九成物聯網部件存在安全隱患

8月3日，一條勒索病毒震驚了整個物聯網領域。

蘋果新一代A12處理器的獨家供貨商——台積電（台灣積體電路製造股份有限公司）傳出消息，營運總部和新竹科學園區的12英寸晶圓廠電腦，遭到勒索病毒入侵，生產線全數停擺。

幾個小時之內，台積電在台灣地區的北、中、南三個重要生產基地都未能倖免。

直至8月6日，全部設備才重新恢復正常生產。

勒索病毒

追溯病毒入侵原因，台積電在8月4日下午發布消息稱，此次事故是由於「新機台在安裝軟體的過程中操作失誤」，導致病毒在新機台連接到台積電內部電腦網絡時，發生病毒擴散。

而這一事件將影響三季度3%的營業收入，公司的毛利潤率將下降一個百分點。

根據台積電二季報Q3業績展望，這起事件約造成2.55億美元（約合人民幣17.4億元）的營業損失。

一條勒索病毒造成數億美元損失的物聯網安全事件，為正在一路狂奔到商業物聯網廠商敲響了一記警鐘。

在網絡安全從業者眼中，這些埋頭構建應用的物聯網廠商缺少對安全防護足夠重視，致使商業物聯網和工業物聯網成為新的病毒重症災區。

「萬物互聯」會為人們帶來多大的便利，人們就可能因此付出多麼高昂的安全代價。

安全從業者為此呼籲構建一個物聯網安全生態，通過在物聯網各層級安插安全關鍵控制點，構建一個安全運營的物聯網生態。

問題初現：疏於防護的商用物聯網終端

物聯網

「物聯網」這一概念對於公眾來說早已不陌生，這項去年還在被業界探討能否落地的技術，今年已在諸多領域找到了適合自己的應用場景。

360安全公司將物聯網應用劃分成四個領域：工業物聯網、商業物聯網、消費物聯網和車聯網。

其中消費物聯網在生活中最為直觀，以小米為代表的智能家居、智能硬體已經走進千家萬戶，讓消費者最先感受到「萬物互聯」的智能化。

不過比起這些直接接觸消費者的物聯網終端，黑客更青睞為城市布下「天羅地網」的政府和企業(簡稱政企)用戶，即商業物聯網。

360企業安全集團副總裁張聰告訴《IT時報》記者，商業物聯網的終端是遭受黑客攻擊的重災區，一是因為政企本身就是攻擊的重災區；二是相比於將數據存儲在網際網路雲端的消費物聯網，尚未有過網絡安全防護經驗的政企用戶安全等級弱，更易被攻破，勒索起來也更加「有料」。

黑客控制大樓「燈光遊戲」

事實上，今年已經發生多起商業物聯網終端被勒索病毒入侵的事件。

張聰告訴記者，近日，上海市某商業樓宇的智能閘機就因蠕蟲病毒攻擊，導致網絡栓塞、帶寬被占，閘機中的指令無法下發，拒絕識別門卡。

這樣的攻擊一旦發生在上下班高峰期，將會造成整個大樓擁堵，後果很難預料。

另一個相似事件是，上海市某樓宇入口處，一個智能化電子螢幕一開機便跳出勒索軟體，黑客同樣通過操縱蠕蟲病毒，對小範圍公共場合造成影響。

儘管此類攻擊在安全人員看來十分常見，其入侵方式對傳統網際網路甚至不構成任何威脅，但是在物聯網領域，這種病毒就成為極易成功的攻擊手段。

張聰認為，商業物聯網終端遭受攻擊的根本原因，在於硬體維護人員的安全意識薄弱。

以遭受攻擊的電子螢幕為例，在一般使用者眼中，這些搭載了安卓系統、Windows系統的終端螢幕，根本不像是一個可以被攻擊的對象，於是就疏於打補丁。

一樁樁漏洞事件不斷印證，在智能設備剛開始普及的物聯網領域，公眾的安全意識相比網際網路領域落後許多。

技術深掘：暗藏危機的技術狂歡

美國發生大面積網絡癱瘓事件

物聯網時至今日還沒能獲得一個普遍認可的定義，隨著5G技術、IPv6（Internet Protocol Version 6）的疊代演進，物聯網自身的內涵也在不斷擴充演進。

但與此同時，物聯網即將遭受的安全危機或許剛剛開始。

公安三所網絡安全專家劉繼順認為，中國已經進入了物聯網的時代。

他同時指出，有研究報告顯示，2016年有64億智能設備已經連接到網絡當中，這個數字在2017年將會是84億，正在以每年30%的速度攀升，2020年預計超過200萬億。

