物联网成信息安全“重灾区”
近20%的组织过去三年内遭受至少一次基于物联网的攻击。
我们有没有想过,当我们享受着物联网给生活带来的便利时,看不见的安全威胁可能已经发生。
近年来,物联网技术不断发展与创新,深刻改变着传统产业形态和人们生活方式,随着数以亿计的设备接入物联网提供创新、互联的新服务,整个生态系统中的诈骗和攻击行为随之增加,对用户隐私、基础网络环境的安全冲击尤为突出。
就在物联网已经逐步成为网络安全“重灾区”的背后,是物联网硬件设备厂商安全意识淡薄,安全防护投入不足的现状。在日前召开的“2018 isc互联网安全大会”上,不少专家认为,物联网设备基数庞大,加上安全防护脆弱,可以预见的是,物联网威胁将逐渐成为互联网的常态。
消费物联网隐私泄露频发
消费物联网是以消费为主线,利用物联网智能设备极大改善或影响人们的消费习惯为目的生产打造的智能设备网络。智能家居(包括智能家庭、家电等)是消费物联网最主要的消费级产品。同时,智能穿戴设备如手环、眼镜、便携医疗设备也是消费物联网的主要应用。
《经济参考报》记者了解到,消费物联网场景最贴近数量众多的终端销售者,因此也得到黑色产业链更多的关注。最近针对消费物联网的安全威胁事件日益增多,如英国某医疗公司推出的便携式胰岛素泵就被黑客远程控制,黑客完全可以控制注射计量,而这直接影响使用者的生命安全。2017年,日本国内出现多起针对智能电视的勒索病毒事件。我国国内也出现了多起家用摄像头被黑客控制利用非法获取敏感视频对用户进行敲诈的情况。2017年8月,浙江某地警方破获一个犯罪团伙,在网上制作和传播家庭摄像头破解入侵软件。查获被破解入侵家庭摄像头IP近万个,涉及浙江、云南、江西等多个省份。
对很多老百姓而言,安全威胁可能就潜伏在身边。一旦攻击者获得远程控制权限,即便是小小的摄像头也能够成为泄露用户隐私的元凶。最新的Gartner调查数据发现,近20%的组织在过去三年内遭受到至少一次基于物联网的攻击。为了防范这些威胁,Gartner预测全球物联网安全支出将在2018年达到15亿美元,比2017年的12亿美元增长28%,预计2021年物联网安全支出将达到31亿美元 。
“作为一种新技术,物联网的行业标准以及相关管理刚刚起步,但物联网基数大、扩散快、技术门槛低,已经成为互联网上不得不重视的安全问题。”360企业安全集团总裁吴云坤在接受《经济参考报》记者采访时说。他表示,目前针对消费物联网的主要威胁有如下几点。第一,利用漏洞或者自动安装软件等隐秘行为窃取用户文件、视频等隐私;第二,传播僵尸程序把智能设备变成被劫持利用的工具;第三,黑客可以通过控制设备,反向攻击企业内部或其运行的云平台,进行数据窃取或破坏。
设备厂商安全意识淡薄
据GSMA公布的数据,预测在2025年全球物联网设备(包括蜂窝及非蜂窝)联网数量将达到252亿,远高于2017年的63亿。在预测期内,市场规模将几乎是原来的四倍。工业物联网设备联网数量将在2023年超过消费物联网设备联网数量,在2016年至2025年之间工业物联网连接量将从24亿增加到138亿。
就在物联网加速融入人们的生产生活同时,当前不少物联网设备生产厂商侧重追求新功能,对安全重视严重不足。吴云坤指出,一方面,很多设备和硬件制造商缺乏安全意识和人才。另一方面,物联网设备数量非常庞大,价格低廉是一大特点,很多厂商需要拼命压缩成本,安全方面的投入自然会严重不足,无论是升级、配置还是补丁维护等,物联网行业都非常薄弱。
一位业内人士表示,面对层出不穷的网络攻击,对设备厂商提出了新的要求,不仅仅需要保证制造的冰箱、摄像头、路由器这些产品的使用性,同时还必须要保证安全性。值得注意的是,物联网应用还较新,在监管机构出台相关法律法规前,厂商缺少动力将安全置于整个产业链中。
