隨著物聯網(IoT)在社會生活中的普及,應用場景不斷豐富,安全風險也將隨之增加。現在,IoT設備、系統、平臺已經成為黑客的主要攻擊目標。因此,如何保障物聯網安全是全球面臨的最大挑戰之一。11月17日,由幾維安全與看雪學院聯合主辦的“2018物聯網安全行業論壇”成功在京舉行。會上,來自各個安全行業的200餘位專家、領導和研究人員,共同分析了物聯網安全市場的情況,討論潛在的風險和威脅,共享最有效的物聯網安全創新技術。
物聯網安全行業態勢解讀
據IDC分析,到2022年全球物聯網支出將達到1.2萬億美元,2017年至2022年期間複合年增長率CAGR為13.6%。其中,中國物聯網支出規模將達到3千億美元,在全球的物聯網市場中佔比超過1/4,超越美國成為全球最大的物聯網市場。
幾維安全CEO範俊偉
“從物聯網應用潛在規模看,僅僅是國內市場就有十幾億的人口基數,圍繞著我們“衣食住行安”的每一方面都可以是一個龐大的產業體系。”在當日會議的演講中,幾維安全CEO範俊偉表示。他指出,據Gartner預測,到2020年物聯網將鏈接全球40億的用戶、250億以上的終端設備,在此過程中將會有2500萬的應用App被開發出來,沉澱出超過50萬億GB的數據,同時創造出4萬億美金的收入機會。同時,不同於傳統設備和應用場景的差異化安全需求凸顯。
IDF(益雲)極安客實驗室聯合創始人、OASES安全生態聯盟專家萬濤
IDF(益雲)極安客實驗室聯合創始人、OASES安全生態聯盟專家萬濤認為:“安全滯後於發展是一種常態,因為只有在發展暴露出風險後,安全才能得到足夠的重視和投資。雖然目前的物聯網安全市場規模仍然很小,但預計未來會呈爆發式增長。”他指出,根據MARKETSANDMARKETS預測,全球物聯網安全市場將從2016 年的79 億美元增長到2021 年的369.5 億美元,5 年增長4 倍,年均複合平均增速接近50%。
此外,Gartner預計到2021年監管合規將成為物聯網安全應用的主要影響因素。由於物聯網滲透到工業世界,必須遵守旨在改善關鍵基礎設施保護(CIP)的法規和指導方針的行業,不得不更加註重安全。
從技術到實戰,看大咖們如何對抗物聯網安全威脅
2017年3月,Spiral Toys旗下的CloudPets系列動物填充玩具遭遇數據洩露,敏感客戶數據庫受到惡意入侵;2017年8月,深圳某公司製造的17.5萬個物聯網安防攝像頭被爆可能遭受黑客攻擊;2017年9月,物聯網安全研究公司Armis在藍牙協議中發現了8個零日漏洞,這些漏洞將影響超過53億設備……
物聯網安全事件一直在發生,究竟該如何破局?下面聽聽大咖們怎麼說。
◆從代碼層入手,應對物聯網攻擊
會上,範俊偉發佈了幾維安全IoT體系安全防護建設方案,解讀了IoT體系安全態勢和潛在的安全風險,隨後針對可能遭遇的風險,從終端安全、雲端安全、業務運營安全三個方面提出了安全防護解決方案,並針對實際安全設計案例進行了解析。
談及如何對抗物聯網安全威脅,範俊偉在接受記者採訪時表示,由於攻擊者可直接購買、拆解物聯網終端,一旦獲取其代碼,分析代碼漏洞,就可進行攻擊。傳統的保護方法只能增加獲取代碼的難度,並不能增加分析代碼的難度,比如在App上加 “保護殼”,攻擊者一旦破解“保護殼”,將直接獲取代碼進而找到業務漏洞。而如果在開發過程中就加入加密機制,把安全技術下沉到代碼層,不干預代碼正常的業務邏輯,這樣一來,即使攻擊者拿到應用或終端,也難以分析業務邏輯和漏洞。
