IoT物联网安全风险威胁报告

首页 » 物联网 » IoT物联网安全风险威胁报告

01

物联网安全概述

物联网的定义:日常物品(如电视、冰箱、空调、灯、窗帘)都有网络连接,允许数据的发送和接收。

万物互联(IOT)时代已经到来。随着智能硬件创业的兴起,大量智能家居和可穿戴设备进入人们的生活。根据Gartner的报告,2020年全球IOT物联网设备的数量将达到260亿。然而,由于安全标准的滞后以及智能设备厂商安全意识和投入的不足,物联网埋下了极大的隐患,是个人隐私、企业信息安全乃至国家关键基础设施的头号安全威胁。试想一下,无论是家庭还是企业的互联设备,比如红绿灯、恒温器,或者连接到互联网的医疗监护设备,受到攻击,后果都将是可怕的。

物联网的一般架构通常由执行器、网关、传感器、云、手机app五部分组成。

IoT物联网安全风险威胁报告

  • 移动app(Mobile):大部分移动设备在设备上使用的应用程序,实现移动终端控制物联网环境进行交互;

    云:web接口或API主机云):用于大型数据集的数据收集和分析的Web应用程序。一般来说,在与其他资源共享信息时使用;

    网关:用于收集传感器信息和控制中心;

    执行器:通过物理过程控制事物,如空调机组、门锁、窗帘;

    传感器:用于检测环境,如光线、运动、温度、湿度、水/电;

    按照业务形态,物联网主要分为工业控制物联网、车载物联网和智能家居物联网。不同的业务形式对安全性有不同的要求。

    控制工业物联网:涉及国家安全,目前工业控制网络基本都是明文协议,容易被攻击。所以很多安全公司很早就看到了这块蛋糕:Winute,匡恩网络等。已经完成市场布局。主要产品形态:工控防火墙、工控漏洞挖掘和主机白名单产品。安全需求基本上是传统的安全观念。

    车内物联网:涉及司机的生命安全。但是,目前是一个追求标准的时代。目前国内厂商360在这方面已经有所建树。在标准确定之前,安全厂商希望制造升级版的OBD和嵌入式安全硬件。国外安全厂商的产品形式有OBD防火墙、云大数据分析异常监控等。安全需求集中在车载核心物联网硬件的安全性上。

    家居智能物联网:涉及个人和家庭隐私。这方面的安全投入比较少。但相对来说,会有更多的大家电企业。这也是安全厂商的机会。目前我们公司的产品形态主要是智能家居物联网,后续会是关注的重点。

    要保障物联网安全,首先要了解企业级物联网架构。

智能家居物联网:

IoT物联网安全风险威胁报告

目前一个典型的物联网项目,从构成上来说,至少有三个部分:一是设备端;第二是云;三是监控端。它们之间的消息传输是根据通信协议完成的。物联网安全的威胁风险也主要来自这四个部分。

02

物联网安全威胁及现状

惠普安全研究院对最受欢迎的10款物联网智能设备进行调查后发现,几乎所有设备都存在高危漏洞,主要有五大安全隐患。一些关键数据如下:

80%的IOT设备存在隐私泄露或滥用的风险;

80%的IOT设备允许弱密码;

70%的IOT设备在不加密的情况下与互联网或局域网通信;

60%的IOT设备的网络界面存在安全漏洞;

60%的IOT设备在下载软件更新时没有使用加密;

阅读网上关于物联网安全的报道,会发现很多与安全相关的触目惊心的事件,比如:汽车被黑客远程操控,失控;摄像头被入侵偷窥;联网烤箱被恶意控制干烧;洗衣机空转;美国制造了零日漏洞病毒,利用“震网”(Stuxnet)闯入伊朗核电站,破坏了伊朗的核实施计划。这些信息安全问题已经影响到我们的人身、财产、生命安全甚至国家安全。

2.1

物联网通信协议安全

物联网厂商有必要提供协议接入API接口和接入证书,以便更全面地监控物联网设备,更好地判断异常现象。对于MQTT协议,如果是XMPP,建议不要使用这种不支持TLS的物联网协议。协议本身缺乏安全性考虑。自由协议,建议是站在巨人的肩膀上做事。自己造轮子会有很多缺陷,不建议使用。出于成本考虑,协议本身建议增加一些安全限制。

2.2

物联网设备的安全现状

2.2.1.IOT设备的一般漏洞由制造商进行排名。

2016年,CNVD记录了1117个IOT设备漏洞,包括思科、华为、谷歌、Moxa等厂商。其中,传统网络设备厂商思科有356个漏洞,占全年IOT漏洞的32%;华为排名第二,共有155个条目;安卓系统提供商谷歌排名第三,工业设备产品提供商Moxa和西门子分别排名第四和第五。