“从当下的市场环境看,厂商强调智能化的功能设计,求新求快是物联网行业中的主流,安全反倒是可有可无的选项,这让物联网环境更加具有脆弱性。”吴云坤说。
物联网安全标准亟待设立
在日前召开的“2018 isc互联网安全大会”上,不少专家认为,物联网设备基数庞大,加上安全防护脆弱,可以预见的是,物联网威胁将逐渐成为互联网的常态。
360企业安全集团董事长齐向东在接受《经济参考报》记者采访时表示,在目前互联网高速发展的时期,任何一点安全风险都可能被放大,造成个人信息泄露、财产损失甚至人身安全等问题,给人们生活和社会运行带来影响,而物联网的安全威胁远未见顶,随着物联网在社会生活中的普及,应用场景不断丰富,安全风险也将随之增加。
“关口前移是非常重要的,如果仅仅等到信息泄露后再补救,物联网面临的网络威胁问题将无法真正解决。”吴云坤说。他表示,首先物联网设备提供商要保障终端安全,引入安全开发流程提升终端安全性,并在产品上市前进行安全评估,其次物联网平台提供商应重点关注平台安全和设备、移动端与自身的连接是否安全,要从各个维度和环节进行把控,保障数据存储的安全性。
业内专家建议,首先,应加强安全技术标准建设及合规性检测,对因为设备自身漏洞引起的重大泄露事件,要对涉事企业进行巨额罚款等。其次,构建物联网全生命周期立体防御体系。再次,要推进攻防结合促进物联网安全技术发展,团结行业力量打造物联网安全生态。
原文来源:经济参考报 | 作者: 杨烨
物联网安全:安全问题分析
一、物联网的安全问题
物联网的安全问题是多方面的,包括传统的网络安全问题、计算系统的安全问题和物联网感知过程中的特殊安全问题等。下面简要介绍物联网系统中一些特殊的安全问题。
( 1 ) 物联网标签扫描引起信息泄露
由于物联网的运行靠的是标签扫描,而物联网设备的标签中包含着有关身份验证的相关信息和密钥等非常重要的信息,在扫描过程中标签能够自动回应阅读器,但是查询的结果不会告知所有者。这样,物联网标签扫描时可以向附近的阅读器发布信息,并且射频信号不受建筑物和金属物体阻碍,一些与物品连在一起的标签内的私密信息就有可能被泄露。在标签扫描时发生的个人隐私泄露可能会对个人造成伤害,严重的甚至会危害社会的稳定和国家的安全。
( 2 ) 物联网射频标签受到恶意攻击
物联网能够得到广泛的应用在于其大部分应用不用依靠人来完成,这样不仅节省人力,还能提高效率。但是,这种无人化的操作给恶意攻击者提供了机会。恶意攻击者很可能会对射频扫描设备进行破坏,甚至可能在实验室里获取射频信号,对标签进行篡改、伪造等,这些都会威胁到物联网的安全。
( 3 ) 标签用户可能被定位跟踪
射频识别标签只能对符合工作频率的信号予以回应,但是不能区分非法与合法的信号,这样,恶意的攻击者就可能利用非法的射频信号干扰正常的射频信号,还可能对标签所有者进行定位跟踪。这样不仅可能会给被定位和跟踪的相关人员造成生命财产安全隐患,还可能会造成国家机密的泄露,给国家带来安全危机。
( 4 ) 物联网的不安全因素可能通过互联网进行扩散
物联网建立在互联网基础之上,而互联网是一个复杂多元的平台,其本身就存在不安全的因素,如病毒、木马和各种漏洞等。以互联网为基础的物联网会受到这些安全隐患的干扰,恶意攻击者有可能利用互联网对物联网进行破坏。在物联网中已经存在的安全问题,也会通过互联网进行扩散,进而扩大不利影响。
( 5 ) 核心技术依靠国外存在安全隐患
我国的物联网技术兴起较晚,很多技术和标准体系都还不够完备,相较于世界上的发达国家,水平还很低。我国尚未掌握物联网的核心技术,目前只能依靠国外。基于此,恶意攻击者有可能在技术方面设置障碍,破坏物联网系统,影响物联网安全。
( 6 ) 物联网加密机制有待健全