◆政府與企業雙管齊下,破解智能攝像頭安全隱患
啟明星辰ADLab安全專家王啟澤表示:“針對物聯網攝像頭的實際攻擊能力測試結果表明:8萬個IoT設備就能發起超過500 Gbps 的DDoS 攻擊;89萬個IoT設備能產生的攻擊流量足以打垮全球任何一個電信運營商;如果上百萬臺攝像頭髮起總攻將導致整個互聯網骨幹網絡癱瘓。”
啟明星辰ADLab安全專家王啟澤
對於物聯網攝像頭安全性的提升,王啟澤建議:一方面,政府可實現對設備分級,建立相關的強制性法律法規,並加強用戶安全意識的培養;另一方面,企業需要消滅硬編碼密鑰,使用安全函數,選擇可靠的第三方組件,採取必要的漏洞緩解措施,並按需開放端口,採用公鑰機制。
◆突破邊界傳承未來,淺談物聯網信息安全
高新興科技集團副總裁劉志成以“突破邊界,傳承未來”為主題,從安全運營的角度,分享了其在物聯網信息安全技術挑戰、應對方案、體系構建等方面的經驗和思考。
高新興科技集團副總裁劉志成
他認為,物聯網安全運營需要應對以下七大問題:第一,隱私問題。對物聯網用戶信息於行為安全數據進行脫敏處理,從而解決隱私問題。第二,商業機密問題。通過實現物聯網安全數據與業務數據分離,解決商業機密問題。第三,專業化問題。採用物聯網應用與安全解耦方式,解決專業化問題。第四,體系化問題。從產品到服務,全面解決體系化問題。第五,服務化問題。從建設到應用,解決服務化問題。第六,兼容性問題。從各自為政的物聯網安全方式,到物聯網安全生態體系,解決兼容性問題。第七,互通性問題。從單打獨鬥解決物聯網安全問題,到協作共贏,解決互通性問題。
◆聚焦車聯網安全體系建設
演講中,小鵬汽車安全總架構師程紫堯針對車聯網安全體系的核心技術,可能遭遇的安全攻擊進行了分析,並針對攻擊方式提出了車聯安全體系的構建方案。
小鵬汽車安全總架構師程紫堯
“以前,汽車是孤立的、物理隔離的,因此黑客很難遠程入侵汽車內部控制器,除非進行物理入侵。而隨著互聯網的進化,當TSP通過T-Box與汽車內部網絡聯網之後,汽車受到的遠程網絡攻擊就不再是猜想。”他指出,因為汽車聯網後變得更智能,產生了更多的軟件代碼,從而導致了更多的漏洞BUG。聯網汽車擁有更多的接入途徑,產生了更大的攻擊面。尤其,汽車中使用的計算和聯網系統沿襲了既有的計算和聯網架構,也繼承了這些系統天然的安全缺陷。
隨後,來自上汽集團上海賽可出行資深安全專家賴楊健,與大家分享了車聯網DDG挖礦病毒逆向實戰案例,對黑產DDG挖礦病毒的利益來源、病毒攻擊溯源診斷思路以及清除病毒的思路進行了詳細的分析,並在現場進行了實戰演示。
上汽集團上海賽可出行資深安全專家賴楊健
針對車聯網的安全防護,賴楊健建議從三個方面出發:在終端防護上,實現核心數據加密,接入口令複雜化和隨機化,防止暴力破解;並且做好數據校驗和認證,阻止數據包重放攻擊;實現APP代碼加固及通信數據加密。在汽車網關防護上,對通信進行加密通信,在數據中增加隨機因子簽名認證,實現接入設備和接入系統的安全認證,並防止固件安全檢測。在雲端安全防護上,實現應用安全、網絡安全、安全管理等全方位保護。
寫在最後
“萬物互聯,安全先行”,2018年是物聯網技術商用的關鍵一年。作為主辦方,幾維安全希望通過本次會議積極為國內外物聯網行業從業者提供交流契機、合作共贏,共同構建一個安全可靠的物聯網生態環境。
閱讀更多 Dreamlover81 的文章
