欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

物联网安全风险威胁报告

来源:本站整理 作者:魅影儿 时间:2017-05-09 TAG: 我要投稿

目录
一.物联网安全概述
二.物联网安全威胁现状及预防
2.1.物联网通信协议安全
2.2.物联网设备安全现状
2.2.1. IOT设备通用漏洞按厂商排名
2.2.3. IOT设备通用漏洞按风险技术类型分布
2.2.4. IOT设备通用漏洞按设备标签类型分布
2.2.5. IOT设备事件型漏洞按设备标签类型分布
2.2.6. 传统网络设备漏洞收录统计
2.2.7. 典型IOT设备漏洞案例
2.3.云安全
2.3.1. 数据库信息泄露
2.3.2. 服务配置信息明文存储在云上
2.3.3. 虚拟化漏洞
三.    企业安全
3.1.为什么做安全?
3.2.企业需要什么样的安全?
3.3.如何做好安全?
一.物联网安全概述
物联网定义:日常物品(如电视、冰箱、空调、灯光、窗帘)的有网络连接,允许发送和接收数据。
万物互联(IOT)时代已经到来,随着智能硬件创业的兴起,大量智能家居和可穿戴设备进入了人们的生活,根据Gartner 报告预测,2020年全球IOT物联网设备数量将高达260亿个。但是由于安全标准滞后,以及智能设备制造商缺乏安全意识和投入,物联网已经埋下极大隐患,是个人隐私、企业信息安全甚至国家关键基础设施的头号安全威胁。试想一下,无论家用或企业级的互连设备,如接入互联网的交通指示灯,恒温器,或医用监控设备遭到攻击,后果都将非常可怕。
物联网总的体系结构通常由执行器、网关、传感器、云和移动app五部分组成。
 

移动app(Mobile):移动设备大多使用的,在设备上的应用程序,以实现手机端控制 IoT环境来进行互动;
云(Cloud):Web界面或API 托管用于收集数据的云端web应用和大型数据集分析。一般来说,就是在做信息与其它方资源共享时使用;
网关(Gateway):用于收集传感器信息和控制中心;
执行器(Actuator):通过物理过程控制事物,如空调机组、门锁、窗帘;
传感器(Sensor):用于检测环境,例如光、运动、温度、湿度、水/ 电量;
物联网根据业务形态主要分为工业控制物联网、车载物联网、智能家居物联网。不同的业务形态对安全的需求不尽相同。
工业控制物联网:涉及到国家安全、再加上目前工业控制网络基本是明文协议很容易遭受攻击。所以很早就有很多安全公司看到这块蛋糕:威努特、匡恩网络等已经完成市场布局。主要产品形态:工控防火墙、工控漏洞挖掘、主机白名单产品。安全需求基本是传统安全的思路。
车载物联网:涉及到驾车人生命安全。但是目前是争标准的时代,目前国内厂商360在这方面有所建树。在标准未确定前,安全厂商都想做升级版的 OBD,嵌入式安全硬件。国外相关安全厂商产品形态大致是OBD防火墙、云端大数据分析异常监控等。安全需求集中在车载核心物联网硬件安全上。
智能家居物联网:涉及到个人家庭隐私安全。这一块的安全投入,比较少。但是大的家电企业相对来说会多一点。这也是安全厂商的机会。目前我们公司的产品形态主要是智能家居物联网,文中后续会对这块重点关注。
要想做物联网安全,首先要了解企业级物联网架构。
智能家居物联网:

 
当前一个典型的物联网项目,从组成上来讲,至少有三部分:一是设备端;二是云端;三是监控端。三者之间遵照通信协议完成消息传输。物联网安全的威胁风险也主要来自于这四部分。
二.物联网安全威胁现状及预防
惠普安全研究院调查的10个最流行的物联网智能设备后发现几乎所有设备都存在高危漏洞,主要有五大安全隐患,一些关键数据如下:
80%的IOT设备存在隐私泄露或滥用风险;
80%的IOT设备允许使用弱密码;
70%的IOT设备与互联网或局域网的通讯没有加密;
60%的IOT设备的web 界面存在安全漏洞;
60%的IOT设备下载软件更新时没有使用加密;
读一下网上关于物联网安全的报道,我们会发现很多与安全相关的骇人听闻的事件,例如:汽车被黑客远程操纵而失控;摄像头被入侵而遭偷窥;联网的烤箱被恶意控制干烧;洗衣机空转;美国制造零日漏洞病毒,利用 “震网”攻入伊朗核电站,破坏伊朗核实施计划等,这些信息安全问题已经影响到了我们的人身、财产、生命安全乃至国家安全。
2.1.物联网通信协议安全
需要物联网厂商提供协议访问API接口,以及访问证书,这样可以更全面的监控物联网设备,更好判断异常现象。针对MQTT 协议,如果是XMPP,建议不要使用这种不支持TLS的物联网协议,协议本身就缺乏安全考虑。自由协议,建议是站在巨人的肩膀上做事情,自己造轮子会存在很多缺陷,所以不建议用。如果出于成本考虑,协议本身建议增加部分安全限制。
2.2.物联网设备安全现状
2.2.1. IOT设备通用漏洞按厂商排名
2016年CNVD收录IOT设备漏洞 1117个,漏洞涉及Cisco、Huawei、Google 、Moxa等厂商。其中,传统网络设备厂商思科(Cisco)设备漏洞356条,占全年 IOT设备漏洞的32%;华为(Huawei)位列第二,共收录155 条;安卓系统提供商谷歌(Google)位列第三,工业设备产品提供厂商摩莎科技(Moxa)、西门子(Siemens )分列第四和第五。

2.2.3. IOT设备通用漏洞按风险技术类型分布
2016年CNVD收录IOT设备漏洞类型分别为权限绕过、拒绝服务、信息泄露、跨站、命令执行、缓冲区溢出、 SQL注入、弱口令、设计缺陷等漏洞。其中,权限绕过、拒绝服务、信息泄露漏洞数量位列前三,分别占收录漏洞总数的23%,19%, 13%。而对于弱口令(或内置默认口令)漏洞,虽然在统计比例中漏洞条数占比不大(2%),但实际影响却十分广泛,成为恶意代码攻击利用的重要风险点。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载