近Gartner的一項調(diào)查發(fā)現(xiàn),近20%的企業(yè)組織在過去三年中至少發(fā)現(xiàn)過一次基于物聯(lián)網(wǎng)的攻擊���。Gartner公司預測��,為防范這些威脅,2018年全球物聯(lián)網(wǎng)安全支出將達到15億美元���,比2017年的12億美元增長28%�����。
據(jù)國家信息安全漏洞共享平臺(CNVD)公布的數(shù)據(jù)顯示�,2016年收到1117個物聯(lián)網(wǎng)設備漏洞,而到2017年達到2440個�,增長了118.4%。網(wǎng)絡攝像頭����、路由器、手機設備占領漏洞數(shù)量前三甲���。所有IoT終端中��,80%的設備存在隱私泄露或濫用的風險�,80%的設備使用弱密碼���、70%的設備的網(wǎng)絡通訊沒有加密���、60%設備的web界面存在漏洞、60%設備的軟件更新未做加密�����。
物聯(lián)網(wǎng)技術飛速發(fā)展,隨之而來的安全問題同比激增���,換言之�,物聯(lián)網(wǎng)的發(fā)展因為安全問題到達了一定的瓶頸期����,從以上數(shù)據(jù)不難看出,半數(shù)以上的IoT設備都存在一定程度的安全隱患�,這一點手機智能用戶恐怕深有體會:從早上鬧鐘響起那一刻起,自己一天的活動數(shù)據(jù)已經(jīng)被智能手機開始記錄�,之后,打車�、叫外賣等等通過手機進行的行為數(shù)據(jù)均被記錄下來,你的興趣��、生活習慣�,行蹤等等通過簡單的數(shù)據(jù)分析形成一副生動的用戶畫像,一旦被黑客攻擊���,毫無隱私可言����。
去年12月,為了防止視頻直播被人惡意利用����,360主動�、永久地關閉了在風口浪尖上的水滴直播平臺。2016���、2017連續(xù)兩年特斯拉汽車被中國安全研究員攻破����,可實現(xiàn)遠程解鎖���,行駛間控制等攻擊�����,相比視頻直播平臺“被黑”����,汽車駕駛“被黑”的后果嚴重的多��,尤其發(fā)展到無人駕駛�����,行駛被控制,豈不是有“謀殺”的風險��。
事實上潛藏在身邊的致命威脅還有很多�����。
2017年8月�����,沙特阿拉伯一家煉油廠遭遇網(wǎng)絡攻擊�����。攻擊者對Triconex安全控制器下手���,意圖引發(fā)爆炸級別的重大破壞�。這些控制器在全球1.8萬家各類工廠中運轉(zhuǎn)����,核電站、凈水廠、煉油廠和化工廠都有使用�。而就在本次網(wǎng)絡攻擊前9個月前,烏克蘭電力公司因被黑客入侵導致西部地區(qū)大規(guī)模停電�����,直接影響了三個不同配電服務區(qū)域的多 22.5萬名客戶�,持續(xù)了數(shù)小時��。
頂象技術安全總監(jiān)邱寅峰表示:“物聯(lián)網(wǎng)安全與傳統(tǒng)個人的信息安全的第一大區(qū)別在于物聯(lián)網(wǎng)終端更為廣泛�,具有群體性攻擊的風險。其次�����,物聯(lián)網(wǎng)安全漏洞更為嚴重的后果是可能導致致命風險��。造成這類原因主要是安全標準滯后����、廠商缺乏安全意識、自研安全方案成本高����、攻擊成本低、傳統(tǒng)安全問題多,攻擊日益復雜多樣等���。物聯(lián)網(wǎng)設備基數(shù)大��、24小時全天候在線����,面臨的危險更多��,極易發(fā)生大規(guī)模攻擊性事件��������!
為了防止致命風險的發(fā)生�,首先要了解物聯(lián)網(wǎng)的組成���。頂象技術移動安全負責人梁家輝表示����,物聯(lián)網(wǎng)都有三部分組成:云端服務器���、IoT設備��、手機App����。
其中,云端服務器主要一旦通訊協(xié)議遭破解��、機器批量爬取數(shù)據(jù)��、被上傳偽造數(shù)據(jù)����,就可能造成業(yè)務系統(tǒng)被惡意利用�、隱私信息泄露和數(shù)據(jù)被竊取等;而IoT設備和手機App的代碼被破解、漏洞被利用����、通信被監(jiān)聽或劫持,就會造成密鑰丟失���、敏感數(shù)據(jù)遭盜取�、設備被惡意控制����、核心業(yè)務與知識產(chǎn)權泄露等�����。
為了有效抵御漏洞���,頂象在云端服務器、IoT設備�、手機App均做了安全防護。
首先���,在IoT設備和手機App上部署頂象虛機源碼保護����。它能夠?qū)⒃创a編譯生成虛擬加密指令�����,且每臺設備均不相同����。運行時使用頂象獨創(chuàng)的虛擬CPU直接運行加密的指令,從而杜絕黑客逆向工具無法逆向破解�。
其次�,在IoT設備和手機App上部署頂象安全SDK�����。通過加密數(shù)據(jù)與設備綁定�����,實現(xiàn)數(shù)據(jù)鏈路保護�����,保證數(shù)據(jù)傳輸?shù)恼鎸�����、保密���、不可篡改,讓外界無法破解算法邏輯�����。
第三�����,在云端服務器上部署頂象智能風控服務。它能夠及時有效識別設備上報的非正常數(shù)據(jù)和App發(fā)起的非正�?刂浦噶睿⒂行Ь芙^攻擊者對服務器端數(shù)據(jù)的爬取等��。
當安全問題不僅僅是隱私安全問題���,而是上升到人身安全的程度時����,物聯(lián)網(wǎng)安全問題必須得到重視����。目前,物聯(lián)網(wǎng)設備的焦點在于:權限繞過��、拒絕服務��、信息泄露���、跨站���、命令執(zhí)行���、緩沖區(qū)溢出、SQL注入�、弱口令、設計缺陷����、權限獲齲按漏洞數(shù)量排名這十大問題,每一環(huán)節(jié)出問題都可能引發(fā)致命風險���。
皖公網(wǎng)安備 34019102000826號