快捷搜索:
当前位置: www.bf66.com > 互联网 > 正文

黑客黑帮大哥郭盛华,物联网的火速发展安全难

时间:2019-05-14 20:48来源:互联网
物联网安全和传统的安全措施之间有一些关键的区别。传统的安全性假定它可以控制对孤立网络的设备和数据的访问,这两种网络都存在于已定义的物理环境中。 中国黑客教父,元老,

物联网安全和传统的安全措施之间有一些关键的区别。 传统的安全性假定它可以控制对孤立网络的设备和数据的访问, 这两种网络都存在于已定义的物理环境中。

  中国黑客教父,元老,知名网络安全专家,东方联盟创始人郭盛华在互联网安全峰会访谈时称:物联网即将到来,许多IT高管都很害怕。或者,也许更准确地说,他们已经辞职了。在553位IT决策者的3月份调查中,78%的受访者表示他们认为他们的企业至少有可能遭受数据丢失或IoT设备被黑客盗用。约72%的受访者表示物联网正在推进的速度使得难以跟上不断变化的安全需求,这种恐惧根植于现实。

姓名:杨凯航 学号:17101223381

保护这些设备和数据的解决方案在端点上需要相当大的计算能力, 例如防病毒软件、防火墙和入侵检测 / 防御系统(IDS / IPS)。 如果需要安全更新, 那么就很容易下载和安装设备上的最新补丁。

图片 1

【嵌牛导读】  随着智能硬件技术的兴起,近年来物联网市场呈现指数级增长态势,万物互联已成为技术发展和产业应用的必然趋势。根据Gartner预测,2020年全球物联网设备数量将高达260亿件。与此同时,物联网安全事件呈爆发增长态势,安全威胁不断恶化。多国开始从战略、标准、监管等各层面提升对物联网安全的重视等级。2016年年底,美国国国土安全部发布了“保障物联网安全的战略原则”,国土安全高级官员公开表示“物联网安全已演变成为国土安全问题”。与此同时,欧盟也宣布加快物联网安全规范的制定步伐。2016年世界物联网博览会信息安全高峰论坛上,中国工程院何德全院士指出,物联网是我国信息产业发展难得的机遇,相对互联网,物联网是一个更加复杂、更加多样、更大跨度的系统,要充分考虑其安全问题。

另一方面, 物联网安全更像是荒野。 设备通常生活在相对开放的网络上, 通常是在物理上没有保护的区域。 尤其是对于电池驱动的便携式设备而言,计算能力更加有限,发布软件更新的能力也是如此。 物联网系统的终端可能很少或者根本没有安全软件的空间。

物联网安全隐患

【嵌牛鼻子】物联网安全、DOS、云计算

因此, 物联网安全必须在边缘设备进行通信之前进行身份验证, 并保护从终端设备到云端的数据。 这意味着安全必须在设备装载之前被植入, 而不是一旦设备到达工作现场就会启动。

  去年10月,黑客利用来自物联网设备的大约100,000个“恶意终端”,将控制大部分互联网域名系统基础架构的公司取缔。最近,WannaCry勒索软件攻击使一些中国银行ATM网络和洗衣机网络陷入瘫痪。对于反对者来说,这些攻击证实了人们担心黑客可能通过征用我们的物联网设备来造成混乱。同时黑客教父郭盛华还表示,物联网的安全离不开黑客,因为不是所有黑客都是坏的,例如白帽黑客,他们可以测试物联网的漏洞和性能来判定它们能够承受入侵的强弱程度。

【嵌牛提问】在如今物联网遍地开花的时代,如何有效地解决其安全问题?