IoT物联网安全风险威胁报告

2.2.3. IOT设备通用漏洞按风险技术类型分布

2016年CNVD收录的IOT设备的漏洞类型有特权绕过、拒绝服务、信息泄露、跨站点、命令执行、缓冲区溢出、SQL注入、弱密码、设计缺陷等。其中,权限旁路、拒绝服务、信息泄露漏洞数量位列前三,分别占记录漏洞总数的23%、19%、13%。至于弱密码(或内置默认密码)漏洞,虽然在统计比例上漏洞数量较少(2%),但实际影响非常广泛,已经成为恶意代码攻击和利用的重要风险点。

IoT物联网安全风险威胁报告

2.2.4. IOT设备通用漏洞按设备标签类型分布

2016年,CNVD公开收集了1117个IOT设备漏洞,受影响的设备类型(由标签定义)包括网络摄像头、路由器、手机设备、防火墙、网关设备、交换机等。其中,网络摄像头、路由器、手机设备的漏洞数量位列前三,分别占公开记录漏洞总数的10%、9%、5%。

IoT物联网安全风险威胁报告

2.2.5. IOT设备事件型漏洞按设备标签类型分布

根据CNVD白帽、补天平台、漏洞盒子的汇总信息,CNVD记录了2016年IOT设备的540个事件漏洞。不同于一般软硬件漏洞影响的设备标签类型,主要涉及交换机、路由器、网关设备、GPS设备、手机设备、智能监控平台、网络摄像机、打印机、一卡通产品等。其中,GPS设备、一卡通产品和网络摄像头的漏洞数量位列前三,分别占公开记录漏洞总量的22%、7%和7%。值得注意的是,目前政府、高校及相关行业单位陆续建立了一些与交通、环境、能源、校园管理相关的智能监控平台。这些智能监控平台的漏洞虽然只占很小的比例(2%),但一旦被黑,实际威胁是非常严重的。

IoT物联网安全风险威胁报告

2.2.6. 传统网络设备漏洞收录统计

根据CNVD平台近五年公开发布的网络设备(包括路由器、交换机、防火墙、传统网络设备网关)漏洞分布分析,传统网络设备漏洞数量总体呈上升趋势。2016年,CNVD公开发布网络设备漏洞697个,较去年增长27%。

IoT物联网安全风险威胁报告

2.2.7.典型的IOT设备漏洞案例

Android摄像头驱动程序权限获取漏洞

Lexmark打印机竞争条件漏洞

Geer安全认证网关系统存在许多命令执行漏洞。

很多mtk平台手机推广FOTA服务存在系统权限提升漏洞(魅魔漏洞)。

Android联发科技GPS驱动程序电源提升漏洞

很多索尼网络摄像头产品都有后门账号的风险。

Netgear的几款路由器存在任意命令注入漏洞。

Pulse安全桌面客户端(Juniper Junos Pulse)权限提升漏洞

Cisco ASA软件IKE密钥交换协议缓冲区溢出漏洞

Fortigate防火墙存在SSH认证“后门”漏洞。

2.3

云安全

黑客入侵智能设备并不难。很多时候,他们不需要知道物联网智能设备有什么功能,如何工作。只要能访问与智能设备相连的相关网站,就能控制物联网设备,而与设备相连的网站通常部署在云端。因此,保护云的安全也是保护物联网安全的关键环节。云一般包括三个部分:web前台+web后台+中间件。

根据2016年云产品调查发现,云安全存在十二大威胁,云服务客户和提供商可以根据这些威胁调整防御策略。

IoT物联网安全风险威胁报告

近年来,云应用安全事件频发。

2.3.1.数据库信息泄漏

案例:

云平台是面向个人、企业和政府的云计算服务。2006年3月,被曝有门户管理后台和系统管理员账号弱密码。登录账号可以查看几十万用户的个人信息。获取的用户个人账户密码可以登录客户应用平台,查看应用配置信息,进而获取业务安装包、代码、关键数据等敏感信息,进一步获取数据库访问权限、记录篡改、交易伪造、系统瘫痪等。这样一个看似简单的数据泄露发生在云平台的门户网站,影响非同一般。

原因:账号弱密码容易被暴力破解。

预防:增加密码复杂度,设置易记但难猜的密码。

2.3.2.服务配置信息以明文形式存储在云中。

案例:

2014年8月,某专门从事Paas服务的云被曝出,由于服务器权限不当,可利用木马查看云中存储的不同客户的服务配置信息,包括WAR包、数据库配置文件等。,给托管客户的应用服务带来了巨大的安全隐患。

