安全路透社
当前位置:安全路透社 > 网络转载 > 正文

物联网安全风险威胁报告

* 原创作者:魅影儿

目录

一.物联网安全概述

二.物联网安全威胁现状及预防

2.1.物联网通信协议安全

2.2.物联网设备安全现状

2.2.1. IOT设备通用漏洞按厂商排名

2.2.3. IOT设备通用漏洞按风险技术类型分布

2.2.4. IOT设备通用漏洞按设备标签类型分布

2.2.5. IOT设备事件型漏洞按设备标签类型分布

2.2.6. 传统网络设备漏洞收录统计

2.2.7. 典型IOT设备漏洞案例

2.3.云安全

2.3.1. 数据库信息泄露

2.3.2. 服务配置信息明文存储在云上

2.3.3. 虚拟化漏洞

三.    企业安全

3.1.为什么做安全?

3.2.企业需要什么样的安全?

3.3.如何做好安全?

一.物联网安全概述

物联网定义:日常物品(如电视、冰箱、空调、灯光、窗帘)的有网络连接,允许发送和接收数据。

万物互联(IOT)时代已经到来,随着智能硬件创业的兴起,大量智能家居和可穿戴设备进入了人们的生活,根据Gartner 报告预测,2020年全球IOT物联网设备数量将高达260亿个。但是由于安全标准滞后,以及智能设备制造商缺乏安全意识和投入,物联网已经埋下极大隐患,是个人隐私、企业信息安全甚至国家关键基础设施的头号安全威胁。试想一下,无论家用或企业级的互连设备,如接入互联网的交通指示灯,恒温器,或医用监控设备遭到攻击,后果都将非常可怕。

物联网总的体系结构通常由执行器、网关、传感器、云和移动app五部分组成。

 image001.png

移动app(Mobile):移动设备大多使用的,在设备上的应用程序,以实现手机端控制 IoT环境来进行互动;

云(Cloud):Web界面或API 托管用于收集数据的云端web应用和大型数据集分析。一般来说,就是在做信息与其它方资源共享时使用;

网关(Gateway):用于收集传感器信息和控制中心;

执行器(Actuator):通过物理过程控制事物,如空调机组、门锁、窗帘;

传感器(Sensor):用于检测环境,例如光、运动、温度、湿度、水/ 电量;

物联网根据业务形态主要分为工业控制物联网、车载物联网、智能家居物联网。不同的业务形态对安全的需求不尽相同。

工业控制物联网:涉及到国家安全、再加上目前工业控制网络基本是明文协议很容易遭受攻击。所以很早就有很多安全公司看到这块蛋糕:威努特、匡恩网络等已经完成市场布局。主要产品形态:工控防火墙、工控漏洞挖掘、主机白名单产品。安全需求基本是传统安全的思路。

车载物联网:涉及到驾车人生命安全。但是目前是争标准的时代,目前国内厂商360在这方面有所建树。在标准未确定前,安全厂商都想做升级版的 OBD,嵌入式安全硬件。国外相关安全厂商产品形态大致是OBD防火墙、云端大数据分析异常监控等。安全需求集中在车载核心物联网硬件安全上。

智能家居物联网:涉及到个人家庭隐私安全。这一块的安全投入,比较少。但是大的家电企业相对来说会多一点。这也是安全厂商的机会。目前我们公司的产品形态主要是智能家居物联网,文中后续会对这块重点关注。

要想做物联网安全,首先要了解企业级物联网架构。 

智能家居物联网:

image003.jpg

当前一个典型的物联网项目,从组成上来讲,至少有三部分:一是设备端;二是云端;三是监控端。三者之间遵照通信协议完成消息传输。物联网安全的威胁风险也主要来自于这四部分。

二.物联网安全威胁现状及预防

惠普安全研究院调查的10个最流行的物联网智能设备后发现几乎所有设备都存在高危漏洞,主要有五大安全隐患,一些关键数据如下:

80%的IOT设备存在隐私泄露或滥用风险;

80%的IOT设备允许使用弱密码;

70%的IOT设备与互联网或局域网的通讯没有加密;

60%的IOT设备的web 界面存在安全漏洞;

60%的IOT设备下载软件更新时没有使用加密;