现在的共识是,物联网仍未得到充分保护,并可能带来灾难性的安全风险,因为企业相信物联网设备可用于业务、运营和安全决策。现有的标准并不到位,供应商始终在努力将恰当的智能和管理水平嵌入产品中。随着攻击者之间的协作日益紧密,需要在多个维度上解决这些挑战。下面就是物联网设备所需要面对的安全挑战:

  与此同时,物联网行业继续稳步增长。Gartner预测,到2020年,物联网设备将达到210亿个,高于2017年的50亿个。这些设备中约有80亿是工业设备,而不是消费设备。两者都为黑客提供了一个多汁的目标。对于某些人来说,物联网似乎是一个实时播放的慢动作残骸。DXC首席技术官兼副总裁兼网络安全部门的克里斯莫耶尔表示:“业界尚未回避的原因是价值主张非常强大。“风险主张也非常强大,这就是平衡正在发生的地方。”无论业界的胃口如何,在行业解决其安全问题之前,IoT都不可能获得规模。这将需要供应商之间的合作,政府干预和标准化。在2017年,这些事情似乎都没有出现。

【嵌牛正文】

1)与个人电脑或智能手机不同,物联网设备通常缺乏处理能力和内存。这意味着,它们缺乏强有力的安全解决方案和加密协议,而这些往往可以保护它们免受攻击威胁。

物联网安全有什么问题?

  1. 物联网终端安全威胁发展趋势

2)因为这些设备连接到互联网,它们每天都会遇到威胁。而物联网设备的搜索引擎也为黑客提供了进入网络摄像头、路由器和安全系统的机会。

  一致认为物联网仍然处于不安全的状态,并且可能带来灾难性的安全风险,因为公司信任用于商业,运营和安全决策的物联网设备。现有的标准尚未到位,供应商一直在努力将适当的情报和管理水平嵌入到产品中。添加加强合作袭击者之间和它创建了一个需要解决跨一组这些挑战的尺寸。      

  (1) 针对物联网设备的攻击威胁将呈指数级增长

3)在许多联网设备的设计或开发阶段,安全性从未被考虑过。

考虑我们面临的物联网设备的安全问题;

  根据Gartner预测,从现在开始到2018年,超过半数物联网设备制造商将由于薄弱的验证实践方案而无法保障产品安全。物联网设备目前在制造过程中仍然很少考虑到安全性需求,而且由于其存在于网络环境中,因此一旦出现恶意入侵,其很可能造成网络受损及数据泄露,甚至给用户带来直接的财产损失或人身伤害。

4)不只是物联网设备本身缺乏安全能力,许多连接它们的网络和协议也没有强大的端到端加密机制。

  与个人电脑或智能手机不同,物联网设备的处理能力和内存通常较短。这意味着他们缺乏强大的安全解决方案和加密协议,可以保护他们免受威胁。由于这些设备连接到互联网,他们每天都会遇到威胁。而对于物联网设备的搜索引擎存在这一提议黑客得以进入网络摄像头,路由器和安全系统。许多这些连接互联网的设备在设计或开发阶段从未考虑过安全性。

  (2)海量物联网终端将逐渐成为DDoS攻击主要来源

5)许多物联网设备需要人工干预才能升级,而其他设备根本无法升级。莫耶尔说:“这些设备中有些是非常迅速地建立起来的,它们的设计思维还局限于首次迭代之中,而且有些甚至是不可升级的。”

不仅缺乏安全能力的设备本身,许多连接它们的网络和协议都没有强大的端到端加密机制。

  物联网设备已成为僵尸网络的主要载体,已可形成超高容量的DDoS攻击源,目前这些大规模僵尸网络已经不需要利用反弹/放大技术,即可对银行、电信、政府等大型系统进行攻击。物联网 DDoS攻击的规模、频度、复杂性、影响和损失正快速增长。2016年年底,由Mirai病毒引发的物联网 DDoS攻击事件显示国家层面关键基础设施也逐渐成为重点攻击目标之一。

