用推廣。遠(yuǎn)有，2016年國(guó)家“十三五”規(guī)劃;近有，國(guó)務(wù)院總理李克強(qiáng)在今年的政府工作報(bào)告中多次提及中國(guó)智造、物聯(lián)網(wǎng)等關(guān)鍵詞。物聯(lián)網(wǎng)產(chǎn)業(yè)在國(guó)家政策的加持下，發(fā)展亦是如火如荼。

　　將目光聚焦在物聯(lián)網(wǎng)產(chǎn)業(yè)，在物聯(lián)網(wǎng)終端方面，IT 咨詢(xún)機(jī)構(gòu)Gartner 預(yù)測(cè)，自2015 年至2020 年，物聯(lián)網(wǎng)終端年均復(fù)合增長(zhǎng)率為33%，安裝基數(shù)將達(dá)到204 億臺(tái)，其中三分之二為消費(fèi)者應(yīng)用。在聯(lián)網(wǎng)的消費(fèi)者和企業(yè)設(shè)備的投資為2.9萬(wàn)億美元，年均復(fù)合增長(zhǎng)率高達(dá)20%，將超過(guò)非聯(lián)網(wǎng)設(shè)備的投資。在連接技術(shù)方面，移動(dòng)蜂窩接入技術(shù)也成為主流，截止到2017 年底，中國(guó)移動(dòng)已有1.45 億物聯(lián)卡用戶(hù)，分布在車(chē)聯(lián)網(wǎng)后裝、共享單車(chē)、設(shè)備監(jiān)控等應(yīng)用領(lǐng)域。在平臺(tái)技術(shù)方面，物聯(lián)網(wǎng)平臺(tái)也成為運(yùn)營(yíng)商，互聯(lián)網(wǎng)巨頭，工業(yè)制造巨頭，以及新興平臺(tái)廠(chǎng)商之間競(jìng)爭(zhēng)的主賽道。

　　毫無(wú)疑問(wèn)，物聯(lián)網(wǎng)產(chǎn)業(yè)無(wú)論是發(fā)展前景，還是市場(chǎng)錢(qián)景均雙在線(xiàn)。

　　物聯(lián)網(wǎng)設(shè)備成物聯(lián)網(wǎng)安全重災(zāi)區(qū)

　　同時(shí)，我們也應(yīng)注意到隨著物聯(lián)網(wǎng)技術(shù)和產(chǎn)業(yè)的高速發(fā)展，物聯(lián)網(wǎng)應(yīng)用亦面臨嚴(yán)峻的安全挑戰(zhàn)。大量物聯(lián)網(wǎng)設(shè)備，如網(wǎng)絡(luò)攝像頭、路由器等直接暴露在互聯(lián)網(wǎng)上，容易被網(wǎng)絡(luò)爬蟲(chóng)和惡意攻擊者發(fā)現(xiàn)。更嚴(yán)重的是，這些設(shè)備中有相當(dāng)大的比例存在弱口令、已知漏洞等風(fēng)險(xiǎn)，可能被惡意代碼感染成為僵尸主機(jī)。一方面，這些被感染的設(shè)備會(huì)繼續(xù)感染其他的設(shè)備，組成大規(guī)模的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò);另一方面，它們接受并執(zhí)行來(lái)自命令和控制服務(wù)器的指令，發(fā)動(dòng)大規(guī)模DDoS攻擊，對(duì)互聯(lián)網(wǎng)上的業(yè)務(wù)造成很?chē)?yán)重的破壞和影響。

　　綠盟科技在報(bào)告中強(qiáng)調(diào)，在物聯(lián)網(wǎng)相關(guān)的安全問(wèn)題越來(lái)越引起關(guān)注的背景下，對(duì)這些資產(chǎn)進(jìn)行分析和梳理是有必要的。一種可行的研究方法是通過(guò)網(wǎng)絡(luò)空間搜索引擎去發(fā)現(xiàn)相關(guān)的物聯(lián)網(wǎng)設(shè)備，形成面向物聯(lián)網(wǎng)資產(chǎn)的威脅情報(bào)。在獲得相關(guān)數(shù)據(jù)后，可以技術(shù)上做進(jìn)一步脆弱性和風(fēng)險(xiǎn)評(píng)估，并進(jìn)行物聯(lián)網(wǎng)安全態(tài)勢(shì)展現(xiàn)、分析，并做出處置和決策。

　　三維度梳理，物聯(lián)網(wǎng)資產(chǎn)安全堪憂(yōu)

　　在這份年報(bào)中，綠盟科技對(duì)物聯(lián)網(wǎng)資產(chǎn)從物聯(lián)網(wǎng)設(shè)備、操作系統(tǒng)和云服務(wù)三個(gè)維度進(jìn)行了分析，并將相關(guān)研究成果在《2017物聯(lián)網(wǎng)安全年報(bào)》中分享。下面我們來(lái)看看《2017物聯(lián)網(wǎng)安全年報(bào)》中的幾點(diǎn)亮點(diǎn)：

