九成物联网部件存在安全隐患

8月3日,一条勒索病毒震惊了整个物联网领域。苹果新一代A12处理器的独家供货商——台积电(台湾积体电路制造股份有限公司)传出消息,营运总部和新竹科学园区的12英寸晶圆厂电脑,遭到勒索病毒入侵,生产线全数停摆。几个小时之内,台积电在中国台湾地区的北、中、南三个重要生产基地都未能幸免。直至8月6日,全部设备才重新恢复正常生产。

追溯病毒入侵原因,台积电在8月4日下午发布消息称,此次事故是由于“新机台在安装软件的过程中操作失误”,导致病毒在新机台连接到台积电内部电脑网络时,发生病毒扩散。而这一事件将影响三季度3%的营业收入,公司的毛利润率将下降一个百分点。根据台积电二季报Q3业绩展望,这起事件约造成2.55亿美元(约合人民币17.4亿元)的营业损失。

一条勒索病毒造成数亿美元损失的物联网安全事件,为正在一路狂奔到商业物联网厂商敲响了一记警钟。在网络安全从业者眼中,这些埋头构建应用的物联网厂商缺少对安全防护足够重视,致使商业物联网和工业物联网成为新的病毒重症灾区。

“万物互联”会为人们带来多大的便利,人们就可能因此付出多么高昂的安全代价。安全从业者为此呼吁构建一个物联网安全生态,通过在物联网各层级安插安全关键控制点,构建一个安全运营的物联网生态。

问题初现:

疏于防护的商用物联网终端

“物联网”这一概念对于公众来说早已不陌生,这项去年还在被业界探讨能否落地的技术,今年已在诸多领域找到了适合自己的应用场景。360安全公司将物联网应用划分成四个领域:工业物联网、商业物联网、消费物联网和车联网。其中消费物联网在生活中最为直观,以小米为代表的智能家居、智能硬件已经走进千家万户,让消费者最先感受到“万物互联”的智能化。

不过比起这些直接接触消费者的物联网终端,黑客更青睐为城市布下“天罗地网”的政府和企业(简称政企)用户,即商业物联网。360企业安全集团副总裁张聪告诉《IT时报》记者,商业物联网的终端是遭受黑客攻击的重灾区,一是因为政企本身就是攻击的重灾区;二是相比于将数据存储在互联网云端的消费物联网,尚未有过网络安全防护经验的政企用户安全等级弱,更易被攻破,勒索起来也更加“有料”。

事实上,今年已经发生多起商业物联网终端被勒索病毒入侵的事件。张聪告诉记者,近日,某地区一商业楼宇的智能闸机就因蠕虫病毒攻击,导致网络栓塞、带宽被占,闸机中的指令无法下发,拒绝识别门卡。这样的攻击一旦发生在上下班高峰期,将会造成整个大楼拥堵,后果很难预料。

另一个相似事件是,上海市某楼宇入口处,一个智能化电子屏幕一开机便跳出勒索软件,黑客同样通过操纵蠕虫病毒,对小范围公共场合造成影响。尽管此类攻击在安全人员看来十分常见,其入侵方式对传统互联网甚至不构成任何威胁,但是在物联网领域,这种病毒就成为极易成功的攻击手段。

张聪认为,商业物联网终端遭受攻击的根本原因,在于硬件维护人员的安全意识薄弱。以遭受攻击的电子屏幕为例,在一般使用者眼中,这些搭载了安卓系统、Windows系统的终端屏幕,根本不像是一个可以被攻击的对象,于是就疏于打补丁。

一桩桩漏洞事件不断印证,在智能设备刚开始普及的物联网领域,公众的安全意识相比互联网领域落后许多。

技术深掘:

暗藏危机的技术狂欢

物联网时至今日还没能获得一个普遍认可的定义,随着5G技术、IPv6(Internet Protocol Version 6)的迭代演进,物联网自身的内涵也在不断扩充演进。但与此同时,物联网即将遭受的安全危机或许刚刚开始。

公安三所网络安全专家刘继顺认为,中国已经进入了物联网的时代。他同时指出,有研究报告显示,2016年有64亿智能设备已经连接到网络当中,这个数字在2017年将会是84亿,正在以每年30%的速度攀升,2020年预计超过200万亿。以智能家居产业为例,2018年所占市场份额前五的国家里,中国位居世界第二,仅次于美国。根据工信部计算,预计到2020年,我国物联网整体规模将超过1.8万亿,智能安防产业国内增长总值将达到7%,行业增长率保持在13%,增长速度高于全球平均水平。

