物聯網安全沙龍論道：如何防禦身邊的致命威脅

   “12月20日，360主動關閉了水滴直播平臺，但是駭客會停止攻擊嘛？”3月21日“第二屆物聯網安全沙龍”上，頂象技術安全總監邱寅峰表示，為了防止視頻直播被人惡意利用，360去年12月主動關閉了在風口浪尖上的水滴直播平臺。但是駭客並不會因為關閉平臺而停止攻擊，因為還有更多視頻直播平臺、更多的物聯網設備可以被駭客惡意利用。“現在全球物聯網的設備已經有60億台，一旦遭遇群體性攻擊事件，影響巨大”。

       潛藏在身邊的致命威脅

       2017年8月，沙烏地阿拉伯一家煉油廠網路攻擊。攻擊者對Triconex安全控制器下手，意圖引發爆炸級別的重大破壞。這些控制器出自施耐德電氣公司，其在全球1.8萬家各類工廠中運轉，核電站、凈水廠、煉油廠和化工廠都有使用。而就在本次網路攻擊前9個月前，烏克蘭電力公司因被駭客入侵導致西部地區大規模停電，直接影響了三個不同配電服務區域的最多 22.5萬名客戶，持續了數小時；2017年6月央視報道，大量家庭攝像頭遭入侵，有人攻破攝像頭的IP地址，並將拍攝到的“實時影像”出售給偷窺者；2017年，美國食品和藥物管理理局（FDA）正在召回46.5萬個心臟起搏器，因固件存在漏洞，容易受到駭客的攻擊。

       邱寅峰表示，物聯網已經普遍應用於電力、金融、石化、公共設施、建築、醫療、運輸等各行各業。統計顯示，全球物聯網連接設備數量在已經達到60億台，預計2020年將達240億台。

       物聯網市場很大，發展也很迅速，安全現狀卻不容樂觀。據人民日報報道消息稱，國家網際網路應急中心（CNCERT）2017年4月19日在北京發佈了《2016年我國網際網路網路安全態勢綜述》。其中國家資訊安全漏洞共用平臺(CNVD)公佈的數據顯示，2016年收到1117個物聯網設備漏洞，其中網路攝像頭、路由器、手機設備最多。並呈現“88766”態勢，也就是：80%的設備存在隱私洩露或濫用的風險、80%的設備使用弱密碼、70%的設備的網路通訊沒有加密、60%設備的web界面存在漏洞、60%設備的軟體更新未做加密。

       邱寅峰表示，造成這類原因主要是安全標準滯後、廠商缺乏安全意識、自研安全方案成本高、攻擊成本低、傳統安全問題多、攻擊日益複雜多樣等。“物聯網設備基數大、24小時全天候線上，面臨的危險更多，極易發生大規模攻擊性事件。”

       危險層出不窮，企業和個人該怎麼防？

       頂象技術移動安全負責人梁家輝表示，物聯網都有三部分組成：雲端伺服器、IoT設備、手機App等。其中，雲端伺服器主要一旦通訊協議遭破解、機器批量爬取數據、被上傳偽造數據，就可能造成業務系統被惡意利用、隱私資訊洩露和數據被竊取等；而IoT設備和手機App的代碼被破解、漏洞被利用、通信被監聽或劫持，就會造成密鑰丟失、敏感數據遭盜取、設備被惡意控制、核心業務與智慧財産權洩露等。

       針對以上問題，梁家輝現場演示了頂象技術的物聯網安全解決方案。該方案通過固件、數據的一機一密+業務風險防控，有效防各類業務風險威脅。

       首先，在IoT設備和手機App上部署頂象虛機源碼保護。它能夠將源碼編譯生成虛擬加密指令，且每台設備均不相同。運作時使用頂象獨創的虛擬CPU直接運作加密的指令，從而杜絕駭客逆向工具無法逆向破解。作為頂象技術的獨家專利技術，頂象虛機源碼保護無縫整合GCC/CLANG/KEIL/IAR等主流IoT開發平臺或工具，能夠有效抵禦漏洞掃描，漏洞攻擊、固件篡改等各種針對固件的攻擊。其次，在IoT設備和手機App上部署頂象安全SDK。通過加密數據與設備綁定，實現數據鏈路保護，保證數據傳輸的真實、保密、不可篡改，讓外界無法破解演算法邏輯。

       目前，頂象技術的物聯網安全解決方案，已在智慧駕駛、無人機、智慧家居等領域落地。第二屆物聯網安全沙龍的主題是“物聯網安全的困局與破局之道”。來自北京物聯網協會、通信研究院、北京理工大學、浙江大華、頂象技術等機構和企業的專家就物聯網發展趨勢、安全現狀、防護實踐以及區塊鏈對物聯網價值等進行了分享與討論。