物聯(lián)網(wǎng)的發(fā)展因?yàn)榘踩珕?wèn)題到達(dá)了一定的瓶頸期

最近Gartner的一項(xiàng)調(diào)查發(fā)現(xiàn)，近20%的企業(yè)組織在過(guò)去三年中至少發(fā)現(xiàn)過(guò)一次基于物聯(lián)網(wǎng)的攻擊。Gartner公司預(yù)測(cè)，為防范這些威脅，2018年全球物聯(lián)網(wǎng)安全支出將達(dá)到15億美元，比2017年的12億美元增長(zhǎng)28%。

據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)公布的數(shù)據(jù)顯示，2016年收到1117個(gè)物聯(lián)網(wǎng)設(shè)備漏洞，而到2017年達(dá)到2440個(gè)，增長(zhǎng)了118.4%。網(wǎng)絡(luò)攝像頭、路由器、手機(jī)設(shè)備占領(lǐng)漏洞數(shù)量前三甲。所有IoT終端中，80%的設(shè)備存在隱私泄露或?yàn)E用的風(fēng)險(xiǎn)，80%的設(shè)備使用弱密碼、70%的設(shè)備的網(wǎng)絡(luò)通訊沒有加密、60%設(shè)備的web界面存在漏洞、60%設(shè)備的軟件更新未做加密。

物聯(lián)網(wǎng)技術(shù)飛速發(fā)展，隨之而來(lái)的安全問(wèn)題同比激增，換言之，物聯(lián)網(wǎng)的發(fā)展因?yàn)榘踩珕?wèn)題到達(dá)了一定的瓶頸期，從以上數(shù)據(jù)不難看出，半數(shù)以上的IoT設(shè)備都存在一定程度的安全隱患，這一點(diǎn)手機(jī)智能用戶恐怕深有體會(huì)：從早上鬧鐘響起那一刻起，自己一天的活動(dòng)數(shù)據(jù)已經(jīng)被智能手機(jī)開始記錄，之后，打車、叫外賣等等通過(guò)手機(jī)進(jìn)行的行為數(shù)據(jù)均被記錄下來(lái)，你的興趣、生活習(xí)慣，行蹤等等通過(guò)簡(jiǎn)單的數(shù)據(jù)分析形成一副生動(dòng)的用戶畫像，一旦被黑客攻擊，毫無(wú)隱私可言。

去年12月，為了防止視頻直播被人惡意利用，360主動(dòng)、永久地關(guān)閉了在風(fēng)口浪尖上的水滴直播平臺(tái)。2016、2017連續(xù)兩年特斯拉汽車被中國(guó)安全研究員攻破，可實(shí)現(xiàn)遠(yuǎn)程解鎖，行駛間控制等攻擊，相比視頻直播平臺(tái)“被黑”，汽車駕駛“被黑”的后果嚴(yán)重的多，尤其發(fā)展到無(wú)人駕駛，行駛被控制，豈不是有“謀殺”的風(fēng)險(xiǎn)。

事實(shí)上潛藏在身邊的致命威脅還有很多。

2017年8月，沙特阿拉伯一家煉油廠遭遇網(wǎng)絡(luò)攻擊。攻擊者對(duì)Triconex安全控制器下手，意圖引發(fā)爆炸級(jí)別的重大破壞。這些控制器在全球1.8萬(wàn)家各類工廠中運(yùn)轉(zhuǎn)，核電站、凈水廠、煉油廠和化工廠都有使用。而就在本次網(wǎng)絡(luò)攻擊前9個(gè)月前，烏克蘭電力公司因被黑客入侵導(dǎo)致西部地區(qū)大規(guī)模停電，直接影響了三個(gè)不同配電服務(wù)區(qū)域的最多 22.5萬(wàn)名客戶，持續(xù)了數(shù)小時(shí)。