图片 2

许多物联网设备需要手动干预才能升级,而其他设备则根本无法升级。这些设备中的一些设备构建得非常迅速,超出迭代1的设计思路有限,而且它们不能更新。

(3)贴近用户的物联网终端将成为隐私泄露的重要渠道

6)物联网设备是个“薄弱环节”,允许黑客渗透到IT系统中。如果设备连接到整个网络,这一点尤其令人担忧。

  物联网设备是一个“薄弱环节”,可以让黑客渗透到IT系统。如果设备链接到整个网络,情况尤其如此。许多物联网设备具有黑客可以在线查看的默认密码。由于这个事实,Mirai分发拒绝服务攻击是可能的。这些设备可能有“后门”,为黑客提供入口。设备的安全成本可能会否定其财务价值。物联网安全专家曾表示:“当你拥有2美分的组件时,当你将一美元的安全性放在首位时,你刚刚打破了商业模式。这些设备也会产生大量的数据。DXC技术项目总监也表示:“这不仅仅是你需要使用的210亿个设备。“这是从210亿个设备产生的所有数据。有大量的数据几乎比产生这些数据的设备数量多得多。这是一个巨大的数据处理问题。“

  由于大多数物联网设备是7×24小时实时不断地产生数据,在物联网系统中,设备之间的通信可以不需要人的参与,一些带有用户隐私信息的数据很容易被攻击者非法获取。攻击者可以通过入侵联网家用设备获取用户是否在家或生活规律等敏感信息,严重者可直接给用户带来严重财产和人身安全威胁。

7)许多物联网设备都有默认密码,黑客可以在网上查到。鉴于这个事实,Mirai分布式拒绝服务攻击是可能的。

  考虑到这些缺点,企业可以通过遵循物联网安全的最佳实践在一定程度上保护自己。但是,如果合规不是100%(这不会),那么不可避免地会发生攻击,行业将失去对物联网的信心。这就是为什么安全标准是必不可少的。

  2. 物联网终端体系架构及安全风险分析

8)这些设备可能留有“后门”,同样为黑客提供机会。

谁来设定标准?

  目前物联网系统在信息安全防护方面能力分布并不均匀,呈现“重平台、轻终端”的态势。后台业务管理平台与云计算或传统服务器系统区别并不大,一般在设计之初就考虑了信息安全问题,防护措施也有相应规范标准,而感知层各类终端由于数量众多或资源技术能力的限制,防护能力普遍较弱,成为物联网系统信息安全的薄弱环节。物联网系统面临的主要安全风险可分为以下几类:

9)物联网设备的安全成本可能会抵消其财务价值。物联网安全专家博·伍兹(Beau Woods)表示:“当你有个2美分的组件,而你需要在它身上花费1美元维护安全时,你就破坏了商业模式。”

  各种政府机构已经在管理一些物联网设备。例如,美国联邦航空局管理无人驾驶飞机,美国国家高速公路交通安全管理局规定自动驾驶汽车。国土安全部正在参与基于物联网的智慧城市计划。FDA还监督物联网医疗设备。

(1)软件漏洞。许多物联网终端设备在出厂的时候,其装载的软件就已经“过期”,或即将过期。即使有些设备出厂的时候装载的是最新版本软件,但由于未及时更新,也可能在未来出现漏洞。因此,除非拥有持续的软件更新机制,物联网终端设备存在的软件漏洞风险极高。

10)这些设备也会产生大量的数据。DXC的技术项目主管基里安·麦考利(Kieran McCorry)说:“你不仅仅需要应对210亿部互联网设备,还要应对由它们生成的庞大数据。这些数据几乎是数量级的,而且远远超过了这些设备所产生的数量。这是一个巨大的数据处理问题。”

  目前,还没有任何政府机构负责监管用于智能工厂的智能工厂或以消费者为中心的物联网设备。2016年,联邦贸易委员会发布了关于物联网的报告,其中包括有关最佳实践的建议。2017年初,FTC还向公众发布了一项“ 挑战”,以创建一个“解决由物联网设备中过时软件引起的安全漏洞的工具”,并为获胜者提供25,000美元的奖金。

  (2)不安全的通信。由于目前许多安全防护功能都是为更加通用的计算设备设计的,由于计算资源或系统类别的限制很难在物联网上实现,但是物联网上许多安全缺陷已经被发现。例如,采用缺乏加密的通信机制,许多物联网设备都是部分或全部明文传输;缺乏成熟的授权或认证机制,许多物联网都未对代码或配置项变更进行权限限制,一些恶意敏感操作或数据未授权访问都非常容易发生;缺乏网络隔离,一些家庭内网络很少进行网络分段隔离或防火墙设置,使得物联网设备极易遭受同网段病毒感染、恶意访问或操控。