目前,网络传输加密使用的是逐跳加密,只对受保护的链进行加密,中间的任何节点都可解读,这可能会造成信息的泄露。在业务传输中使用的是端到端的加密方法,但不对源地址和目标地址进行保密,这也会造成安全隐患。加密机制的不健全不仅威胁物联网安全,甚至可能威胁国家安全。
( 7 ) 物联网的安全隐患会加剧工业控制网络的安全威胁
物联网的应用面向社会上的各行各业,有效地解决了远程监测、控制和传输问题。但物联网在感知、传输和处理阶段的安全隐患,可能会延展到实际的工业网络中。这些安全隐患长期在物联网终端、物联网感知节点、物联网传输通路潜伏,伺机实施攻击,破坏工业系统安全,甚至威胁国家安全。
二、物联网的安全特征
物联网是一个多层次的网络体系,当其作为一个应用整体时,各个层次的独立安全措施简单相加不足以提供可靠的安全保障。物联网的安全特征体现在以下3个方面。
( 1 ) 安全体系结构复杂
已有的一些针对传感网、互联网、移动网、云计算等的安全解决方案在物联网环境中可以部分使用,而其余部分不再适用。物联网海量的感知终端,使其面临复杂的信任接入问题;物联网传输介质和方法的多样性,使其通信安全问题更加复杂;物联网感知的海量数据需要存储和保存,这使数据安全变得十分重要。因此,构建适合全面、可靠传输和智能处理环节的物联网安全体系结构是物联网发展的一项重要工作。
( 2 ) 安全领域涵盖广泛
首先,物联网所对应的传感网的数量和智能终端的规模巨大,是单个无线传感网无法相比的,需要引入复杂的访问控制问题;其次,物联网所连接的终端设备或器件的处理能力有很大差异,它们之间会相互作用,信任关系复杂,需要考虑差异化系统的安全问题;最后,物联网所处理的数据量将比现在的互联网和移动网大得多,需要考虑复杂的数据安全问题。所以,物联网的安全范围涵盖广泛。
( 3 ) 有别于传统的信息安全
即使分别保证了物联网各个层次的安全,也不能保证物联网的安全。这是因为物联网是融合多个层次于一体的大系统,许多安全问题来源于系统整合。例如,物联网的数据共享对安全性提出了更高的要求,物联网的应用需求对安全提出了新挑战,物联网的用户终端对隐私保护的要求也日益复杂。鉴于此,物联网的安全体系需要在现有信息安全体系之上,制定可持续发展的安全架构,使物联网在发展和应用过程中,其安全防护措施能够不断完善。
三、物联网的安全现状
目前,国内外学者针对物联网的安全问题开展了相关研究,在物联网感知、传输和处理等各个环节均开展了相关工作,但这些研究大部分是针对物联网的各个层次的,还没有形成完整系统的物联网安全体系。
在感知层,感知设备有多种类型,为确保其安全,目前主要进行加密和认证工作,利用认证机制避免标签和节点被非法访问。针对感知层加密,目前已经有了一定的技术手段加以实现,但是还需要提高安全等级,以应对更高的安全需求。
在传输层,主要研究节点到节点的机密性,利用节点与节点之间严格的认证,保证端到端的机密性;利用与密钥有关的安全协议,支持数据的安全传输。
在应用层,目前的主要研究工作是数据库安全访问控制技术,但还需要研究其他相关的安全技术,如信息保护技术、信息取证技术、数据加密检索技术等。
在物联网安全隐患中,用户隐私的泄露是危害用户的极大安全隐患,所以在考虑对策时,首先要对用户的隐私进行保护。目前主要通过加密和授权认证等方法,让只拥有解密密钥的用户才能读取通信中的用户数据以及个人信息,这样能够保证传输过程不被他人监听。但是如此一来,加密数据的使用就会变得极不方便。因此,需要研究支持密文检索和运算的加密算法。
另外,物联网核心技术掌握在世界上比较发达的国家手中,这始终会对没有掌握物联网核心技术的国家造成安全威胁。所以,要想解决物联网的安全隐患,必须加大投入力度,攻克技术难关,快速掌握物联网全生命周期的核心技术。
