安博通從FIT 2019看物聯(lián)網(wǎng)(IoT)安全

Hack Demo中對(duì)物聯(lián)網(wǎng)（IoT）設(shè)備的嘗試

互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)(FIT 2019)作為安全行業(yè)一年一度的盛會(huì)，匯聚了全球的安全從業(yè)者、優(yōu)秀技術(shù)專家和白帽子，共同分享交流當(dāng)前最熱最尖端的技術(shù)。而每年最能吸引眼球的，還是「HACK DEMO」環(huán)節(jié)，不僅能現(xiàn)場(chǎng)欣賞到只有電影中才會(huì)出現(xiàn)的情節(jié)，還與我們的生活息息相關(guān)。

　　圖：Hack Demo

“Talk is cheap, Show me the code. ”這是程序員圈內(nèi)的名言，同樣也是黑客大佬們的行為準(zhǔn)則。記得FIT 2018中，極棒實(shí)驗(yàn)室(GeekPwn Lab)給我們帶來(lái)了”人臉識(shí)別門禁漏洞挖掘詳解”，現(xiàn)場(chǎng)演示了如何抓取門禁系統(tǒng)的正常管理通訊并進(jìn)行分析，修改人臉信息以達(dá)到刷開智能門禁的目的。

還有安恒海特實(shí)驗(yàn)室，通過(guò)OBD智能盒子遠(yuǎn)程控制汽車的各項(xiàng)功能，比如遠(yuǎn)程讓汽車熄火。

　　圖：汽車攻擊流程

FIT 2019中的「HACK DEMO」環(huán)節(jié)同樣精彩，由360天馬安全團(tuán)隊(duì)帶來(lái)的場(chǎng)控音樂(lè)會(huì)熒光棒技驚全場(chǎng)。

　　圖：通過(guò)無(wú)線電控制熒光棒顏色

還有智能電視、智能家居破解小劇場(chǎng)，通過(guò)智能電視這種可遠(yuǎn)程控制的IoT設(shè)備作為跳板，入侵一些近場(chǎng)設(shè)備，如門鎖、攝像頭、臺(tái)燈、掃地機(jī)器人等等。

IoT設(shè)備越來(lái)越多地出現(xiàn)在我們身邊，給我們的生活帶來(lái)很多便利;而從「HACK DEMO」中對(duì)智能家居的嘗試來(lái)看，這些設(shè)備也潛在很多安全威脅。這些威脅不再是泄漏一些無(wú)關(guān)緊要的隱私，而是會(huì)對(duì)人身安全產(chǎn)生極大的威脅。

物聯(lián)網(wǎng)（IoT）設(shè)備有哪些分類

在未來(lái)萬(wàn)物互聯(lián)的時(shí)代，將會(huì)有層出不窮的IoT設(shè)備出現(xiàn)，以實(shí)現(xiàn)機(jī)器、人、物的連接。這些新的連接形態(tài)，將極大地改變網(wǎng)絡(luò)發(fā)展模式。

在互聯(lián)網(wǎng)時(shí)代，人們更多地在追求極致的速度。而在物聯(lián)網(wǎng)時(shí)代，更多地需要多樣的連接方式、更低的功耗、更強(qiáng)的穩(wěn)定性。按照使用的技術(shù)，比較常見的有藍(lán)牙(Bluetooth)、NFC、Zigbee等，其中Zigbee功耗更低且組網(wǎng)簡(jiǎn)單，常在比較小型的IoT設(shè)備中出現(xiàn)。

在物聯(lián)網(wǎng)快速發(fā)展的過(guò)程中涌現(xiàn)了eMTC，SIGFIX，NB-IOT，LORA等更多專業(yè)物聯(lián)網(wǎng)協(xié)議，以更突出的性能和更低的功耗受到各大廠商重視。各種協(xié)議的基本信息如下圖。

　　圖：物聯(lián)網(wǎng)協(xié)議基本信息

按照使用場(chǎng)景來(lái)分，IoT設(shè)備有用于社會(huì)公共事業(yè)的，如智能電表、智能交通燈等;有用于智慧醫(yī)療的，如儀表、可穿戴設(shè)備、病人監(jiān)護(hù)等;還有用于智慧家庭的，如智能電視、智能臺(tái)燈、智能音箱、智能門禁等。

而根據(jù)物聯(lián)網(wǎng)設(shè)備的使用距離，還有一種更簡(jiǎn)單的分類方式。對(duì)于不連接互聯(lián)網(wǎng)，只能在一定距離內(nèi)連接的，稱為近場(chǎng)設(shè)備。對(duì)于連接互聯(lián)網(wǎng)IoT設(shè)備稱為遠(yuǎn)程控制設(shè)備。