頂象技術(shù)安全總監(jiān)邱寅峰表示：“物聯(lián)網(wǎng)安全與傳統(tǒng)個(gè)人的信息安全的第一大區(qū)別在于物聯(lián)網(wǎng)終端更為廣泛，具有群體性攻擊的風(fēng)險(xiǎn)。其次，物聯(lián)網(wǎng)安全漏洞更為嚴(yán)重的后果是可能導(dǎo)致致命風(fēng)險(xiǎn)。造成這類原因主要是安全標(biāo)準(zhǔn)滯后、廠商缺乏安全意識(shí)、自研安全方案成本高、攻擊成本低、傳統(tǒng)安全問(wèn)題多，攻擊日益復(fù)雜多樣等。物聯(lián)網(wǎng)設(shè)備基數(shù)大、24小時(shí)全天候在線，面臨的危險(xiǎn)更多，極易發(fā)生大規(guī)模攻擊性事件?！?/p>

為了防止致命風(fēng)險(xiǎn)的發(fā)生，首先要了解物聯(lián)網(wǎng)的組成。頂象技術(shù)移動(dòng)安全負(fù)責(zé)人梁家輝表示，物聯(lián)網(wǎng)都有三部分組成：云端服務(wù)器、IoT設(shè)備、手機(jī)App。

其中，云端服務(wù)器主要一旦通訊協(xié)議遭破解、機(jī)器批量爬取數(shù)據(jù)、被上傳偽造數(shù)據(jù)，就可能造成業(yè)務(wù)系統(tǒng)被惡意利用、隱私信息泄露和數(shù)據(jù)被竊取等；而IoT設(shè)備和手機(jī)App的代碼被破解、漏洞被利用、通信被監(jiān)聽或劫持，就會(huì)造成密鑰丟失、敏感數(shù)據(jù)遭盜取、設(shè)備被惡意控制、核心業(yè)務(wù)與知識(shí)產(chǎn)權(quán)泄露等。

為了有效抵御漏洞，頂象在云端服務(wù)器、IoT設(shè)備、手機(jī)App均做了安全防護(hù)。

首先，在IoT設(shè)備和手機(jī)App上部署頂象虛機(jī)源碼保護(hù)。它能夠?qū)⒃创a編譯生成虛擬加密指令，且每臺(tái)設(shè)備均不相同。運(yùn)行時(shí)使用頂象獨(dú)創(chuàng)的虛擬CPU直接運(yùn)行加密的指令，從而杜絕黑客逆向工具無(wú)法逆向破解。

其次，在IoT設(shè)備和手機(jī)App上部署頂象安全SDK。通過(guò)加密數(shù)據(jù)與設(shè)備綁定，實(shí)現(xiàn)數(shù)據(jù)鏈路保護(hù)，保證數(shù)據(jù)傳輸?shù)恼鎸?shí)、保密、不可篡改，讓外界無(wú)法破解算法邏輯。

第三，在云端服務(wù)器上部署頂象智能風(fēng)控服務(wù)。它能夠及時(shí)有效識(shí)別設(shè)備上報(bào)的非正常數(shù)據(jù)和App發(fā)起的非正?？刂浦噶?，并有效拒絕攻擊者對(duì)服務(wù)器端數(shù)據(jù)的爬取等。

當(dāng)安全問(wèn)題不僅僅是隱私安全問(wèn)題，而是上升到人身安全的程度時(shí)，物聯(lián)網(wǎng)安全問(wèn)題必須得到重視。目前，物聯(lián)網(wǎng)設(shè)備的焦點(diǎn)在于：權(quán)限繞過(guò)、拒絕服務(wù)、信息泄露、跨站、命令執(zhí)行、緩沖區(qū)溢出、SQL注入、弱口令、設(shè)計(jì)缺陷、權(quán)限獲齲按漏洞數(shù)量排名這十大問(wèn)題，每一環(huán)節(jié)出問(wèn)題都可能引發(fā)致命風(fēng)險(xiǎn)。