以智能家居產業為例，2018年所占市場份額前五的國家裡，中國位居世界第二，僅次於美國。

根據工信部計算，預計到2020年，我國物聯網整體規模將超過1.8萬億，智能安防產業國內增長總值將達到7%，行業增長率保持在13%，增長速度高於全球平均水平。

在這波世界範圍內物聯網發展浪潮中，中國的技術和市場份額位列前茅，但安全防護措施不足讓人憂慮。

劉繼順以物聯網部件安全為例，指出時下終端設備80%採用的是簡單密碼，70%通信過程沒有加密，90%部件存在隱患，還有大量設備沒有更新的機制。

體現出整個產業鏈對安全問題的忽視，包括製造商、網際網路廠商、運營商等多個環節，大家都在搶占市場入口，重應用、重功能、輕安全，也不願意投入成本去解決安全問題，這也是物聯網安全面對重大安全威脅源的原因之一。

發生在美國東海岸地區的一次大面積網絡癱瘓，讓人見識到物聯網設備遭攻擊後的影響範圍之大。

2016年10月21日，美國域名解析服務提供商Dyn公司受到強力的DDoS攻擊，Dyn公司稱此次DDoS攻擊涉及千萬級別的IP位址，攻擊中UDP/DNS攻擊源IP幾乎皆為偽造IP，其中部分重要的攻擊來源於物聯網設備。

這次攻擊在全球範圍內，感染Mirai的設備已經超過100萬台，其中美國感染設備有418,592台，中國大陸有145,778台，澳大利亞94,912台，日本和香港分別為47,198和44,386台。

亦功亦守：協同組織好商業物聯網「防毒面具」

攻與守

張聰認為在當前時間點，大規模IOT項目開始落地，自然會有很多安全問題暴露出來。

但商業物聯網是一個差異化比較嚴重的領域，360安全公司正在尋找一些生產IOT設備的廠商，成立商業物聯網安全聯盟，共同織起一張應對病毒威脅的「防毒面具」。

物聯網的安全防護基礎建設相比網際網路難度更大。

張聰告訴記者，一個商業型的物聯網就是一個業務系統，和非物聯網系統相比，物聯網會多出更多感知層/終端，也就是各種各樣的傳感器，比如溫度/濕度傳感器、二維碼標籤、GPS等。

感知層就像人的視覺、觸覺、味覺、聽覺一樣，通過自動化的方式採集數據，再將業務分析推送到用戶終端，最終通過PC或手機進行實際業務操作。

「如果說物聯網平台是碎片化，那麼其終端就是粉末化的。

」張聰解釋道，正是基於此，如何把安全機制植入到平台當中，才會成為產業落地的難點。

對於物聯網安全人員來說，最可行的方案就是在不同系統層次中找到關鍵節點，並進一步找到它的安全防護控制點，進而有的放矢地接入安全控制方案。

安全關鍵控制點的確認，能夠幫助安全人員在硬體層上通過控制點，實現硬體設計規範，也能在硬體接入層和網絡層，確保所有端接入網絡時合法合規。

如果確認安全防護控制點是做好商業物聯網「防毒面具」的基礎設置，那麼提升安全性能的下一步，就是對病毒的積極防禦和主動進攻。

張聰認為，如今的安全系統狀態處在建設期，遊走在被動防禦的階段。

但是商業物聯網的目標，應當是比被動防禦更高段位的積極防禦，也就是依賴大數據和以往的學習經驗，尋找哪些地方會存在被攻擊點。

當用戶之間可以將威脅情報的互通，進而弄清楚了「到底誰在攻擊我？還在攻擊誰」？就能夠做到進攻反制，先發制人。

在物聯網生態中，開發者、安全廠商、用戶都是不可或缺的組成部分。

各方承擔起各自職責是實現織好「防毒面具」的前提。

開發者要去設計安全運營的機制，公開能夠接受安全通道的接口；安全廠商則要實時監控環境，發現問題及時通報；用戶更要承擔起集大成者的職責，擦亮眼睛選擇設備廠商。

對於張聰和360物聯網安防團隊來說，商業物聯網安全是一個始終「在路上」的發展過程。

「超前一點，但不能超越太多，不然黑客就會繞過你的防護路徑，選擇其他的路徑進攻。

」張聰告訴記者，網絡安全工作者大體上都是這樣，隨著技術演化逐步跟進，這個過程沒有止境。

相比於與「黑客」見招拆招，張聰更希望安全從業者之外的人能夠充分認識到安全的重要性，這樣才能最大效率實現防守，減少更多不必要的損失。

作者：劉慧瑩

編輯：挨踢妹

來源：《IT時報》公眾號vittimes

圖片：網絡