九成物聯網部件存在安全隱患

文章推薦指數: 80 %
投票人數:10人

8月3日,一條勒索病毒震驚了整個物聯網領域。

蘋果新一代A12處理器的獨家供貨商——台積電(台灣積體電路製造股份有限公司)傳出消息,營運總部和新竹科學園區的12英寸晶圓廠電腦,遭到勒索病毒入侵,生產線全數停擺。

幾個小時之內,台積電在台灣地區的北、中、南三個重要生產基地都未能倖免。

直至8月6日,全部設備才重新恢復正常生產。

勒索病毒

追溯病毒入侵原因,台積電在8月4日下午發布消息稱,此次事故是由於「新機台在安裝軟體的過程中操作失誤」,導致病毒在新機台連接到台積電內部電腦網絡時,發生病毒擴散。

而這一事件將影響三季度3%的營業收入,公司的毛利潤率將下降一個百分點。

根據台積電二季報Q3業績展望,這起事件約造成2.55億美元(約合人民幣17.4億元)的營業損失。

一條勒索病毒造成數億美元損失的物聯網安全事件,為正在一路狂奔到商業物聯網廠商敲響了一記警鐘。

在網絡安全從業者眼中,這些埋頭構建應用的物聯網廠商缺少對安全防護足夠重視,致使商業物聯網和工業物聯網成為新的病毒重症災區。

「萬物互聯」會為人們帶來多大的便利,人們就可能因此付出多麼高昂的安全代價。

安全從業者為此呼籲構建一個物聯網安全生態,通過在物聯網各層級安插安全關鍵控制點,構建一個安全運營的物聯網生態。

問題初現:疏於防護的商用物聯網終端

物聯網

「物聯網」這一概念對於公眾來說早已不陌生,這項去年還在被業界探討能否落地的技術,今年已在諸多領域找到了適合自己的應用場景。

360安全公司將物聯網應用劃分成四個領域:工業物聯網、商業物聯網、消費物聯網和車聯網。

其中消費物聯網在生活中最為直觀,以小米為代表的智能家居、智能硬體已經走進千家萬戶,讓消費者最先感受到「萬物互聯」的智能化。

不過比起這些直接接觸消費者的物聯網終端,黑客更青睞為城市布下「天羅地網」的政府和企業(簡稱政企)用戶,即商業物聯網。

360企業安全集團副總裁張聰告訴《IT時報》記者,商業物聯網的終端是遭受黑客攻擊的重災區,一是因為政企本身就是攻擊的重災區;二是相比於將數據存儲在網際網路雲端的消費物聯網,尚未有過網絡安全防護經驗的政企用戶安全等級弱,更易被攻破,勒索起來也更加「有料」。

黑客控制大樓「燈光遊戲」

事實上,今年已經發生多起商業物聯網終端被勒索病毒入侵的事件。

張聰告訴記者,近日,上海市某商業樓宇的智能閘機就因蠕蟲病毒攻擊,導致網絡栓塞、帶寬被占,閘機中的指令無法下發,拒絕識別門卡。

這樣的攻擊一旦發生在上下班高峰期,將會造成整個大樓擁堵,後果很難預料。

另一個相似事件是,上海市某樓宇入口處,一個智能化電子螢幕一開機便跳出勒索軟體,黑客同樣通過操縱蠕蟲病毒,對小範圍公共場合造成影響。

儘管此類攻擊在安全人員看來十分常見,其入侵方式對傳統網際網路甚至不構成任何威脅,但是在物聯網領域,這種病毒就成為極易成功的攻擊手段。

張聰認為,商業物聯網終端遭受攻擊的根本原因,在於硬體維護人員的安全意識薄弱。

以遭受攻擊的電子螢幕為例,在一般使用者眼中,這些搭載了安卓系統、Windows系統的終端螢幕,根本不像是一個可以被攻擊的對象,於是就疏於打補丁。

一樁樁漏洞事件不斷印證,在智能設備剛開始普及的物聯網領域,公眾的安全意識相比網際網路領域落後許多。

技術深掘:暗藏危機的技術狂歡

美國發生大面積網絡癱瘓事件

物聯網時至今日還沒能獲得一個普遍認可的定義,隨著5G技術、IPv6(Internet Protocol Version 6)的疊代演進,物聯網自身的內涵也在不斷擴充演進。

但與此同時,物聯網即將遭受的安全危機或許剛剛開始。

公安三所網絡安全專家劉繼順認為,中國已經進入了物聯網的時代。

他同時指出,有研究報告顯示,2016年有64億智能設備已經連接到網絡當中,這個數字在2017年將會是84億,正在以每年30%的速度攀升,2020年預計超過200萬億。

