返回 登录
0

物联网安全风险威胁报告

本文转载自FreeBuf,版权归作者所有,转载已经授权
原文链接:http://www.freebuf.com/articles/terminal/133668.html
作者:魅影儿 | 责编:贾维娣(jiawd@csdn.net)

一.物联网安全概述

物联网定义:日常物品(如电视、冰箱、空调、灯光、窗帘)的有网络连接,允许发送和接收数据。

万物互联(IOT)时代已经到来,随着智能硬件创业的兴起,大量智能家居和可穿戴设备进入了人们的生活,根据Gartner 报告预测,2020年全球IOT物联网设备数量将高达260亿个。但是由于安全标准滞后,以及智能设备制造商缺乏安全意识和投入,物联网已经埋下极大隐患,是个人隐私、企业信息安全甚至国家关键基础设施的头号安全威胁。试想一下,无论家用或企业级的互连设备,如接入互联网的交通指示灯,恒温器,或医用监控设备遭到攻击,后果都将非常可怕。

物联网总的体系结构通常由执行器、网关、传感器、云和移动app五部分组成。

图片描述

移动app(Mobile):移动设备大多使用的,在设备上的应用程序,以实现手机端控制 IoT环境来进行互动;

云(Cloud):Web界面或API 托管用于收集数据的云端web应用和大型数据集分析。一般来说,就是在做信息与其它方资源共享时使用;

网关(Gateway):用于收集传感器信息和控制中心;

执行器(Actuator):通过物理过程控制事物,如空调机组、门锁、窗帘;

传感器(Sensor):用于检测环境,例如光、运动、温度、湿度、水/ 电量;

物联网根据业务形态主要分为工业控制物联网、车载物联网、智能家居物联网。不同的业务形态对安全的需求不尽相同。

工业控制物联网:涉及到国家安全、再加上目前工业控制网络基本是明文协议很容易遭受攻击。所以很早就有很多安全公司看到这块蛋糕:威努特、匡恩网络等已经完成市场布局。主要产品形态:工控防火墙、工控漏洞挖掘、主机白名单产品。安全需求基本是传统安全的思路。

车载物联网:涉及到驾车人生命安全。但是目前是争标准的时代,目前国内厂商360在这方面有所建树。在标准未确定前,安全厂商都想做升级版的 OBD,嵌入式安全硬件。国外相关安全厂商产品形态大致是OBD防火墙、云端大数据分析异常监控等。安全需求集中在车载核心物联网硬件安全上。

智能家居物联网:涉及到个人家庭隐私安全。这一块的安全投入,比较少。但是大的家电企业相对来说会多一点。这也是安全厂商的机会。目前我们公司的产品形态主要是智能家居物联网,文中后续会对这块重点关注。
要想做物联网安全,首先要了解企业级物联网架构。

智能家居物联网:

图片描述

当前一个典型的物联网项目,从组成上来讲,至少有三部分:一是设备端;二是云端;三是监控端。三者之间遵照通信协议完成消息传输。物联网安全的威胁风险也主要来自于这四部分。

二.物联网安全威胁现状及预防

惠普安全研究院调查的10个最流行的物联网智能设备后发现几乎所有设备都存在高危漏洞,主要有五大安全隐患,一些关键数据如下:

80%的IOT设备存在隐私泄露或滥用风险;

80%的IOT设备允许使用弱密码;

70%的IOT设备与互联网或局域网的通讯没有加密;

60%的IOT设备的web 界面存在安全漏洞;

60%的IOT设备下载软件更新时没有使用加密;

读一下网上关于物联网安全的报道,我们会发现很多与安全相关的骇人听闻的事件,例如:汽车被黑客远程操纵而失控;摄像头被入侵而遭偷窥;联网的烤箱被恶意控制干烧;洗衣机空转;美国制造零日漏洞病毒,利用 “震网”攻入伊朗核电站,破坏伊朗核实施计划等,这些信息安全问题已经影响到了我们的人身、财产、生命安全乃至国家安全。

2.1.物联网通信协议安全

需要物联网厂商提供协议访问API接口,以及访问证书,这样可以更全面的监控物联网设备,更好判断异常现象。针对MQTT 协议,如果是XMPP,建议不要使用这种不支持TLS的物联网协议,协议本身就缺乏安全考虑。自由协议,建议是站在巨人的肩膀上做事情,自己造轮子会存在很多缺陷,所以不建议用。如果出于成本考虑,协议本身建议增加部分安全限制。

2.2.物联网设备安全现状

2.2.1. IOT设备通用漏洞按厂商排名

2016年CNVD收录IOT设备漏洞 1117个,漏洞涉及Cisco、Huawei、Google 、Moxa等厂商。其中,传统网络设备厂商思科(Cisco)设备漏洞356条,占全年 IOT设备漏洞的32%;华为(Huawei)位列第二,共收录155 条;安卓系统提供商谷歌(Google)位列第三,工业设备产品提供厂商摩莎科技(Moxa)、西门子(Siemens )分列第四和第五。

