安博通從FIT 2019看物聯(lián)網(wǎng)(IoT)安全

Hack Demo中對物聯(lián)網(wǎng)（IoT）設(shè)備的嘗試

互聯(lián)網(wǎng)安全創(chuàng)新大會(FIT 2019)作為安全行業(yè)一年一度的盛會，匯聚了全球的安全從業(yè)者、優(yōu)秀技術(shù)專家和白帽子，共同分享交流當前最熱最尖端的技術(shù)。而每年最能吸引眼球的，還是「HACK DEMO」環(huán)節(jié)，不僅能現(xiàn)場欣賞到只有電影中才會出現(xiàn)的情節(jié)，還與我們的生活息息相關(guān)。

　　圖：Hack Demo

“Talk is cheap, Show me the code. ”這是程序員圈內(nèi)的名言，同樣也是黑客大佬們的行為準則。記得FIT 2018中，極棒實驗室(GeekPwn Lab)給我們帶來了”人臉識別門禁漏洞挖掘詳解”，現(xiàn)場演示了如何抓取門禁系統(tǒng)的正常管理通訊并進行分析，修改人臉信息以達到刷開智能門禁的目的。

還有安恒海特實驗室，通過OBD智能盒子遠程控制汽車的各項功能，比如遠程讓汽車熄火。

　　圖：汽車攻擊流程

FIT 2019中的「HACK DEMO」環(huán)節(jié)同樣精彩，由360天馬安全團隊帶來的場控音樂會熒光棒技驚全場。

　　圖：通過無線電控制熒光棒顏色

還有智能電視、智能家居破解小劇場，通過智能電視這種可遠程控制的IoT設(shè)備作為跳板，入侵一些近場設(shè)備，如門鎖、攝像頭、臺燈、掃地機器人等等。

IoT設(shè)備越來越多地出現(xiàn)在我們身邊，給我們的生活帶來很多便利;而從「HACK DEMO」中對智能家居的嘗試來看，這些設(shè)備也潛在很多安全威脅。這些威脅不再是泄漏一些無關(guān)緊要的隱私，而是會對人身安全產(chǎn)生極大的威脅。

物聯(lián)網(wǎng)（IoT）設(shè)備有哪些分類

在未來萬物互聯(lián)的時代，將會有層出不窮的IoT設(shè)備出現(xiàn)，以實現(xiàn)機器、人、物的連接。這些新的連接形態(tài)，將極大地改變網(wǎng)絡(luò)發(fā)展模式。

在互聯(lián)網(wǎng)時代，人們更多地在追求極致的速度。而在物聯(lián)網(wǎng)時代，更多地需要多樣的連接方式、更低的功耗、更強的穩(wěn)定性。按照使用的技術(shù)，比較常見的有藍牙(Bluetooth)、NFC、Zigbee等，其中Zigbee功耗更低且組網(wǎng)簡單，常在比較小型的IoT設(shè)備中出現(xiàn)。

在物聯(lián)網(wǎng)快速發(fā)展的過程中涌現(xiàn)了eMTC，SIGFIX，NB-IOT，LORA等更多專業(yè)物聯(lián)網(wǎng)協(xié)議，以更突出的性能和更低的功耗受到各大廠商重視。各種協(xié)議的基本信息如下圖。

　　圖：物聯(lián)網(wǎng)協(xié)議基本信息

按照使用場景來分，IoT設(shè)備有用于社會公共事業(yè)的，如智能電表、智能交通燈等;有用于智慧醫(yī)療的，如儀表、可穿戴設(shè)備、病人監(jiān)護等;還有用于智慧家庭的，如智能電視、智能臺燈、智能音箱、智能門禁等。

而根據(jù)物聯(lián)網(wǎng)設(shè)備的使用距離，還有一種更簡單的分類方式。對于不連接互聯(lián)網(wǎng)，只能在一定距離內(nèi)連接的，稱為近場設(shè)備。對于連接互聯(lián)網(wǎng)IoT設(shè)備稱為遠程控制設(shè)備。