以智能家居產業為例,2018年所占市場份額前五的國家裡,中國位居世界第二,僅次於美國。

根據工信部計算,預計到2020年,我國物聯網整體規模將超過1.8萬億,智能安防產業國內增長總值將達到7%,行業增長率保持在13%,增長速度高於全球平均水平。

在這波世界範圍內物聯網發展浪潮中,中國的技術和市場份額位列前茅,但安全防護措施不足讓人憂慮。

劉繼順以物聯網部件安全為例,指出時下終端設備80%採用的是簡單密碼,70%通信過程沒有加密,90%部件存在隱患,還有大量設備沒有更新的機制。

體現出整個產業鏈對安全問題的忽視,包括製造商、網際網路廠商、運營商等多個環節,大家都在搶占市場入口,重應用、重功能、輕安全,也不願意投入成本去解決安全問題,這也是物聯網安全面對重大安全威脅源的原因之一。

發生在美國東海岸地區的一次大面積網絡癱瘓,讓人見識到物聯網設備遭攻擊後的影響範圍之大。

2016年10月21日,美國域名解析服務提供商Dyn公司受到強力的DDoS攻擊,Dyn公司稱此次DDoS攻擊涉及千萬級別的IP位址,攻擊中UDP/DNS攻擊源IP幾乎皆為偽造IP,其中部分重要的攻擊來源於物聯網設備。

這次攻擊在全球範圍內,感染Mirai的設備已經超過100萬台,其中美國感染設備有418,592台,中國大陸有145,778台,澳大利亞94,912台,日本和香港分別為47,198和44,386台。

亦功亦守:協同組織好商業物聯網「防毒面具」

攻與守

張聰認為在當前時間點,大規模IOT項目開始落地,自然會有很多安全問題暴露出來。

但商業物聯網是一個差異化比較嚴重的領域,360安全公司正在尋找一些生產IOT設備的廠商,成立商業物聯網安全聯盟,共同織起一張應對病毒威脅的「防毒面具」。

物聯網的安全防護基礎建設相比網際網路難度更大。

張聰告訴記者,一個商業型的物聯網就是一個業務系統,和非物聯網系統相比,物聯網會多出更多感知層/終端,也就是各種各樣的傳感器,比如溫度/濕度傳感器、二維碼標籤、GPS等。

感知層就像人的視覺、觸覺、味覺、聽覺一樣,通過自動化的方式採集數據,再將業務分析推送到用戶終端,最終通過PC或手機進行實際業務操作。

「如果說物聯網平台是碎片化,那麼其終端就是粉末化的。

」張聰解釋道,正是基於此,如何把安全機制植入到平台當中,才會成為產業落地的難點。

對於物聯網安全人員來說,最可行的方案就是在不同系統層次中找到關鍵節點,並進一步找到它的安全防護控制點,進而有的放矢地接入安全控制方案。

安全關鍵控制點的確認,能夠幫助安全人員在硬體層上通過控制點,實現硬體設計規範,也能在硬體接入層和網絡層,確保所有端接入網絡時合法合規。

如果確認安全防護控制點是做好商業物聯網「防毒面具」的基礎設置,那麼提升安全性能的下一步,就是對病毒的積極防禦和主動進攻。

張聰認為,如今的安全系統狀態處在建設期,遊走在被動防禦的階段。

但是商業物聯網的目標,應當是比被動防禦更高段位的積極防禦,也就是依賴大數據和以往的學習經驗,尋找哪些地方會存在被攻擊點。

當用戶之間可以將威脅情報的互通,進而弄清楚了「到底誰在攻擊我?還在攻擊誰」?就能夠做到進攻反制,先發制人。

在物聯網生態中,開發者、安全廠商、用戶都是不可或缺的組成部分。

各方承擔起各自職責是實現織好「防毒面具」的前提。

開發者要去設計安全運營的機制,公開能夠接受安全通道的接口;安全廠商則要實時監控環境,發現問題及時通報;用戶更要承擔起集大成者的職責,擦亮眼睛選擇設備廠商。

對於張聰和360物聯網安防團隊來說,商業物聯網安全是一個始終「在路上」的發展過程。

「超前一點,但不能超越太多,不然黑客就會繞過你的防護路徑,選擇其他的路徑進攻。

」張聰告訴記者,網絡安全工作者大體上都是這樣,隨著技術演化逐步跟進,這個過程沒有止境。

相比於與「黑客」見招拆招,張聰更希望安全從業者之外的人能夠充分認識到安全的重要性,這樣才能最大效率實現防守,減少更多不必要的損失。

作者:劉慧瑩

編輯:挨踢妹

來源:《IT時報》公眾號vittimes

圖片:網絡


請為這篇文章評分?


相關文章