考虑到这些缺陷,企业可以通过遵守物联网安全最佳实践,这在某种程度上可以保护它们。但是,如果合规不是100%,那么就不可避免地会发生攻击,导致行业对物联网失去信心。这就是安全标准势在必行的原因。

  虽然政府将对物联网的某些方面进行管理,但他认为只有该行业才能制定标准。他设想通向这样一个标准的两条途径:买家会推一个,拒绝购买那些不支持标准或主导角色的产品,否则两个厂商就会在市场支配地位上设定一个事实标准。该行业目前有几个标准,而没有一个标准正在逐渐走向支配地位。其中包括基于供应商的标准以及IoT安全基金会,IEEE,可信计算组织,物联网世界联盟和工业互联网联盟安全工作组提出的标准。所有这些机构正在致力于安全物联网环境的标准,协议和最佳实践。另一种解决方案是要求制造商承担设备责任。目前硬件设备就是这种情况,但是谁承担软件故障责任往往不清楚。

(3)数据泄露。物联网系统泄露用户隐私数据的风险较高。主要存在云端、物联网终端设备本身两个来源的泄露风险。一方面,云端服务平台可能遭受外部攻击或内部泄密,或者由于云服务用户弱密码认证等原因,均有可能导致用户敏感数据泄露;另一方面,设备与设备之间也存在数据泄露渠道,在同一网段或相邻网段的设备可能会查看到其他设备的信息,比如屋主名字,精确的地理位置信息,甚至消费者购买的东西等。

谁来制定安全标准?

AI来救援?

  (4)恶意软件感染。恶意软件可能会影响物联网设备的操作,获取未授权的访问,或者实施攻击。例如引发大规模DDoS 攻击的Mirai、BASHLITE、Lizkebab、Torlus、Gafgyt等。除了被用于拒绝服务攻击,被这些病毒感染的物联网设备还可用于窥探他人隐私,勒索所劫持设备,或者被利用作为攻击物联网设备所连接的网络渗透的入口。

各种政府机构已经对许多物联网设备进行了监管。举例来说,美国联邦航空管理局监管无人机,美国国家公路交通安全管理局监管无人驾驶车辆。美国国土安全部正积极参与基于物联网的智能城市计划,而FDA也在对物联网医疗设备进行监督。

  这种情况下的通配符是人工智能。支持者认为,机器学习可以发现一般的使用模式,并在出现异常时提醒系统。比如,杀毒软件公司可以查看所有端点的云服务器数据,并使用机器学习识别异常或恶意行为。谷歌ML系统可能会识别来自传感器或智能设备的异常行为。由于物联网设备功能有限,发现这种异常应该相对容易。由于使用机器学习的安全性仍然是新的,所以这种方法的捍卫者主张使用包含人为干预的安全系统。

  (5)服务中断。可用性或连接的丢失可能会影响物联网设备的功能特性,一些情况下还可能降级安全性,例如楼宇警报系统,如果连接中断的话,即会直接影响整体的安全性。

但在目前,还没有任何政府机构负责监管智能工厂或智能家居领域使用的物联网设备。2015年,联邦贸易委员会发布了一份关于物联网的报告,其中包括关于最佳实践的建议。在2017年初,FTC还向公众发布挑战赛,即创建“修复物联网设备中过时软件引发的安全漏洞的工具”,并为获胜者提供2.5万美元的奖金。

真正的解决方案:一切的组合

  1. 物联网终端安全防护及监管建议

虽然政府将对物联网的某些方面进行监管,但他认为只有行业才能创造出自己的标准。他设想了制定这种标准的两种途径:第一,买家推出标准,并拒绝购买不支持这个标准的产品;第二,一两个主要参与者利用其市场主导地位设定一个事实上的标准。莫耶尔说:“我不认为后一种情况会发生,目前还没有这样的主导参与者存在。”

  虽然人工智能在物联网安全方面可能比最初认为的更为重要,但全面的物联网解决方案将包括一切,包括政府法规,标准和人工智能。该行业有能力创建这样的解决方案,但问题在于它需要在非常快速的时间表上完成。目前,在物联网安全和物联网采用之间的竞争中,后者正在赢得胜利。那么,企业现在可以做什么来锁定物联网而不会降低安全性?