读一下网上关于物联网安全的报道,我们会发现很多与安全相关的骇人听闻的事件,例如:汽车被黑客远程操纵而失控;摄像头被入侵而遭偷窥;联网的烤箱被恶意控制干烧;洗衣机空转;美国制造零日漏洞病毒,利用 “震网”攻入伊朗核电站,破坏伊朗核实施计划等,这些信息安全问题已经影响到了我们的人身、财产、生命安全乃至国家安全。

2.1.物联网通信协议安全

需要物联网厂商提供协议访问API接口,以及访问证书,这样可以更全面的监控物联网设备,更好判断异常现象。针对MQTT 协议,如果是XMPP,建议不要使用这种不支持TLS的物联网协议,协议本身就缺乏安全考虑。自由协议,建议是站在巨人的肩膀上做事情,自己造轮子会存在很多缺陷,所以不建议用。如果出于成本考虑,协议本身建议增加部分安全限制。

2.2.物联网设备安全现状

2.2.1. IOT设备通用漏洞按厂商排名

2016年CNVD收录IOT设备漏洞 1117个,漏洞涉及Cisco、Huawei、Google 、Moxa等厂商。其中,传统网络设备厂商思科(Cisco)设备漏洞356条,占全年 IOT设备漏洞的32%;华为(Huawei)位列第二,共收录155 条;安卓系统提供商谷歌(Google)位列第三,工业设备产品提供厂商摩莎科技(Moxa)、西门子(Siemens )分列第四和第五。

image005.png

2.2.3. IOT设备通用漏洞按风险技术类型分布

2016年CNVD收录IOT设备漏洞类型分别为权限绕过、拒绝服务、信息泄露、跨站、命令执行、缓冲区溢出、 SQL注入、弱口令、设计缺陷等漏洞。其中,权限绕过、拒绝服务、信息泄露漏洞数量位列前三,分别占收录漏洞总数的23%,19%, 13%。而对于弱口令(或内置默认口令)漏洞,虽然在统计比例中漏洞条数占比不大(2%),但实际影响却十分广泛,成为恶意代码攻击利用的重要风险点。

image007.png

2.2.4. IOT设备通用漏洞按设备标签类型分布

2016年CNVD公开收录1117个 IOT设备漏洞中,影响设备的类型(以标签定义)包括网络摄像头、路由器、手机设备、防火墙、网关设备、交换机等。其中,网络摄像头、路由器、手机设备漏洞数量位列前三,分别占公开收录漏洞总数的10%,9% ,5%。

image009.png

2.2.5. IOT设备事件型漏洞按设备标签类型分布

根据CNVD白帽子、补天平台以及漏洞盒子等来源的汇总信息,2016 年CNVD收录IOT设备事件型漏洞540个。与通用软硬件漏洞影响设备标签类型有所不同,主要涉及交换机、路由器、网关设备、 GPS设备、手机设备、智能监控平台、网络摄像头、打印机、一卡通产品等。其中,GPS设备、一卡通产品、网络摄像头漏洞数量位列前三,分别占公开收录漏洞总数的22% ,7%,7%。值得注意的是,目前政府、高校以及相关行业单位陆续建立一些与交通、环境、能源、校园管理相关的智能监控平台,这些智能监控平台漏洞占比虽然较少( 2%),但一旦被黑客攻击,带来的实际威胁却是十分严重的。

image011.png

2.2.6. 传统网络设备漏洞收录统计

根据CNVD平台近五年公开发布的网络设备(含路由器、交换机、防火墙以及传统网络设备网关等产品)漏洞数量分布分析,传统网络设备漏洞数量总体呈上升趋势。 2016年CNVD公开发布的网络设备漏洞697条,与去年环比增加27% 。 

image013.png

2.2.7. 典型IOT设备漏洞案例

Android NVIDIA摄像头驱动程序权限获取漏洞

Lexmark打印机竞争条件漏洞

格尔安全认证网关系统存在多处命令执行漏洞

多款mtk平台手机广升FOTA服务存在system 权限提升漏洞(魅魔漏洞)

Android MediaTek GPS驱动提权漏洞

多款Sony网络摄像头产品存在后门账号风险

网件Netgear多款路由器存在任意命令注入漏洞

Pulse Secure Desktop Client(Juniper Junos Pulse)权限提升漏洞

Cisco ASA Software IKE密钥交换协议缓冲区溢出漏洞

Fortigate防火墙存在SSH认证“后门”漏洞

未经允许不得转载:安全路透社 » 物联网安全风险威胁报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册