在这波世界范围内物联网发展浪潮中,中国的技术和市场份额位列前茅,但安全防护措施不足让人忧虑。刘继顺以物联网部件安全为例,指出时下终端设备80%采用的是简单密码,70%通信过程没有加密,90%部件存在隐患,还有大量设备没有更新的机制。体现出整个产业链对安全问题的忽视,包括制造商、互联网厂商、运营商等多个环节,大家都在抢占市场入口,重应用、重功能、轻安全,也不愿意投入成本去解决安全问题,这也是物联网安全面对重大安全威胁源的原因之一。

发生在美国东海岸地区的一次大面积网络瘫痪,让人见识到物联网设备遭攻击后的影响范围之大。2016年10月21日,美国域名解析服务提供商Dyn公司受到强力的DDoS攻击,Dyn公司称此次DDoS攻击涉及千万级别的IP地址,攻击中UDP/DNS攻击源IP几乎皆为伪造IP,其中部分重要的攻击来源于物联网设备。这次攻击在全球范围内,感染Mirai的设备已经超过100万台,其中美国感染设备有418,592台,中国大陆有145,778台,澳大利亚94,912台,日本和中国香港分别为47,198和44,386台。

亦功亦守:

协同组织好商业物联网“防毒面具”

张聪认为在当前时间点,大规模IOT项目开始落地,自然会有很多安全问题暴露出来。但商业物联网是一个差异化比较严重的领域,360安全公司正在寻找一些生产IOT设备的厂商,成立商业物联网安全联盟,共同织起一张应对病毒威胁的“防毒面具”。

物联网的安全防护基础建设相比互联网难度更大。张聪告诉记者,一个商业型的物联网就是一个业务系统,和非物联网系统相比,物联网会多出更多感知层/终端,也就是各种各样的传感器,比如温度/湿度传感器、二维码标签、GPS等。感知层就像人的视觉、触觉、味觉、听觉一样,通过自动化的方式采集数据,再将业务分析推送到用户终端,最终通过PC或手机进行实际业务操作。

“如果说物联网平台是碎片化,那么其终端就是粉末化的。”张聪解释道,正是基于此,如何把安全机制植入到平台当中,才会成为产业落地的难点。

对于物联网安全人员来说,最可行的方案就是在不同系统层次中找到关键节点,并进一步找到它的安全防护控制点,进而有的放矢地接入安全控制方案。安全关键控制点的确认,能够帮助安全人员在硬件层上通过控制点,实现硬件设计规范,也能在硬件接入层和网络层,确保所有端接入网络时合法合规。

如果确认安全防护控制点是做好商业物联网“防毒面具”的基础设置,那么提升安全性能的下一步,就是对病毒的积极防御和主动进攻。

张聪认为,如今的安全系统状态处在建设期,游走在被动防御的阶段。但是商业物联网的目标,应当是比被动防御更高段位的积极防御,也就是依赖大数据和以往的学习经验,寻找哪些地方会存在被攻击点。当用户之间可以将威胁情报的互通,进而弄清楚了“到底谁在攻击我?还在攻击谁”?就能够做到进攻反制,先发制人。

在物联网生态中,开发者、安全厂商、用户都是不可或缺的组成部分。各方承担起各自职责是实现织好“防毒面具”的前提。开发者要去设计安全运营的机制,公开能够接受安全通道的接口;安全厂商则要实时监控环境,发现问题及时通报;用户更要承担起集大成者的职责,擦亮眼睛选择设备厂商。

对于张聪和360物联网安防团队来说,商业物联网安全是一个始终“在路上”的发展过程。“超前一点,但不能超越太多,不然黑客就会绕过你的防护路径,选择其他的路径进攻。”张聪告诉记者,网络安全工作者大体上都是这样,随着技术演化逐步跟进,这个过程没有止境。相比于与“黑客”见招拆招,张聪更希望安全从业者之外的人能够充分认识到安全的重要性,这样才能最大效率实现防守,减少更多不必要的损失。

作者:刘慧莹

编辑:挨踢妹

来源:《IT时报》公众号vittimes

(0)

相关推荐

  • 终端安全进入自适应数据安全运营时代

    2021年,将是数字化转型过程中及其重要的一年! 世间万事万物都存在有规律的节点,这一年不仅将是世界格局的转折点,还将是很多行业生死攸关的转折点,更将是无数普通人逆袭的绝佳之年. 如果一个时代,让你觉 ...