　　圖：物聯(lián)網(wǎng)設(shè)備按照使用距離分類

物聯(lián)網(wǎng)（IoT）設(shè)備有哪些威脅

在FIT 2019中，?？低曁岬搅宋锫?lián)網(wǎng)威脅在To B和To C上的不同。

公眾可能更關(guān)注車輛被遠(yuǎn)控導(dǎo)致人身威脅，醫(yī)療器械帶來(lái)的人體攻擊，網(wǎng)絡(luò)攝像頭和可穿戴設(shè)備帶來(lái)的嚴(yán)重隱私泄漏等等。而研究人員和企業(yè)，會(huì)更關(guān)注海量物聯(lián)網(wǎng)設(shè)備均存在弱口令和漏洞，一旦被控制發(fā)起DDoS攻擊，其流量會(huì)比現(xiàn)在常見的DDoS攻擊高出N個(gè)數(shù)量級(jí)，帶來(lái)的危害不可估量。

　　圖：物聯(lián)網(wǎng)(IoT)面臨的安全威脅

因?yàn)槲锫?lián)網(wǎng)設(shè)備的硬件、軟件、通信協(xié)議都沒(méi)有形成標(biāo)準(zhǔn)化的平臺(tái)，每個(gè)廠商有不同的方案，所以筆者認(rèn)為物聯(lián)網(wǎng)設(shè)備的安全威脅可以從以下三個(gè)方面來(lái)分析。

硬件方面，可能存在芯片漏洞、硬編碼泄密及修改修改、電路飛線等。大量設(shè)備會(huì)保留硬件調(diào)試接口，便于生產(chǎn)時(shí)程序的燒錄，以及售后的問(wèn)題診斷，這很容易被攻擊者惡意Fuzzing，尋找漏洞。

　　圖：物聯(lián)網(wǎng)設(shè)備硬件安全

軟件方面，如系統(tǒng)固件中經(jīng)常會(huì)保留調(diào)試的隱藏命令，固件的升級(jí)和信息泄露也是攻擊者的重點(diǎn)目標(biāo)?？赡艽嬖诘姆潜匾W(wǎng)絡(luò)連接、開放的調(diào)試接口、默認(rèn)口令、弱密碼、系統(tǒng)漏洞、驗(yàn)證失效、硬編碼口令等，包括一些開源的第三方庫(kù)，也會(huì)成為攻擊者的目標(biāo)。傳統(tǒng)的應(yīng)用安全同樣危害著IoT的云端接口，如XSS，代碼注入，越權(quán)，文件上傳下載等漏洞依舊可見。

通信協(xié)議方面，往往存在明文傳輸、鏈路劫持、數(shù)據(jù)泄漏、重放攻擊等風(fēng)險(xiǎn)。智能設(shè)備更加依賴于無(wú)線傳輸方式，wifi、藍(lán)牙、GNSS、Zigbee等協(xié)議的應(yīng)用大大拓展了IoT的攻擊面。設(shè)備之間互聯(lián)使用開放的協(xié)議，標(biāo)準(zhǔn)不統(tǒng)一，極其容易被破解。受到成本的限制，生產(chǎn)廠商也并不重視物聯(lián)網(wǎng)設(shè)備的安全。

　　圖：近年來(lái)物聯(lián)網(wǎng)攻擊事件

這些安全威脅中，當(dāng)下發(fā)生的比較多且影響比較大的有：

網(wǎng)絡(luò)攝像頭使用默認(rèn)口令，導(dǎo)致用戶隱私泄漏;

非必要的網(wǎng)絡(luò)連接導(dǎo)致大量物聯(lián)網(wǎng)設(shè)備暴露在公網(wǎng)，被黑客利用;

通信協(xié)議驗(yàn)證不嚴(yán)格，導(dǎo)致重放攻擊;

語(yǔ)音控制模塊具備設(shè)備操作功能，導(dǎo)致超聲波、次聲波攻擊;

版本更新機(jī)制問(wèn)題，OTA劫持，鏈路劫持等。

物聯(lián)網(wǎng)（IoT）設(shè)備的安全如何做

物聯(lián)網(wǎng)設(shè)備因?yàn)槠溆布Y源的限制，無(wú)法像傳統(tǒng)安全設(shè)備那樣安裝殺毒軟件，設(shè)備本身的安全防護(hù)已無(wú)法保障整個(gè)產(chǎn)品的安全性，越來(lái)越多在業(yè)務(wù)面的攻擊沖擊著企業(yè)安全的底線。如：業(yè)務(wù)上產(chǎn)品的數(shù)據(jù)被竊取，O2O業(yè)務(wù)交易信息的泄露，DDoS攻擊造成的設(shè)備癱瘓等。諸如此類的嚴(yán)重威脅已經(jīng)不容忽視，網(wǎng)絡(luò)設(shè)備廠商有必要嘗試解決這些問(wèn)題。