来源:E安全
物联网技术面临的安全漏洞
物联网(The Intrnet of Things)是在互联网的基础上,让用户延伸到任何物品与物品之间,从而进行信息交互和通信的一种网络。通俗的说就是把所有物品通过信息传感设备与互联网连接起来,进行信息交换,即物物相息,以实现智能化识别和管理。它具有普通对象设备化、自治终端互联化和普适服务智能化3个重要特征。它一般包括传感器技术、射频识别技术(RFID)、互联互通(M2M)、嵌入式技术等。
由于物联网技术的快速发展,近几年以及未来几年内物联网的应用将越来越广泛,但是它同时也带来了部分安全漏洞,尤其对于消费者来说,大部分人的信息安全意识不够强,甚至面临安全威胁时不知道如何应对。
一、感知层安全问题
感知层的主要设备是RFID和Zigbee等各种无线传感器。他的功能是感知搜集特定目标的信息。但是大部分传感器设备部署在公共区域,无法人为的实时监控,所以就很容易被攻击者控制利用。
常见的攻击方式有:
物理攻击:主要针对感知设备本身的攻击,可能会造成敏感信息泄露或者恶意追踪等。
伪造攻击:攻击者伪造电子表点或者数据,想办法通过系统的认可传输到系统当中。
重放攻击:攻击者在信息传输过程中截获数据,修改成自己的恶意数据后重新发送。
信息盗用:用户的特定身份认证信息被恶意获取去使用。
传感信息窃听:攻击者对信道中传输的信息窃取,最终分析出敏感信息。
路由器:攻击者欺骗、篡改和重发路由信息最终在信道中形成错误的信息或者信息传输延迟。
二、网络层安全问题
DDOS攻击:DDOS攻击来源于互联网可扩展到移动互联网,攻击者可通过僵尸网络创建DDOS攻击,造成网络拥堵。例如2016年9月的Mirai僵尸网络感染250万个物联网设备,其中有打印机和联网摄像头等,它们企图连接到目标网站,进而使服务器崩溃,让用户都无法正常访问网站。
恶意数据:攻击者将恶意数据比如垃圾邮件、病毒等进行传输。例如2014年1月发生了一起邮件攻击,针对电视机、路由器和至少一台智能电冰箱,每天发送30万封垃圾邮件。
隐私泄露:网络层的传输并不能完全保证敏感信息的安全,仍然会有人获取到用户的隐私问题。
三、应用层的安全问题
身份盗用:物联网中的设备一般是全自动化的,所以就有可能攻击者挟持这些设备,伪装成真正用户通过系统的身份验证,进而向系统发送不安全数据。
应用层设备漏洞:物联网的应用层大都存在其他设备的配合使用,它们很容易被攻击者直接利用。现在专家表示,勒索软件攻击者开始盯上智能设备只是个时间问题。安全研究人员已经演示了能够将勒索软件安装到智能恒温器上。比如说,他们可以将温度调高到95度,拒绝调回到正常温度,除非受害者同意支付用比特币支付的赎金。
数据保护:应用层会处理大量数据,若处理方式不够完善或者处理不够及时就会造成数据丢失等问题。
总而言之,新的互联网革命面临着巨大的安全隐患,这给将来技术的发展带来不小的压力。
来源:凯信特安全
物联网安全
自 2005 年国际电信联盟(ITU)正式提出“物联网”这一概念以来,物联网在全球范围内迅速获得认可,并成为信息产业革命第三次浪潮和第四次工业革命的核心支撑。物联网技术的发展创新, 深刻改变着传统产业形态和社会生活方式,催生了大量新产品、新服务、新模式,引发了产业、经济和社会发展新浪潮。
与此同时,数以亿计的设备接入物联网,物联网产业规模不断壮大,针对用户隐私、基础网络环境的安全攻击不断网络安全问题已成为限制物联网服务广泛部署的障碍之一。增多,
一、物联网安全发展态势