　　圖：物聯(lián)網(wǎng)設(shè)備按照使用距離分類

物聯(lián)網(wǎng)（IoT）設(shè)備有哪些威脅

在FIT 2019中，海康威視提到了物聯(lián)網(wǎng)威脅在To B和To C上的不同。

公眾可能更關(guān)注車輛被遠控導(dǎo)致人身威脅，醫(yī)療器械帶來的人體攻擊，網(wǎng)絡(luò)攝像頭和可穿戴設(shè)備帶來的嚴重隱私泄漏等等。而研究人員和企業(yè)，會更關(guān)注海量物聯(lián)網(wǎng)設(shè)備均存在弱口令和漏洞，一旦被控制發(fā)起DDoS攻擊，其流量會比現(xiàn)在常見的DDoS攻擊高出N個數(shù)量級，帶來的危害不可估量。

　　圖：物聯(lián)網(wǎng)(IoT)面臨的安全威脅

因為物聯(lián)網(wǎng)設(shè)備的硬件、軟件、通信協(xié)議都沒有形成標準化的平臺，每個廠商有不同的方案，所以筆者認為物聯(lián)網(wǎng)設(shè)備的安全威脅可以從以下三個方面來分析。

硬件方面，可能存在芯片漏洞、硬編碼泄密及修改修改、電路飛線等。大量設(shè)備會保留硬件調(diào)試接口，便于生產(chǎn)時程序的燒錄，以及售后的問題診斷，這很容易被攻擊者惡意Fuzzing，尋找漏洞。

　　圖：物聯(lián)網(wǎng)設(shè)備硬件安全

軟件方面，如系統(tǒng)固件中經(jīng)常會保留調(diào)試的隱藏命令，固件的升級和信息泄露也是攻擊者的重點目標。可能存在的非必要網(wǎng)絡(luò)連接、開放的調(diào)試接口、默認口令、弱密碼、系統(tǒng)漏洞、驗證失效、硬編碼口令等，包括一些開源的第三方庫，也會成為攻擊者的目標。傳統(tǒng)的應(yīng)用安全同樣危害著IoT的云端接口，如XSS，代碼注入，越權(quán)，文件上傳下載等漏洞依舊可見。

通信協(xié)議方面，往往存在明文傳輸、鏈路劫持、數(shù)據(jù)泄漏、重放攻擊等風(fēng)險。智能設(shè)備更加依賴于無線傳輸方式，wifi、藍牙、GNSS、Zigbee等協(xié)議的應(yīng)用大大拓展了IoT的攻擊面。設(shè)備之間互聯(lián)使用開放的協(xié)議，標準不統(tǒng)一，極其容易被破解。受到成本的限制，生產(chǎn)廠商也并不重視物聯(lián)網(wǎng)設(shè)備的安全。

　　圖：近年來物聯(lián)網(wǎng)攻擊事件

這些安全威脅中，當下發(fā)生的比較多且影響比較大的有：

網(wǎng)絡(luò)攝像頭使用默認口令，導(dǎo)致用戶隱私泄漏;

非必要的網(wǎng)絡(luò)連接導(dǎo)致大量物聯(lián)網(wǎng)設(shè)備暴露在公網(wǎng)，被黑客利用;

通信協(xié)議驗證不嚴格，導(dǎo)致重放攻擊;

語音控制模塊具備設(shè)備操作功能，導(dǎo)致超聲波、次聲波攻擊;

版本更新機制問題，OTA劫持，鏈路劫持等。

物聯(lián)網(wǎng)（IoT）設(shè)備的安全如何做

物聯(lián)網(wǎng)設(shè)備因為其硬件資源的限制，無法像傳統(tǒng)安全設(shè)備那樣安裝殺毒軟件，設(shè)備本身的安全防護已無法保障整個產(chǎn)品的安全性，越來越多在業(yè)務(wù)面的攻擊沖擊著企業(yè)安全的底線。如：業(yè)務(wù)上產(chǎn)品的數(shù)據(jù)被竊取，O2O業(yè)務(wù)交易信息的泄露，DDoS攻擊造成的設(shè)備癱瘓等。諸如此類的嚴重威脅已經(jīng)不容忽視，網(wǎng)絡(luò)設(shè)備廠商有必要嘗試解決這些問題。

