e-works数字化企业网  »  文章频道  »  基础信息化  »  物联网

物联网安全风险威胁报告

2017/5/16    来源:极客头条    作者:魅影儿      
关键字:物联网安全  智能家居  
万物互联(IOT)时代已经到来,随着智能硬件创业的兴起,大量智能家居和可穿戴设备进入了人们的生活,根据Gartner 报告预测,2020年全球IOT物联网设备数量将高达260亿个。
    一.物联网安全概述
 
    物联网定义:日常物品(如电视、冰箱、空调、灯光、窗帘)的有网络连接,允许发送和接收数据。
 
    万物互联(IOT)时代已经到来,随着智能硬件创业的兴起,大量智能家居和可穿戴设备进入了人们的生活,根据Gartner 报告预测,2020年全球IOT物联网设备数量将高达260亿个。但是由于安全标准滞后,以及智能设备制造商缺乏安全意识和投入,物联网已经埋下极大隐患,是个人隐私、企业信息安全甚至国家关键基础设施的头号安全威胁。试想一下,无论家用或企业级的互连设备,如接入互联网的交通指示灯,恒温器,或医用监控设备遭到攻击,后果都将非常可怕。
 
    物联网总的体系结构通常由执行器、网关、传感器、云和移动app五部分组成。
 
物联网安全风险威胁报告
 
    移动app(Mobile):移动设备大多使用的,在设备上的应用程序,以实现手机端控制 IoT环境来进行互动;
 
    云(Cloud):Web界面或API 托管用于收集数据的云端web应用和大型数据集分析。一般来说,就是在做信息与其它方资源共享时使用;
 
    网关(Gateway):用于收集传感器信息和控制中心;
 
    执行器(Actuator):通过物理过程控制事物,如空调机组、门锁、窗帘;
 
    传感器(Sensor):用于检测环境,例如光、运动、温度、湿度、水/ 电量;
 
    物联网根据业务形态主要分为工业控制物联网、车载物联网、智能家居物联网。不同的业务形态对安全的需求不尽相同。
 
    工业控制物联网:涉及到国家安全、再加上目前工业控制网络基本是明文协议很容易遭受攻击。所以很早就有很多安全公司看到这块蛋糕:威努特、匡恩网络等已经完成市场布局。主要产品形态:工控防火墙、工控漏洞挖掘、主机白名单产品。安全需求基本是传统安全的思路。
 
    车载物联网:涉及到驾车人生命安全。但是目前是争标准的时代,目前国内厂商360在这方面有所建树。在标准未确定前,安全厂商都想做升级版的 OBD,嵌入式安全硬件。国外相关安全厂商产品形态大致是OBD防火墙、云端大数据分析异常监控等。安全需求集中在车载核心物联网硬件安全上。
 
    智能家居物联网:涉及到个人家庭隐私安全。这一块的安全投入,比较少。但是大的家电企业相对来说会多一点。这也是安全厂商的机会。目前我们公司的产品形态主要是智能家居物联网,文中后续会对这块重点关注。 
 
    要想做物联网安全,首先要了解企业级物联网架构。
 
    智能家居物联网:
 
物联网安全风险威胁报告
 
    当前一个典型的物联网项目,从组成上来讲,至少有三部分:一是设备端;二是云端;三是监控端。三者之间遵照通信协议完成消息传输。物联网安全的威胁风险也主要来自于这四部分。
 
    二.物联网安全威胁现状及预防
 
    惠普安全研究院调查的10个最流行的物联网智能设备后发现几乎所有设备都存在高危漏洞,主要有五大安全隐患,一些关键数据如下:
 
    80%的IOT设备存在隐私泄露或滥用风险;
 
    80%的IOT设备允许使用弱密码;
 
    70%的IOT设备与互联网或局域网的通讯没有加密;
 
    60%的IOT设备的web 界面存在安全漏洞;
 
    60%的IOT设备下载软件更新时没有使用加密;
 
    读一下网上关于物联网安全的报道,我们会发现很多与安全相关的骇人听闻的事件,例如:汽车被黑客远程操纵而失控;摄像头被入侵而遭偷窥;联网的烤箱被恶意控制干烧;洗衣机空转;美国制造零日漏洞病毒,利用 “震网”攻入伊朗核电站,破坏伊朗核实施计划等,这些信息安全问题已经影响到了我们的人身、财产、生命安全乃至国家安全。
 
    2.1.物联网通信协议安全
 
    需要物联网厂商提供协议访问API接口,以及访问证书,这样可以更全面的监控物联网设备,更好判断异常现象。针对MQTT 协议,如果是XMPP,建议不要使用这种不支持TLS的物联网协议,协议本身就缺乏安全考虑。自由协议,建议是站在巨人的肩膀上做事情,自己造轮子会存在很多缺陷,所以不建议用。如果出于成本考虑,协议本身建议增加部分安全限制。
 
    2.2.物联网设备安全现状
 
    2.2.1. IOT设备通用漏洞按厂商排名
 
    2016年CNVD收录IOT设备漏洞 1117个,漏洞涉及Cisco、Huawei、Google 、Moxa等厂商。其中,传统网络设备厂商思科(Cisco)设备漏洞356条,占全年 IOT设备漏洞的32%;华为(Huawei)位列第二,共收录155 条;安卓系统提供商谷歌(Google)位列第三,工业设备产品提供厂商摩莎科技(Moxa)、西门子(Siemens )分列第四和第五。
 
物联网安全风险威胁报告
 

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