首先是物聯(lián)網(wǎng)設(shè)備的管理問(wèn)題

當(dāng)網(wǎng)絡(luò)中存在大量未知設(shè)備時(shí)，就如同行走在雷區(qū)，隨時(shí)都有可能爆發(fā)。無(wú)法發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備，其泄漏隱私與非法訪問(wèn)更談不上被識(shí)別。

安博通下一代防火墻深入監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備、應(yīng)用、用戶、操作系統(tǒng)和文件等信息。利用這些信息能更好地了解網(wǎng)絡(luò)行為，識(shí)別違規(guī)操作，并評(píng)估入侵風(fēng)險(xiǎn)。防火墻采用主動(dòng)掃描和監(jiān)控主機(jī)流量的方式識(shí)別網(wǎng)絡(luò)中的資產(chǎn)信息，能夠識(shí)別出網(wǎng)絡(luò)中的設(shè)備類型，包括PC、交換機(jī)、打印機(jī)、移動(dòng)設(shè)備、攝像頭等;對(duì)連接互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備，也有一定的管理能力。

針對(duì)監(jiān)控?cái)z像頭，安博通下一代防火墻對(duì)SIP、H.232、RTSP、RTP、RTCP、MPEG等視頻協(xié)議進(jìn)行深入解析，能準(zhǔn)確識(shí)別網(wǎng)絡(luò)中的攝像頭序列號(hào)、型號(hào)、品牌等基礎(chǔ)信息。基于安全域、安全策略、白名單等機(jī)制對(duì)設(shè)備合法性進(jìn)行辨別，阻斷非法設(shè)備地接入。

　　圖：攝像頭管理

其次是常見系統(tǒng)漏洞，默認(rèn)口令，弱密碼等

當(dāng)物聯(lián)網(wǎng)設(shè)備使用弱密碼、默認(rèn)密碼時(shí)，意味著這些設(shè)備很容易被作為跳板跨越到其他終端，防火墻可以發(fā)現(xiàn)這些攻擊并產(chǎn)生相應(yīng)告警。

安博通下一代防火墻應(yīng)對(duì)弱密碼防護(hù)，有主動(dòng)掃描發(fā)現(xiàn)與被動(dòng)識(shí)別兩種方案。能主動(dòng)對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行弱密碼掃描，試探其是否存在弱密碼，也能被動(dòng)從明文協(xié)議中發(fā)現(xiàn)弱密碼并進(jìn)行告警。

XSS、代碼注入、越權(quán)、文件上傳下載等漏洞，在防火墻或者IPS/WAF設(shè)備中，同樣可以被防護(hù)。

再然后是防泄密

防火墻需要識(shí)別到物聯(lián)網(wǎng)設(shè)備可能會(huì)泄漏的隱私信息，如位置、圖像、聲音信息等。因?yàn)槲锫?lián)網(wǎng)設(shè)備往往成本有限，即使知道存在安全威脅，生產(chǎn)廠商也因?yàn)楦鞣N原因難以修復(fù)。

這就需要防火墻能對(duì)物聯(lián)網(wǎng)設(shè)備泄漏的隱私信息進(jìn)行識(shí)別，然后阻斷或者隱藏，并且要支持用戶自定義所需的敏感信息特征。對(duì)于終端可疑的外傳信息行為，防火墻需要有日志進(jìn)行記錄并分析。

最后是強(qiáng)化訪問(wèn)控制，優(yōu)化授權(quán)機(jī)制

很多物聯(lián)網(wǎng)設(shè)備其實(shí)并不需要連網(wǎng)，而在未知的情況下被部署在公網(wǎng)或其他能訪問(wèn)到的地方，會(huì)造成嚴(yán)重的影響。

防火墻應(yīng)準(zhǔn)確定義物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)訪問(wèn)權(quán)限，控制其在最小范圍內(nèi)活動(dòng)，降低風(fēng)險(xiǎn)。安博通下一代防火墻能夠精確識(shí)別到物聯(lián)網(wǎng)設(shè)備，并進(jìn)行訪問(wèn)控制。

安博通下一代防火墻從設(shè)備管理、弱密碼保護(hù)、防泄密、訪問(wèn)控制等方面保護(hù)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全，在IoT技術(shù)高速發(fā)展的同時(shí)融入安全因子，讓網(wǎng)絡(luò)安全成為支撐物聯(lián)網(wǎng)的牢固基石。

關(guān)于安博通

北京安博通科技股份有限公司(簡(jiǎn)稱“安博通”)，成立于2011年，以“看透安全，體驗(yàn)價(jià)值”理念為核心，是國(guó)內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商。其自主研發(fā)的SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)套件，已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)平臺(tái)，是國(guó)內(nèi)眾多部委與央企安全態(tài)勢(shì)感知平臺(tái)的核心組件與數(shù)據(jù)來(lái)源。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。