首先是物聯(lián)網(wǎng)設(shè)備的管理問題

當網(wǎng)絡(luò)中存在大量未知設(shè)備時，就如同行走在雷區(qū)，隨時都有可能爆發(fā)。無法發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備，其泄漏隱私與非法訪問更談不上被識別。

安博通下一代防火墻深入監(jiān)測網(wǎng)絡(luò)設(shè)備、應(yīng)用、用戶、操作系統(tǒng)和文件等信息。利用這些信息能更好地了解網(wǎng)絡(luò)行為，識別違規(guī)操作，并評估入侵風(fēng)險。防火墻采用主動掃描和監(jiān)控主機流量的方式識別網(wǎng)絡(luò)中的資產(chǎn)信息，能夠識別出網(wǎng)絡(luò)中的設(shè)備類型，包括PC、交換機、打印機、移動設(shè)備、攝像頭等;對連接互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備，也有一定的管理能力。

針對監(jiān)控攝像頭，安博通下一代防火墻對SIP、H.232、RTSP、RTP、RTCP、MPEG等視頻協(xié)議進行深入解析，能準確識別網(wǎng)絡(luò)中的攝像頭序列號、型號、品牌等基礎(chǔ)信息。基于安全域、安全策略、白名單等機制對設(shè)備合法性進行辨別，阻斷非法設(shè)備地接入。

　　圖：攝像頭管理

其次是常見系統(tǒng)漏洞，默認口令，弱密碼等

當物聯(lián)網(wǎng)設(shè)備使用弱密碼、默認密碼時，意味著這些設(shè)備很容易被作為跳板跨越到其他終端，防火墻可以發(fā)現(xiàn)這些攻擊并產(chǎn)生相應(yīng)告警。

安博通下一代防火墻應(yīng)對弱密碼防護，有主動掃描發(fā)現(xiàn)與被動識別兩種方案。能主動對網(wǎng)絡(luò)中的設(shè)備進行弱密碼掃描，試探其是否存在弱密碼，也能被動從明文協(xié)議中發(fā)現(xiàn)弱密碼并進行告警。

XSS、代碼注入、越權(quán)、文件上傳下載等漏洞，在防火墻或者IPS/WAF設(shè)備中，同樣可以被防護。

再然后是防泄密

防火墻需要識別到物聯(lián)網(wǎng)設(shè)備可能會泄漏的隱私信息，如位置、圖像、聲音信息等。因為物聯(lián)網(wǎng)設(shè)備往往成本有限，即使知道存在安全威脅，生產(chǎn)廠商也因為各種原因難以修復(fù)。

這就需要防火墻能對物聯(lián)網(wǎng)設(shè)備泄漏的隱私信息進行識別，然后阻斷或者隱藏，并且要支持用戶自定義所需的敏感信息特征。對于終端可疑的外傳信息行為，防火墻需要有日志進行記錄并分析。

最后是強化訪問控制，優(yōu)化授權(quán)機制

很多物聯(lián)網(wǎng)設(shè)備其實并不需要連網(wǎng)，而在未知的情況下被部署在公網(wǎng)或其他能訪問到的地方，會造成嚴重的影響。

防火墻應(yīng)準確定義物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)訪問權(quán)限，控制其在最小范圍內(nèi)活動，降低風(fēng)險。安博通下一代防火墻能夠精確識別到物聯(lián)網(wǎng)設(shè)備，并進行訪問控制。

安博通下一代防火墻從設(shè)備管理、弱密碼保護、防泄密、訪問控制等方面保護物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全，在IoT技術(shù)高速發(fā)展的同時融入安全因子，讓網(wǎng)絡(luò)安全成為支撐物聯(lián)網(wǎng)的牢固基石。

關(guān)于安博通

北京安博通科技股份有限公司(簡稱“安博通”)，成立于2011年，以“看透安全，體驗價值”理念為核心，是國內(nèi)領(lǐng)先的可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商。其自主研發(fā)的SPOS可視化網(wǎng)絡(luò)安全系統(tǒng)套件，已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網(wǎng)絡(luò)安全系統(tǒng)平臺，是國內(nèi)眾多部委與央企安全態(tài)勢感知平臺的核心組件與數(shù)據(jù)來源。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。