物聯網安全沙龍論道:如何防禦身邊的致命威脅
發佈時間:2018-03-21 17:20:14 | 來源來源:中國網 | 作者:北物聯 | 責任編輯:肖寒 “12月20日,360主動關閉了水滴直播平臺,但是駭客會停止攻擊嘛?”3月21日“第二屆物聯網安全沙龍”上,頂象技術安全總監邱寅峰表示,為了防止視頻直播被人惡意利用,360去年12月主動關閉了在風口浪尖上的水滴直播平臺。但是駭客並不會因為關閉平臺而停止攻擊,因為還有更多視頻直播平臺、更多的物聯網設備可以被駭客惡意利用。“現在全球物聯網的設備已經有60億台,一旦遭遇群體性攻擊事件,影響巨大”。
潛藏在身邊的致命威脅
2017年8月,沙烏地阿拉伯一家煉油廠網路攻擊。攻擊者對Triconex安全控制器下手,意圖引發爆炸級別的重大破壞。這些控制器出自施耐德電氣公司,其在全球1.8萬家各類工廠中運轉,核電站、凈水廠、煉油廠和化工廠都有使用。而就在本次網路攻擊前9個月前,烏克蘭電力公司因被駭客入侵導致西部地區大規模停電,直接影響了三個不同配電服務區域的最多 22.5萬名客戶,持續了數小時;2017年6月央視報道,大量家庭攝像頭遭入侵,有人攻破攝像頭的IP地址,並將拍攝到的“實時影像”出售給偷窺者;2017年,美國食品和藥物管理理局(FDA)正在召回46.5萬個心臟起搏器,因固件存在漏洞,容易受到駭客的攻擊。
邱寅峰表示,物聯網已經普遍應用於電力、金融、石化、公共設施、建築、醫療、運輸等各行各業。統計顯示,全球物聯網連接設備數量在已經達到60億台,預計2020年將達240億台。
物聯網市場很大,發展也很迅速,安全現狀卻不容樂觀。據人民日報報道消息稱,國家網際網路應急中心(CNCERT)2017年4月19日在北京發佈了《2016年我國網際網路網路安全態勢綜述》。其中國家資訊安全漏洞共用平臺(CNVD)公佈的數據顯示,2016年收到1117個物聯網設備漏洞,其中網路攝像頭、路由器、手機設備最多。並呈現“88766”態勢,也就是:80%的設備存在隱私洩露或濫用的風險、80%的設備使用弱密碼、70%的設備的網路通訊沒有加密、60%設備的web界面存在漏洞、60%設備的軟體更新未做加密。
邱寅峰表示,造成這類原因主要是安全標準滯後、廠商缺乏安全意識、自研安全方案成本高、攻擊成本低、傳統安全問題多、攻擊日益複雜多樣等。“物聯網設備基數大、24小時全天候線上,面臨的危險更多,極易發生大規模攻擊性事件。”
危險層出不窮,企業和個人該怎麼防?
頂象技術移動安全負責人梁家輝表示,物聯網都有三部分組成:雲端伺服器、IoT設備、手機App等。其中,雲端伺服器主要一旦通訊協議遭破解、機器批量爬取數據、被上傳偽造數據,就可能造成業務系統被惡意利用、隱私資訊洩露和數據被竊取等;而IoT設備和手機App的代碼被破解、漏洞被利用、通信被監聽或劫持,就會造成密鑰丟失、敏感數據遭盜取、設備被惡意控制、核心業務與智慧財産權洩露等。
針對以上問題,梁家輝現場演示了頂象技術的物聯網安全解決方案。該方案通過固件、數據的一機一密+業務風險防控,有效防各類業務風險威脅。
首先,在IoT設備和手機App上部署頂象虛機源碼保護。它能夠將源碼編譯生成虛擬加密指令,且每台設備均不相同。運作時使用頂象獨創的虛擬CPU直接運作加密的指令,從而杜絕駭客逆向工具無法逆向破解。作為頂象技術的獨家專利技術,頂象虛機源碼保護無縫整合GCC/CLANG/KEIL/IAR等主流IoT開發平臺或工具,能夠有效抵禦漏洞掃描,漏洞攻擊、固件篡改等各種針對固件的攻擊。其次,在IoT設備和手機App上部署頂象安全SDK。通過加密數據與設備綁定,實現數據鏈路保護,保證數據傳輸的真實、保密、不可篡改,讓外界無法破解演算法邏輯。
目前,頂象技術的物聯網安全解決方案,已在智慧駕駛、無人機、智慧家居等領域落地。第二屆物聯網安全沙龍的主題是“物聯網安全的困局與破局之道”。來自北京物聯網協會、通信研究院、北京理工大學、浙江大華、頂象技術等機構和企業的專家就物聯網發展趨勢、安全現狀、防護實踐以及區塊鏈對物聯網價值等進行了分享與討論。