图片描述

2.2.3. IOT设备通用漏洞按风险技术类型分布

2016年CNVD收录IOT设备漏洞类型分别为权限绕过、拒绝服务、信息泄露、跨站、命令执行、缓冲区溢出、 SQL注入、弱口令、设计缺陷等漏洞。其中,权限绕过、拒绝服务、信息泄露漏洞数量位列前三,分别占收录漏洞总数的23%,19%, 13%。而对于弱口令(或内置默认口令)漏洞,虽然在统计比例中漏洞条数占比不大(2%),但实际影响却十分广泛,成为恶意代码攻击利用的重要风险点。

图片描述

2.2.4. IOT设备通用漏洞按设备标签类型分布

2016年CNVD公开收录1117个 IOT设备漏洞中,影响设备的类型(以标签定义)包括网络摄像头、路由器、手机设备、防火墙、网关设备、交换机等。其中,网络摄像头、路由器、手机设备漏洞数量位列前三,分别占公开收录漏洞总数的10%,9% ,5%。

图片描述

2.2.5. IOT设备事件型漏洞按设备标签类型分布

根据CNVD白帽子、补天平台以及漏洞盒子等来源的汇总信息,2016 年CNVD收录IOT设备事件型漏洞540个。与通用软硬件漏洞影响设备标签类型有所不同,主要涉及交换机、路由器、网关设备、 GPS设备、手机设备、智能监控平台、网络摄像头、打印机、一卡通产品等。其中,GPS设备、一卡通产品、网络摄像头漏洞数量位列前三,分别占公开收录漏洞总数的22% ,7%,7%。值得注意的是,目前政府、高校以及相关行业单位陆续建立一些与交通、环境、能源、校园管理相关的智能监控平台,这些智能监控平台漏洞占比虽然较少( 2%),但一旦被黑客攻击,带来的实际威胁却是十分严重的。

图片描述

2.2.6. 传统网络设备漏洞收录统计

根据CNVD平台近五年公开发布的网络设备(含路由器、交换机、防火墙以及传统网络设备网关等产品)漏洞数量分布分析,传统网络设备漏洞数量总体呈上升趋势。 2016年CNVD公开发布的网络设备漏洞697条,与去年环比增加27% 。

图片描述

2.2.7. 典型IOT设备漏洞案例

Android NVIDIA摄像头驱动程序权限获取漏洞

Lexmark打印机竞争条件漏洞

格尔安全认证网关系统存在多处命令执行漏洞

多款mtk平台手机广升FOTA服务存在system 权限提升漏洞(魅魔漏洞)

Android MediaTek GPS驱动提权漏洞

多款Sony网络摄像头产品存在后门账号风险

网件Netgear多款路由器存在任意命令注入漏洞

Pulse Secure Desktop Client(Juniper Junos Pulse)权限提升漏洞

Cisco ASA Software IKE密钥交换协议缓冲区溢出漏洞

Fortigate防火墙存在SSH认证“后门”漏洞

2.3.云安全

黑客入侵智能设备并不难,很多时候它们不需要知道物联网智能设备有哪些功能以及如何运作的。只要它们能进入与智能设备连接的相关网站,他们就能操控物联网设备,而设备连接的网站通常都部署在云端,因此保护好云端安全也是保护好物联网安全的关键环节,云端一般包含三部分:web 前台+web后台+中间件。

根据对2016年云产品的调研,发现云安全主要有十二大威胁,云服务客户和提供商可以根据这些威胁调整防御策略。

图片描述

近年来,云端应用安全事件频发。

2.3.1. 数据库信息泄露

案例:

某云平台是面向个人、企业和政府的云计算服务,206年3 月被曝出存在门户管理后台及系统管理员账户弱口令,通过登录账号可查看数十万用户的个人信息。通过获取的用户个人账户密码能够登录客户应用平台,查看应用配置信息,然后获取业务安装包、代码及密钥数据等敏感信息,进一步获取数据库访问权限、篡改记录、伪造交易、瘫痪系统等。这样一次看似简单的数据泄露事件,发生在云平台门户,造成的影响非比寻常。

产生原因:

账户弱口令容易被暴力破解。

预防:

增加密码复杂度,设置好记难猜的密码。

2.3.2. 服务配置信息明文存储在云上

案例:

2014年8月,专业从事Paas服务的某云被曝出由于服务器权限设置不当,导致可使用木马通过后台查看不同客户存放在云上的服务配置信息,包括 WAR包、数据库配置文件等,给托管客户的应用服务带来了巨大的安全隐患。

产生原因:

云服务商的服务器权限设置不当。

预防:

