IoT終端防御戰打響

文 | 本刊記者 姜紅德

IoT終端防御戰打響

文 | 本刊記者 姜紅德

越來越多的IoT設備開始被大量使用，而且安全問題基本上沒有引起關注。這看起來像一個悖論：聯網設備越增越多，其帶來的安全隱患不是更少，更是更多。

看過了今年的RSA安全大會，發現大數據、人工智能、物聯網都會是下一個網絡安全重災區，事實的確如此。2016年發生了一系列重大安全事件。在“美國東部遭遇大規模物聯網DDoS攻擊斷網”中，涉事物聯網攻擊工具（Mirai惡意軟件）、物聯網設備（攝像機）模塊安全漏洞在此前數月的威脅情報里便有顯示，相關情報平臺更是據此持續發布了物聯網攻擊預警。本次事件的主角之一“Mirai軟件”，提前已在黑客圈里被多次升級、優化。有業內人士認為，黑客所發起的此次攻擊更多是在進行“驗證”而已。

多起安全事件頻發的背景是，越來越多的IoT設備開始被大量使用，而且安全問題基本上沒有引起關注。這看起來像一個悖論：聯網設備越增越多，其帶來的安全隱患不是更少，而是更多。在今天人們逐漸適應電子設備、可穿戴設備之后，一場針對物聯終端安全的防御戰爭正在打響。

物聯網繁多的終端設備里如果出現了一個瑕疵，就會被攻擊者利用，由于設備規模巨大，其爆發出來的破壞力不容小視。

物聯網安全事件近期頻發

網絡世界看上去是美好的，但現實卻總是殘酷的。

2016年發生的大規模物聯網DDoS攻擊，導致了美國東部互聯網全部下線。其罪魁禍首竟然是國內某安全視頻解決方案和技術提供商所生產的攝像模組。該攝像模組被很多網絡攝像頭、DVR廠商采用，并在美國大量銷售。該公司早期的攝像模組的產品密碼被寫入固件，且很難修改。黑客發現了這一機會，通過默認密碼打開了潘多拉的魔盒，控制其成為了APT攻擊的肉雞。如此一個不經意的問題，竟然讓小小的攝像頭發揮了重要作用。

由此可見，物聯網繁多的終端設備里如果出現了一個瑕疵，就會被攻擊者利用，由于設備規模巨大，其爆發出來的破壞力不容小視。

現在很多人手里一般都有幾種電子設備，比如智能手機、智能手環及手持電腦等，而當人們回到家之后，很多設備就會和家里的電視、電冰箱、空調、門鎖和洗衣機等智能家電連接起來。那么問題就來了，一旦我們的電子設備上存在漏洞，那么這些智能家電或者說是智能家居將會面臨怎樣的災難？

一般來說，智能家居的產品在設計之初并沒有考慮安全的防御，黑客對這些家電產品的攻擊手到擒來。自2016年以來，各地紛紛爆出智能家居存在安全漏洞的新聞。比如用戶家里的網絡攝像頭很可能因為安全防御不夠，而將隱私等問題公之于眾。甚至還有某些品牌的智能電視會將語音搜索功能產生的數據直接明文發送到網絡上，黑客通過網絡嗅探就能了解這些信息。

以上這些不會是物聯網時代的個案，用戶如何進行防范？企業或者家庭如何安全接入物聯網？物聯網安全到底存在哪些挑戰？其實要做到真正的安全，必須清楚什么才是最好的防御方法，遠離那些安全隱患。

安全業內人士告訴記者，目前所有物聯網安全事件實際上更多的是驗證性攻擊。繁榮的互聯網安全產業下面隱藏著一座極為恐怖但尚未噴發的火山。考慮到當前愈加顯著的國家層面網絡安全戰，我們有理由相信，當真正的物聯網安全攻擊爆發之時所造成的損失絕不是我們所能承受的。

物聯網安全何去何從？

物聯網已成為時下最熱門的產業，物聯網不僅與大數據、云計算、區塊鏈等一起被列入國家“十三五”規劃中，也在各種信息安全大會上列為討論熱點之一。雖然物聯網產業的熱度正在不斷升溫，但隨之而來的攻擊行為也在不斷增加。

在2016年11月舉辦的世界物聯網博覽會信息安全高峰論壇暨第九屆信息安全漏洞分析與風險評估大會上，中國工程院何德全院士指出，物聯網是我國信息產業發展難得的機遇，但相對互聯網，物聯網是一個更加復雜、更加多樣、更大跨度的系統，要充分考慮其安全問題，可以考慮通過合理簡化安全、出臺相關標準、制定相應政策和策略等方法來應對。

另一位中國工程院院士沈昌祥在接受媒體采訪時表示，物聯網運用大量感知節點，將成為竊取情報、盜竊隱私的攻擊對象，而且龐大節點以集群方式連接將對網絡通信的依賴更加敏感，對分布式的物聯網核心網絡的管理平臺安全性、可信性要求更高。另外，對數據傳輸的安全性和身份認證的可信性提出了更高的要求。

2017年2月26日，國內產學研機構聯合發布了《2016物聯網安全白皮書》。對于物聯網安全而言，新的安全模型和標準至關重要，而比模型和標準更重要的則是建立起物聯網安全的方法論，即從哪個層次認識物聯網安全，如何構建物聯網安全體系，如何實施防御，實現哪些目的。本次發布的《2016物聯網安全白皮書》則嘗試從物聯網安全能力、安全防御體系，物聯網終端、傳輸端與云端，物聯網安全生態、安全度量、安全管控等方面首次建立了物聯網安全方法論。

白皮書指出，在物聯網終端設備種類繁多的時代，攻擊者主要瞄準的目標依然是物聯網終端芯片里的智能設備“大腦”——代碼。這就需要在構建物聯網安全保障體系時，考慮惡意威脅的特征并結合終端自身特性，將安全防護能力與物聯網終端進行緊密融合，同時深入到代碼層構建安全防護能力，實現安全防護輕量化。

同時，以終端安全、通訊安全、云平臺安全三方面為出發點，以“端-管-云”為主要防御思路，化境入微進行防護。讓安全能力泛在化于物聯網的每個環節、每個角落，從全生態系統、全生命周期維度對物聯網體系安全進行規劃、組織、實施、評估和改進，做到物聯網安全極大化。

白皮書的撰寫負責人、梆梆安全研究院院長盧佐華表示，對于物聯網的通信安全，我們并非無計可施。她提出，首先需要加強網絡通信協議自身的安全防護，可通過對通信協議實施加密操作，采用多層密鑰加密傳輸，密鑰之間動態切換，提供更加安全的保證。通過白盒加密技術再對加密密鑰進行安全性保護，防止密鑰的泄漏和破解。其次，對通信協議代碼實施高強度混淆，徹底“打亂”舊有程序邏輯思路，增加黑客分析、破解、調試、Hook、Dump通信協議的難度，甚至在超過破解性價比臨界值時迫使黑客放棄入侵攻擊。最后，還需對數據通信傳輸管道里的數據流進行加密操作，杜絕明文傳輸，加強通信管道安全防護軟硬件的研發。

在物聯網終端設備種類繁多的時代，攻擊者主要瞄準的目標依然是物聯網終端芯片里的智能設備“大腦”——代碼。