　　互聯(lián)網(wǎng)上暴露的各類(lèi)物聯(lián)網(wǎng)設(shè)備中，路由器和視頻監(jiān)控設(shè)備的數(shù)量最多。

　　從綠盟科技的統(tǒng)計(jì)數(shù)據(jù)看出，暴露數(shù)量較多的設(shè)備相對(duì)來(lái)說(shuō)偏傳統(tǒng)一些，物聯(lián)網(wǎng)惡意代碼感染的物聯(lián)網(wǎng)設(shè)備也以這些為主。當(dāng)安全研究人員在關(guān)注各類(lèi)智能設(shè)備的破解時(shí)，對(duì)于傳統(tǒng)的路由器、視頻監(jiān)控設(shè)備等的研究也不應(yīng)忽視。對(duì)于安全研究人員的一大挑戰(zhàn)是，面對(duì)如此多的設(shè)備，如何提供一種妥善的防護(hù)機(jī)制，以有效抑制惡意代碼的傳播?

　　全球和國(guó)內(nèi)物聯(lián)網(wǎng)相關(guān)設(shè)備暴露情況

　　全球數(shù)以?xún)|計(jì)的商務(wù)打印機(jī)，僅有不足2%真正安全。

　　綠盟科技在年報(bào)中指出，打印機(jī)的安全問(wèn)題應(yīng)該受到用戶(hù)和廠(chǎng)商的重視。從全球分布來(lái)看，打印機(jī)設(shè)備主要暴露在美國(guó)，總量超過(guò)了34萬(wàn)，占比38%。很多暴露的某品牌打印機(jī)的HTTP服務(wù)沒(méi)有啟用認(rèn)證機(jī)制，遠(yuǎn)程用戶(hù)不需登錄即可進(jìn)入打印機(jī)管理界面。管理員可在管理界面中設(shè)置登陸密碼，可見(jiàn)打印機(jī)管理員的安全意識(shí)亟待提高。

　　事實(shí)上，只有不到44%的IT經(jīng)理人把打印機(jī)列入了安全戰(zhàn)略，與此同時(shí)，也僅有不到50%的使用者會(huì)使用打印機(jī)的“管理密碼”功能。也正是因?yàn)檫@樣，全球數(shù)以?xún)|計(jì)的商務(wù)打印機(jī)中只有不到2%的打印機(jī)是真正安全的。

　　商用車(chē)的遠(yuǎn)程通信統(tǒng)一網(wǎng)關(guān)、網(wǎng)絡(luò)恒溫器等在互聯(lián)網(wǎng)上也有一定的暴露，其可能面臨遠(yuǎn)程登錄無(wú)密碼保護(hù)、設(shè)備停產(chǎn)缺乏安全維護(hù)等風(fēng)險(xiǎn)。

　　在對(duì)暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)資產(chǎn)進(jìn)行分析的過(guò)程中，綠盟科技發(fā)現(xiàn)一些數(shù)量相對(duì)較少的物聯(lián)網(wǎng)設(shè)備暴露在了互聯(lián)網(wǎng)上，如商用車(chē)的遠(yuǎn)程通信統(tǒng)一網(wǎng)關(guān)、網(wǎng)絡(luò)恒溫器等。這些設(shè)備的暴露，預(yù)示著隨著物聯(lián)網(wǎng)基礎(chǔ)設(shè)施建成和新型物聯(lián)網(wǎng)應(yīng)用豐富，安全問(wèn)題越來(lái)越多的在互聯(lián)網(wǎng)上暴露出來(lái)。

　　一些常見(jiàn)的物聯(lián)網(wǎng)操作系統(tǒng)在互聯(lián)網(wǎng)上有不同程度的暴露。

　　物聯(lián)網(wǎng)操作系統(tǒng)暴露情況

　　越來(lái)越多的物聯(lián)網(wǎng)云服務(wù)會(huì)暴露在互聯(lián)網(wǎng)上。

　　隨著物聯(lián)網(wǎng)的蓬勃發(fā)展，物聯(lián)網(wǎng)應(yīng)用層協(xié)議也得到廣泛應(yīng)用。除了HTTP、FTP、SSH等通用服務(wù)外，運(yùn)行MQTT、AMQP、CoAP等面向物聯(lián)網(wǎng)的通信協(xié)議的服務(wù)也暴露在互聯(lián)網(wǎng)上。這些物聯(lián)網(wǎng)云服務(wù)必然會(huì)暴露在互聯(lián)網(wǎng)上，原因有二：其一，很多家庭內(nèi)部的物聯(lián)網(wǎng)設(shè)備部署在網(wǎng)關(guān)后面，無(wú)法直接對(duì)外提供服務(wù)，為了實(shí)現(xiàn)用戶(hù)在外網(wǎng)對(duì)設(shè)備的控制，需要設(shè)備與云端建立長(zhǎng)連接;其二，物聯(lián)網(wǎng)設(shè)備大多數(shù)會(huì)工作在低功耗場(chǎng)景中或睡眠模式。只有需要傳輸數(shù)據(jù)時(shí)，才重新喚醒來(lái)重新建立連接以傳輸數(shù)據(jù)。所以云端服務(wù)必須時(shí)刻保持開(kāi)啟狀態(tài)，以保證設(shè)備可以隨時(shí)連接。

