物联网介绍
根据ITU的定义,物联网是:通过二维码识读设备、射频识别 (RFID) 装置、红外感应器、全球定位系统和激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网相连接, 并进行信息交换和通信,实现智能化识别、定位、跟踪、监控和管理的一种网络。根据行业划分维度,一般从感知层、网络层和应用层描述其结构:
威胁来源分析
下面从物联网“云、管、端”安全三个方面进行分析,阐述了物联网目前主要面临的安全威胁,并对物联网安全管控进行分析。
(一)物联网终端安全
物联网终端作为信息空间和物理空间深度融合的代表产物,已经从面向个人消费的先锋产品快速拓展到经济社会各个领域,侧重于功能实现。传统物联网设备厂商安全能力不足,或者考虑时间和成本等因素,在终端设计上普遍忽略安全问题。物联网终端可分为智能终端和非智能终端,智能终端设备大多数具备嵌入式操作系统及终端应用,具有更大的信息安全威胁,主要有以下安全威胁。
1. 终端物理安全。由于感知终端处于不安全的物理环境,可能造成感知终端的丢失、位置移动或无法工作。
2. 终端自身安全。安全防护能力缺失使得感知设备易遭到攻击和破坏,未能及时更新导致物联网终端设备存在极高的软件漏洞风险。
3. 网络通信及结构安全。目前许多适用于通用计算设备的安全防护功能由于计算资源或系统类别的限制很难在物联网上实现,因此物联网通信机制存在较大的安全隐患。
4. 数据泄露风险。物联网系统泄露用户隐私数据的风险较高。一方面,云端服务平台可能遭受外部攻击导致用户敏感数据泄露;另一方面,在同一网段或相邻网段的设备之间也存在数据泄露渠道。
5. 恶意软件感染。一旦感知终端被物理俘获或逻辑攻破,攻击者可以利用感知终端的漏洞进行木马、病毒的攻击,使得终端节点被非法控制或处于不可用状态。
6. 服务中断。可用性或连接性的丢失可能会影响物联网设备的功能特性,例如楼宇警报系统一旦连接中断的话,将会直接影响楼宇的整体安全性。
(二)物联网管道安全
物联网“管”则是连接“云”和“端”之间的管道,物联网“管”安全为大容量智能化的信息管道安全。根据对物联网信息管道的调研,发现物联网管道安全主要有如下安全威胁。
1. 无线数据传输链路具有脆弱性。物联网的数据传输一般借助无线射频信号进行通信,信号传输过程难以得到有效防护,容易被攻击者劫持、窃听甚至篡改。
2. 传输网络易受到拒绝服务攻击。由于物联网中节点数量庞大,且以集群方式存在,攻击者可以利用控制的节点向网络发送恶意数据包,发动拒绝服务攻击,造成网络拥塞、瘫痪、服务中断。
3. 存在非授权接入和访问网络。一是用户非授权接入网络,非法使用网络资源,或对网络发起攻击;二是用户非授权访问网络非法,获取网络数据,如用户信息、配置信息、路由信息等。
4. 通信网络运营商应急管控风险。物联网设备终端规模大,且不同业务的通信功能组合较多,若运营商不能在网络侧通过地域、业务、用户等多维度实施通信功能批量应急管控,则无法应对海量终端被控引发的风险。
(三)物联网云服务安全
联网云服务在做信息与其他方资源共享时使用,因此保护好云服务安全也是保护好物联网安全的关键环节。根据对目前主流云产品的调研,发现物联网云服务安全主要有如下安全威胁:
1. 服务端存储大量用户数据,成为攻击焦点。
2. 虚拟化、容器技术提高性能同时带来安全风险。虚拟化和弹性计算技术的使用使得用户、数据的边界模糊,带来虚拟机逃逸、虚拟机镜像文件泄露、虚拟网络攻击、虚拟化软件漏洞等安全问题.
3. 系统基础环境及组件存在漏洞,易受黑客攻击。物联网业务系统中会设计操作系统、数据库、web应用等组件,这些程序自身的漏洞或设计缺陷容易导致非授权访问、数据泄露、远程控制等后果。
4. 物联网业务接口开放、应用逻辑多样,容易引入新风险。业务逻辑漏洞使攻击者可以绕过或篡改业务流程。物联网业务系统接口开放则可能会造成接口未授权调用,导致敏感数据泄露、消耗资源等风险。
物联网典型场景安全风险场景
(一)消费物联网:易催生黑色产业链
消费物联网的应用场景贴近数量众多的终端销售者,容易催生黑色产业链。近期,针对消费物联网的安全威胁事件日益增多,如英国某医疗公司推出的便携式胰岛素泵被黑客远程控制。我国国内也爆发了多起黑客利用漏洞入侵并控制家用摄像头,并非法获取用户敏感视频对用户进行敲诈的安全事件。
(二)车联网:网关类组件安全风险凸显
智能车联网通过车载智能设备同时实现与云端服务通讯和与本地总线通讯,实现通过手机应用对车辆进行远程控制的智能化需求。因此,接入车联网的车辆信息架构至少包括了行车信息总线和物联网/互联网两部分通讯网络,这使得网关类组件安全也成为了影响车联网安全的重要因素。
(三)工业互联网:漏洞等隐患严重
工业互联网在工业生产中的应用使工业生产活动开始呈现“数字化、智能化、网络化”的发展趋势,各个生产环节的互联互通成为新常态。这使得工业生产部分环节网络与外部网络互通,在提高效率的同时,可能引发严重的安全事件。据不完全统计,我国工业互联网联盟82家工业企业的ICS、SCADA等工控系统中,28.05%都出现过漏洞。
(四)产业物联网:网络安全易被忽视
产业物联网使用“智能设备+互联网”技术对已有的产业行业进行改进,实现了人、数据和机器间自由沟通,大幅提高工作效率。但由于部分设备厂商重视业务和成本而忽视安全,导致部分新设备投产后向已有业务系统引入了大量安全隐患。
物联网安全问题案例
当我们在思考,怎么才能确定所关注的摄像头问题、路由器问题等是否是物联网的典型安全问题时,我去翻阅了绿盟科技2020年的IOT报告,查看物联网设备被恶意利用的现状,如图可知,摄像头、路由器、VoIP电话等物联网设备存在大量失陷:
国内物联网资产类型分布情况数据来源:绿盟科技威胁情报中心(NTI )
以下进行举例
防护建议
1、对于个人用户,减小物联网设备感染风险的建议:
初始设置时更改设备默认密码,修改为复杂密码。
定期检查是否有固件的新版本发布并更新固件版本。
如无绝对必要,不要将物联网设备端口向互联网开放。
2、对于物联网设备厂商:
安全启动:每次启动时,有必要通过证书来验证全部有效启动程序。
及时更新补丁和固件:漏洞出现时,及时更新补丁,以免造成重大影响。
数据安全:无论是通讯中,还是在设备内部存储上看,数据安全性是通过加密来保障的。
加密密钥管理:使用动态密码,不使用固化的静态密码。默认密码导致的弱密码都是可入侵的漏洞。
来源:东方隐侠安全实验室
在线咨询
在线咨询
0371-63319761