  • 阳光能杀灭大部分细菌吗?

    防毒面具可以分为两种:一种是过滤式防毒面具另一种为隔绝式防毒面具.后者本身就是多在极其恶劣的条件下使用,面具使用自身的储氧设备进行供气,与外界空气是完全隔绝的,对于防护病毒细菌是有效的.而我们在生活中 ...

  • 移动存储及外联控制管理解决方案

    经常会有朋友问起几个关于网络信息安全保护建设的问题.因为随着2017年<网络安全法>的颁布,很多用户都加大了对信息网络安全建设的投入,虽然是花费了大量的人力和物力,但是还是有大量的用户抱怨 ...

  • 新型网络病毒“风暴”防护解决方案

    方案概述 勒索病毒以挖矿病毒的泛滥已经成为当下最具威胁和破坏力的新型网络病毒.勒索病毒是一种新型电脑病毒,主要以邮件.程序木马.网页挂马的形式进行传播,这种病毒利用各种加密算法对文件进行加密,被感染者 ...

  • 主动防御简述

    主动防御 一.定义 二.主动防御和被动防御的比较 三.主动防御的方法 四.主动防御的作用 五.主动防御带来的隐患 六.关于主动防御中防守反击的建议 七.主动防御在国内外的发展 八.总结 主动防御可以指 ...

  • 483只个股一季度被社保基金持有 近九成公司净利润同比增长

    [483只个股一季度被社保基金持有 近九成公司净利润同比增长]统计发现,社保基金2021年一季度末持有483只个股,持股市值合计达3811.03亿元,较上一期增加336.58亿元.上述483只个股主要 ...

  • 富硒食品层出不穷 九成含硒量有猫腻

    近年来,市场上以富硒为卖点的食物层出不穷,日前,中科院硒生物技术院士工作站办公室主任程敬卿透露,市道市情上90%的硒产品可能不达标,部门厂家采用的喷洒式添加法存在隐患.在光大会展中央的农产品展销会上, ...

  • 超九成的肠癌由它引起?关于肠息肉,5种类型发现后需及时切除

    较真要点:90%的肠癌都是从息肉一步步演变而来,肠息肉如果不作处理,会慢慢发展,导致细胞突变,容易恶化成结肠癌.从结肠息肉发展到结肠癌的进程较为缓慢,一般需要5-10年的时间,这就意味着我们能够通过及 ...

  • 九成Win10用户不知道的功能!神一样的无线投屏

    最近有个朋友向笔者反馈了这样一个烦恼:买了一台新的台式机,手里又有一台笔记本,有时候某些笔记本电脑里面的东西想要用台式机的大屏幕看,但手里面又没有视频线缆,要怎么办?其实使用Win10的无线投屏,就完 ...

  • 光绪年月湖南商办磁业公司铜元贰拾枚一枚九成新

    光绪年月湖南商办磁业公司铜元贰拾枚一枚,附存根,九成新.

  • 九成家长都没发现,孩子考得越来越差竟是因为自己

    为了让孩子提高成绩,不少家长不惜花血本请名师,择名校,可是结果却常常事与愿违,没有功劳,只有苦劳和疲劳,花费了大量的人力.财力,换来的是家长与孩子的身心憔悴,家庭的幸福指数没有上升反而大幅下降. 家长 ...

  • 中国古代赋税的利与弊:利大于弊的赋税,成推动王朝灭亡的隐患

    赋税是中国古代一项重要的税收,它能给朝廷带来巨额收入,赋税的变化,也和朝代的更替息息相关.中国古代的赋税制度起源很早,到秦始皇统一天下后,赋税制度开始完善和统一.由于不同的朝代,赋税制度也是不一样的. ...

  • 诺奖得主本庶佑: 不要相信论文里写的东西,《自然》《科学》这些杂志上的观点有九成是不正确的

    2020-08-03 21:38 本庶佑: 真正一流的工作往往没有在顶级刊物上发表 研究方法应该是多元的,每位学人都可能有适合自己的方法,本庶佑的方法是其中很有特色的一元.本文摘选本庶佑关于求学.研究 ...

  • 乳痛要治吗?这个问题九成女性很担心

    来源:羊城晚报2021-05-12 09:32 X 乳房胀痛.乳房肿块.乳头溢液等症状,正在困扰着万千女性.其中,70%-80%的女性在其一生中都会在某个时期经历过不同程度的乳腺疼痛.家庭和工作的疲累 ...