使用云平台的用户加密存储放在云上的服务配置信息。

2.3.3. 虚拟化漏洞

案例:

“传送门事件”—越界读取内存导致跨虚机执行任意代码。

产生原因:

云平台的虚拟化漏洞导致能够在宿主机上进行越界内存读取和写入,从而实现虚拟机逃逸。

预防:

经调研,大部分云端的威胁风险都来自于云服务提供商自身的平台漏洞,但云服务使用者过于简单的应用部署以及对敏感数据保护的不重视,也是导致威胁风险的重要原因。

图片描述

对于云服务使用者,不能把安全防护完全寄托在云服务提供商身上,必须考虑自保。云服务使用方需要重点保护其云端应用核心代码、关键数据及其系统访问安全,可分别从云端代码加固、数据安全保护、云端安全接入三个维度,设计一套安全防护体系。

图片描述

云服务使用者在应用层面对其云端代码、数据及系统接入进行安全保护,保证云端应用在不可信环境下的安全。云服务商需要进行云平台基础设施安全保护,提供云平台虚拟化、网络、配置、漏洞等多方面的安全保护功能。

构建云端安全可信的运行环境,需要云服务提供商和使用者的共同努力,加大黑客进入与物联网设备连接的网站的难度,进而提升物联网安全度。

三.企业安全

3.1.为什么做安全?

企业做安全的驱动力主要源于以下几个方面:

1).面临来自各方面的安全威胁

譬如:外部黑客、网络黑产、竞争对手、内鬼等

2).面临各种安全挑战

譬如:安全漏洞、网络攻击、勒索、敏感信息泄露等

3).安全问题会对公司运营、业务发展造成不良影响

譬如:经济损失、用户流失、财产损失、声誉受损、公信力下降等

3.2.企业需要什么样的安全?

虽然各个企业由于自身业务特性有所不同,但还是有很多共性的,例如:

1).数据安全

数据安全是所有互联网公司最核心的安全需求,也是大多数网络企业高管最为关注的安全问题。目标是保障企业敏感数据的安全、可控。

2).在攻防对抗中占据主动地位

能够掌握企业整体的安全态势,可主动发现潜在安全风险,及时知道谁、什么时间、做过什么样的攻击、攻击是否成功、目标系统受影响程度,并且在第一时间内解决遇到的安全问题。

3).保障业务安全、连续、可用

尽可能降低因网络攻击造成业务系统受影响的安全风险,比如最常见的DDOS、CC 攻击。

3.3.如何做好安全?

1).树立正确的安全观

安全是相对的。企业绝不是做一次渗透测试、找安全公司提供个安全解决方案或者购买一些安全产品及服务就可以搞定的事情。安全是一个整体的、动态的、需要长期做且持续投入的事情。

2).企业安全完整视角

互联网企业安全包含以下几大部分:

图片描述

人们总想着把任何东西都交给互联网,但往往会发生严重的安全错误。目前,我们还处于物联网早期,很多东西并未联网。但一旦它们互通互联,无论对普通用户还是对黑客来说,都会有非常大的利用价值。这就要求公司应当把安全因素排在首位,将保护措施植入到设备中。大多数错误是由于安全目标不明确,缺乏经验和意识。我们必须采取安全的物联网策略,而不是期望它们主动来给我们安全。面对物联网的安全危机,物联网智能设备厂商进行安全建设时可参考以下建议:

  1. 对生产的智能产品进行全面的安全审计;

  2. 企业生产IOT产品前需要部署基本的安全标准;

  3. 将安全融入产品生命周期,在产品还处于设计阶段就接受隐私和风险评估认证,比如当用户在使用可能有安全隐患的网络时,强制他们修改密码或开启加密服务;

针对传统的连接互联网的网络以及传统的云端架构还是需要使用传统边界防护解决方案。

a.)带防火墙模块硬件IPS:可以限制App 访问的端口,对传统的SQLi、XSS等做检测;

b.)WAF:web应用防火墙,主要是通过上下文语义关联对 OWASP Top 10攻击类型做检查和阻断;

c.)定期对后端web应用、数据库服务器、物联网大数据分析平台等做操作系统、中间件、数据库漏洞扫描。建议配合渗透测试发现更多问题。

调研了各个物联网安全公司,发现它们大致的解决方案如下:

a.)对IOT设备进行资产管理

快速发现连接到网络的IoT设备;

已经连接的IoT设备可视化;

配置检测、基线检测;

b.)快速安全响应

快速检测到异常终端;

隔离可疑应用程序和停止攻击扩散到IoT网络;

c.)通过大数据分析IoT事件,预测其安全状态、给出预防建议

d.)IoT设备上安装状态防火墙、保证通讯协议安全

各制造商与开发商为了有效降低风险并提升物联网设备的安全性水平,可以从以下六个方面入手。

图片描述

图片描述

评论