  物联网安全问题已受到产业链各方的广泛关注。针对目前物联网发展所面临的安全问题,我们应做好顶层设计,产业链各方应采取措施积极应对。

这个行业现在有好几个标准,而不是一个或两个标准,而且似乎没有哪个标准正逐渐取得主导地位。这些标准包括基于供应商的标准,以及物联网安全基金会、IEEE、可Trusted Computing Group、物联网世界联盟以及工业互联网协会安全工作组提出的标准。所有这些机构都在研究打造安全物联网环境的标准、协议和最佳实践。

针对物联网安全,中国黑客教父郭盛华有几点建议:

  (1)通过标准、最佳实践引导产业链厂商提高物联网产品自身安全性。

最终改变市场的将是买家,他们将开始要求标准。他解释称:“标准的制定有很多原因,有些是监管所需,但很多是因为买家认为这对他们很重要。”

  采取一种集成方法,这是一个更好的情况;使用物联网的公司应整合管理解决方案,并将IoT平台用于主要连接和数据移动,并将数据引入更复杂的分析环境,并让他们执行行为分析,这可以实现自动化。他说:“通过整合这些组件,您可以更加确信,从物联网环境中的馈送获得的数据在统计上是有效的。”选择合适的物联网设备。这些设备具有超强的生态系统和一组正在开放共享信息的合作伙伴。使用IoT网关和边缘设备。为了缓解整体安全问题,许多公司正在使用物联网网关和边缘设备进行隔离,并在不安全的设备和互联网之间提供保护层。参与创建标准。在宏观层面上,为确保长期保持物联网安全性,您可以做的最好的事情就是参与制定特定行业和整体技术的标准。 ​

  应倡导物联网产业链各环节厂商针对自身特点采用最佳安全实践方案,提高设备自身安全防护水平,提供更加安全的物联网应用服务。同时应积极加快标准制定,为设备制造商提供开发过程中的最佳实践指引。另一方面,物联网设备安全很大程度上还取决于供应链安全,通过法律、规范、标准明确从制造商到零售商应如何采取措施进行安全防护,保证物联网产品整个生命周期的安全,这也是需要考虑的重点问题之一。

由于缺乏标准,伍兹看到了几条改善物联网安全的途径:一个是商业模式的透明度。伍兹说:“如果你购买了1000辆汽车,你就可以进行‘空中更新’,而其他汽车则需要手动更新,那可能需要7个月的时间。这是不同的风险计算。”

(2)通过检测认证、实时监测、定期评估等手段提高物联网应用的安全防护能力。

另一种解决方案是要求制造商为他们的设备承担责任。伍兹表示,目前硬件设备的情况是这样的,但不清楚谁会为软件故障承担责任。

  一方面,企业应积极利用安全框架来检测各物联网设备类型的风险,并对其加以有效控制。如应建立完善的入侵检测防护机制,检测恶意节点行为,对异常入侵行为进行及时拦截和纠正,从而避免或降低各类攻击的负面影响。另一方面,应积极引入第三方测试、评估、认证机制,对物联网产品、应用、服务,进行可信赖的、权威的、有依据的安全保障,其中终端固件应为安全测试评估的重点内容之一,由于物联网自身特点,芯片内部的软件与控制它的应用一样重要。它们都需要进行安全和质量测试。再一方面,国家层面的态势感知和预警响应平台也是需重点考虑的目标之一。可以预测未来几年内数以亿计的物联网设备将会覆盖各类行业应用,跟踪何种设备置于何处,提前预知漏洞/攻击可能的影响面和范围对于国家关键基础设施安全也至关重要。

编辑:互联网 本文来源:黑客黑帮大哥郭盛华,物联网的火速发展安全难

关键词: www.bf66.com