原因:云服务提供商的服务器权限设置不当。

预防:使用云平台的用户对放在云上的服务配置信息进行加密存储。

2.3.3.虚拟化漏洞

案例:“门户事件”——越界读取内存导致跨虚拟机执行任意代码。

原因:云平台虚拟化漏洞导致主机内存读写越界,从而实现虚拟机逃逸。

防范:经调查,大部分云威胁风险来自云服务提供商的平台漏洞,但云服务用户过于简单的应用部署和对敏感数据保护的不重视也是威胁风险产生的重要原因。

IoT物联网安全风险威胁报告

对于云服务用户来说,必须考虑自我保护,而不是依赖云服务提供商。云服务用户需要重点保护自己的云应用核心代码、关键数据和系统访问安全。他们可以从云代码加固、数据安全保护、云安全接入三个维度来设计一套安全防护体系。

IoT物联网安全风险威胁报告

云服务用户在应用层保护自己的云代码、数据和系统访问,确保云应用在不可信环境下的安全性。云服务提供商需要保护云平台的基础设施,提供云平台虚拟化、网络、配置、漏洞等各种安全保护功能。

构建安全可信的云运行环境需要云服务提供商和用户的共同努力,让黑客更难访问与物联网设备相连的网站,从而提高物联网的安全性。

03

企业安全

3.1

为什么安全?

企业安全的驱动力主要来自以下几个方面:

面对来自各方的安全威胁

比如:外部黑客、网络黑客、竞争对手、内部人员。

B.面临各种安全挑战

比如:安全漏洞、网络攻击、敲诈勒索、敏感信息泄露等。

C.安全问题将对公司的经营和业务发展产生不利影响。

比如:经济损失、用户流失、财产损失、名誉受损、信誉度下降等。

3.2

企业需要什么样的安全性?

尽管每个企业因其自身的业务特点而有所不同,但仍有许多共性,例如:

A.数据安全

数据安全是所有互联网公司的核心安全需求,也是大多数网络企业高管最关心的安全问题。目标是保证企业敏感数据的安全性和可控性。

B.在攻防对抗中占据主动

能够掌握企业整体的安全状况,主动发现潜在的安全风险,知道谁、什么时候、受到了什么样的攻击,攻击是否成功,目标系统受到的影响有多大,第一时间解决遇到的安全问题。

C.确保业务的安全性、连续性和可用性

尽可能降低业务系统受到网络攻击影响的安全风险,比如最常见的DDOS和CC攻击。

3.3

如何做到安全?

A.树立正确的安全观念

安全是相对的。企业绝不是做一个渗透测试,找一家安全公司提供安全解决方案或者购买一些安全产品和服务就能搞定的。安全是一个整体的、动态的东西,需要长期做,持续投入。

B.企业安全的完整视角

互联网安全包括以下几个部分:

IoT物联网安全风险威胁报告

人们总想把一切都交给互联网,但严重的安全错误却时常发生。目前我们还处于物联网的早期阶段,很多东西都没有联网。但是一旦它们互联起来,对普通用户和黑客都有很大用处。这就要求公司要优先考虑安全因素,在设备中植入防护措施。大多数错误是由于安全目标不明确,缺乏经验和意识。我们必须采取安全的物联网策略,而不是指望他们主动给我们安全。面对物联网的安全危机,物联网的智能设备厂商在构建安全时可以参考以下建议:

对生产的智能产品进行全面的安全审核;

企业需要在生产IOT产品之前部署基本的安全标准;

将安全融入产品生命周期,在产品还在设计阶段就接受隐私和风险评估认证。比如,用户在使用可能存在潜在安全风险的网络时,被强制更改密码或开启加密服务;

传统的互联网连接网络和传统的云架构仍然需要传统的边界保护解决方案。

A.带防火墙模块的硬件IPS:可以限制App访问的端口,检测传统的SQLi、XSS等。;

B.WAF:web应用防火墙,主要通过上下文语义关联来检查和拦截OWASP Top 10攻击类型;

C.定期扫描后端web应用、数据库服务器、物联网大数据分析平台等。针对操作系统、中间件和数据库中的漏洞。建议用渗透试验多发现问题。

在调查了各种物联网安全公司后,发现他们一般的解决方案如下:

A.IOT设备的资产管理

快速发现连接到网络的物联网设备;

互联物联网设备的可视化;

配置和基线检测;

B.快速安全的响应

快速检测出异常终端;

隔离可疑应用,阻止攻击向物联网网络传播;

C.通过大数据分析物联网事件,预测其安全状态并给出防范建议。

D.在物联网设备上安装状态防火墙,保证通信协议的安全性。

为了有效降低风险,提高物联网设备的安全水平,厂商和开发者可以从以下六个方面入手。

IoT物联网安全风险威胁报告

|

本文章来源于互联网,如有侵权,请联系删除!

相关推荐: 解读全球十大公司物联网战略,一个万物智能的世界即将到来

解读全球十大公司物联网战略,一个万物智能的世界即将到来   互联网时代已经过去,移动互联网红利已褪去,信息科技开始向物联网转变,为社会数字化带来重大变革,并且物联网发展席卷全球,被视为未来科技发展重要方向,承载了世界人民梦想。同时,物联网也被视作全球经济增长新…