　　半年時(shí)間內(nèi)，MQTT服務(wù)的暴露數(shù)量增長(zhǎng)超過(guò)50%。這說(shuō)明，伴隨著物聯(lián)網(wǎng)的廣泛應(yīng)用，暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)云服務(wù)的數(shù)量會(huì)持續(xù)增加。攻擊者也會(huì)把目光從傳統(tǒng)的Web服務(wù)和郵件服務(wù)等傳統(tǒng)服務(wù)轉(zhuǎn)向這些新興的物聯(lián)網(wǎng)服務(wù)。例如，在明文傳輸?shù)奈锫?lián)網(wǎng)應(yīng)用中，攻擊者容易將流量劫持后利用信息進(jìn)行欺騙，或進(jìn)行中間人攻擊;此外，攻擊者也可能覬覦物聯(lián)網(wǎng)云服務(wù)所存儲(chǔ)數(shù)據(jù)背后的價(jià)值，所以物聯(lián)網(wǎng)云服務(wù)的安全性需要引起物聯(lián)網(wǎng)解決方案提供商和云服務(wù)商的重視。

　　物聯(lián)網(wǎng)云服務(wù)暴露情況

　　多角度給出物聯(lián)網(wǎng)安全建議

　　結(jié)合前述分析，綠盟科技分別從用戶(hù)、物聯(lián)網(wǎng)廠(chǎng)商和信息安全廠(chǎng)商角度給出一些物聯(lián)網(wǎng)安全的建議。

　　首先，用戶(hù)在購(gòu)買(mǎi)物聯(lián)網(wǎng)產(chǎn)品后，應(yīng)該：

　　(1)修改初始口令以及弱口令，加固用戶(hù)名和密碼的安全性;

　　(2)關(guān)閉不用的端口，如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;

　　(3)修改默認(rèn)端口為不常用端口，增大端口開(kāi)放協(xié)議被探測(cè)的難度;

　　(4)升級(jí)設(shè)備固件;

　　(5)部署廠(chǎng)商提供的安全解決方案

　　其次，物聯(lián)網(wǎng)廠(chǎng)商在設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)營(yíng)物聯(lián)網(wǎng)應(yīng)用時(shí)，應(yīng)該：

　　(1)對(duì)于設(shè)備的首次使用可強(qiáng)制用戶(hù)修改初始密碼，并且對(duì)用戶(hù)密碼的復(fù)雜性進(jìn)行檢測(cè);

　　(2)提供設(shè)備固件的自動(dòng)在線(xiàn)升級(jí)方式，降低暴露在互聯(lián)網(wǎng)的設(shè)備的安全風(fēng)險(xiǎn);

　　(3)默認(rèn)配置應(yīng)遵循最小開(kāi)放端口的原則，減少端口暴露在互聯(lián)網(wǎng)的可能性;

　　(4)設(shè)置訪(fǎng)問(wèn)控制規(guī)則，嚴(yán)格控制從互聯(lián)網(wǎng)發(fā)起的訪(fǎng)問(wèn);

　　(5)與安全廠(chǎng)商合作，在設(shè)備層和網(wǎng)絡(luò)層進(jìn)行加固。

　　最后，信息安全廠(chǎng)商在推廣物聯(lián)網(wǎng)安全防護(hù)方案時(shí)，應(yīng)該：

　　(1)優(yōu)先關(guān)注暴露數(shù)量較多的物聯(lián)網(wǎng)資產(chǎn)的脆弱性分析;

　　(2)為物聯(lián)網(wǎng)廠(chǎng)商提供設(shè)備出廠(chǎng)前的測(cè)評(píng)服務(wù)，將設(shè)備可能存在的風(fēng)險(xiǎn)盡可能降低;

　　(3)關(guān)注物聯(lián)網(wǎng)設(shè)備的安全防護(hù)，推出既滿(mǎn)足正常用戶(hù)的訪(fǎng)問(wèn)，同時(shí)又可抵抗惡意攻擊的安全產(chǎn)品及解決方案;

　　(4)加大物聯(lián)網(wǎng)安全宣傳的力度，提高公眾的信息安全意識(shí)。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。