近Gartner的一項調查發現,近20%的企業組織在過去三年中至少發現過一次基于物聯網的攻擊。Gartner公司預測,為防范這些威脅,2018年全球物聯網安全支出將達到15億美元,比2017年的12億美元增長28%。
據國家信息安全漏洞共享平臺(CNVD)公布的數據顯示,2016年收到1117個物聯網設備漏洞,而到2017年達到2440個,增長了118.4%。網絡攝像頭、路由器、手機設備占領漏洞數量前三甲。所有IoT終端中,80%的設備存在隱私泄露或濫用的風險,80%的設備使用弱密碼、70%的設備的網絡通訊沒有加密、60%設備的web界面存在漏洞、60%設備的軟件更新未做加密。
物聯網技術飛速發展,隨之而來的安全問題同比激增,換言之,物聯網的發展因為安全問題到達了一定的瓶頸期,從以上數據不難看出,半數以上的IoT設備都存在一定程度的安全隱患,這一點手機智能用戶恐怕深有體會:從早上鬧鐘響起那一刻起,自己一天的活動數據已經被智能手機開始記錄,之后,打車、叫外賣等等通過手機進行的行為數據均被記錄下來,你的興趣、生活習慣,行蹤等等通過簡單的數據分析形成一副生動的用戶畫像,一旦被黑客攻擊,毫無隱私可言。
去年12月,為了防止視頻直播被人惡意利用,360主動、永久地關閉了在風口浪尖上的水滴直播平臺。2016、2017連續兩年特斯拉汽車被中國安全研究員攻破,可實現遠程解鎖,行駛間控制等攻擊,相比視頻直播平臺“被黑”,汽車駕駛“被黑”的后果嚴重的多,尤其發展到無人駕駛,行駛被控制,豈不是有“謀殺”的風險。
事實上潛藏在身邊的致命威脅還有很多。
2017年8月,沙特阿拉伯一家煉油廠遭遇網絡攻擊。攻擊者對Triconex安全控制器下手,意圖引發爆炸級別的重大破壞。這些控制器在全球1.8萬家各類工廠中運轉,核電站、凈水廠、煉油廠和化工廠都有使用。而就在本次網絡攻擊前9個月前,烏克蘭電力公司因被黑客入侵導致西部地區大規模停電,直接影響了三個不同配電服務區域的多 22.5萬名客戶,持續了數小時。
頂象技術安全總監邱寅峰表示:“物聯網安全與傳統個人的信息安全的第一大區別在于物聯網終端更為廣泛,具有群體性攻擊的風險。其次,物聯網安全漏洞更為嚴重的后果是可能導致致命風險。造成這類原因主要是安全標準滯后、廠商缺乏安全意識、自研安全方案成本高、攻擊成本低、傳統安全問題多,攻擊日益復雜多樣等。物聯網設備基數大、24小時全天候在線,面臨的危險更多,極易發生大規模攻擊性事件!
為了防止致命風險的發生,首先要了解物聯網的組成。頂象技術移動安全負責人梁家輝表示,物聯網都有三部分組成:云端服務器、IoT設備、手機App。
其中,云端服務器主要一旦通訊協議遭破解、機器批量爬取數據、被上傳偽造數據,就可能造成業務系統被惡意利用、隱私信息泄露和數據被竊取等;而IoT設備和手機App的代碼被破解、漏洞被利用、通信被監聽或劫持,就會造成密鑰丟失、敏感數據遭盜取、設備被惡意控制、核心業務與知識產權泄露等。
為了有效抵御漏洞,頂象在云端服務器、IoT設備、手機App均做了安全防護。
首先,在IoT設備和手機App上部署頂象虛機源碼保護。它能夠將源碼編譯生成虛擬加密指令,且每臺設備均不相同。運行時使用頂象獨創的虛擬CPU直接運行加密的指令,從而杜絕黑客逆向工具無法逆向破解。
其次,在IoT設備和手機App上部署頂象安全SDK。通過加密數據與設備綁定,實現數據鏈路保護,保證數據傳輸的真實、保密、不可篡改,讓外界無法破解算法邏輯。
第三,在云端服務器上部署頂象智能風控服務。它能夠及時有效識別設備上報的非正常數據和App發起的非正常控制指令,并有效拒絕攻擊者對服務器端數據的爬取等。
當安全問題不僅僅是隱私安全問題,而是上升到人身安全的程度時,物聯網安全問題必須得到重視。目前,物聯網設備的焦點在于:權限繞過、拒絕服務、信息泄露、跨站、命令執行、緩沖區溢出、SQL注入、弱口令、設計缺陷、權限獲齲按漏洞數量排名這十大問題,每一環節出問題都可能引發致命風險。