一方面,全球联网设备数量高速增长,“万物互联”成为全球网络未来发展的重要方向。据 GSMA 预测,2025 年全球物联网设备(包括蜂窝及非蜂窝)联网数量将达到 252亿。LoRa、NB-IoT 和 5G 等通信技术的发展让万物互联成为现实。尤其面向低耗流物联网终端的 NB-IoT,作为万物互联网络的一个重要分支,适合广泛部署在智慧城市、智慧交通、智能生产和智能家居等众多领域。
另一方面,物联网安全事件频发,全球物联网安全支出将不断增加。当前,基于物联网(IoT)的攻击已经成为现实。据 Gartner调查,近 20%的企业或相关机构在过去三年内遭受了至少一次基于物联网的攻击。
二、物联网安全风险分析
物联网应用涉及国民经济和人类社会生活的方方面面,典型应用如:车联网、智能家居、智能监控、智能物流、智能穿戴、智慧医疗和智慧能源等。通过对各应用系统业务流程及实现原理进行分析,总结物联网应用系统模型如图 1。
图 1 物联网应用系统模型
上述模型主要包括三部分:服务端系统、终端系统和通信网络。各部分功能主要如下:
1.服务端系统:主要功能是从物联网终端系统收集数据信息存储至服务器中,并通过业务功能模块处理后,将处理结果通过不同业务接口反馈给用户界面显示,用户可以通过 API 接口或者 UI 界面获得数据结果。
2.终端系统:主要包括低复杂性设备、复杂设备和网关,它们通过有线及无线网络将物理世界和互联网彼此相连。常见的终端系统设备包括:运动传感器、数字门锁、车联网系统、工业控制传感器等。终端系统从周围真实物理环境中收集数据,并将数据格式化后通过蜂窝或非蜂窝网络传输至服务端系统,并在接收到服务端反馈时将信息显示给用户。
3.通信网络:主要包括有线和无线通信网,负责连接服务端、终端,并为其间数据传递提供通道(电信网、互联网、卫星通信等),同时也承担终端设备与用户终端之间的信息交互(蓝牙、WIFI、近场通信等)。基于模型分析可知,物联网安全风险主要也集中在服务端、终端、通信网络三个方面。
三、物联网安全防护策略
1. 分布式数据管理系统安全防护策略
物联网系统中包含大量设备,相应会产生海量数据,因此物联网中需要配备大量服务器资源,组成一个分布式、去中心化的数据管理系统,以对网络中海量数据进行有效的存储、管理、分析等。首先,该数据管理系统必须满足分布式数据库安全相关需求,包括身份验证、数据加密、数据备份与恢复机制等方面。其次,由于物联网中部署大量服务器,物联网服务端的数据管理系统也需要做到系统加固、漏洞检测与修复、防黑客、抗 DDoS 攻击、安全审计、行为检测等服务器安全防护,以防发生由于主机被攻破导致的数据泄漏、数据篡改等安全问题。
2.基于云计算的 Web 应用安全防护策略
物联网智能设备业务系统通常会配备与云端服务相对应的基于 云计算的应用,通过浏览器界面为用户提供业务相关的数据统计、 展示及智能设备远程管理能力。这种应用本质上属于 Web 应用,因此物联网服务端也需要着重解决 Web 应用存在的安全隐患。在物联网安全防护体系中,针对 XSS、CSRF、SQL 注入、命令行注入、DDoS 攻击、流量劫持、服务器漏洞利用等典型 Web 应用攻击方式, 按照“事前防范、事中防御、事后响应”的原则,可采取以下措施, 最大程度减轻 Web 应用安全隐患,确保物联网服务端 Web 应用系统 符合安全要求,维持系统稳定运行:
(1)设置安全基线,制定防篡改、防挂马安全规范,提出监测、防护与处置机制和要求;
(2)辅助以自动检测工具、检查列表定期开展检查工作;
(3)不定期进行 Web 威胁扫描、源代码评价及渗透测试,查找系统漏洞、研判是否挂马,及时对系统进行更新升级;
(4)对收集的数据进行统计、分析,定期形成系统安全态势分析报告;
(5)安装防病毒、通讯监视等软件。
来源:中国信息通讯研究院
文章来源:微信公众号“中瀚安全”
在线咨询
在线咨询
0371-63319761