随着物联网(IoT)在社会生活中的普及,应用场景不断丰富,安全风险也将随之增加。现在,IoT设备、系统、平台已经成为黑客的主要攻击目标。因此,如何保障物联网安全是全球面临的最大挑战之一。
11月17日,由几维安全与看雪学院联合主办的“2018物联网安全行业论坛”成功在京举行。会上,来自各个安全行业的200余位专家、领导和研究人员,共同分析了物联网安全市场的情况,讨论潜在的风险和威胁,共享最有效的物联网安全创新技术。
物联网安全行业态势解读
据IDC分析,到2022年全球物联网支出将达到1.2万亿美元,2017年至2022年期间复合年增长率CAGR为13.6%。其中,中国物联网支出规模将达到3千亿美元,在全球的物联网市场中占比超过1/4,超越美国成为全球最大的物联网市场。
几维安全CEO范俊伟
“从物联网应用潜在规模看,仅仅是国内市场就有十几亿的人口基数,围绕着我们“衣食住行安”的每一方面都可以是一个庞大的产业体系。”在当日会议的演讲中,几维安全CEO范俊伟表示。他指出,据Gartner预测,到2020年物联网将链接全球40亿的用户、250亿以上的终端设备,在此过程中将会有2500万的应用App被开发出来,沉淀出超过50万亿GB的数据,同时创造出4万亿美金的收入机会。同时,不同于传统设备和应用场景的差异化安全需求凸显。
IDF(益云)极安客实验室联合创始人、OASES安全生态联盟专家万涛
IDF(益云)极安客实验室联合创始人、OASES安全生态联盟专家万涛认为:“安全滞后于发展是一种常态,因为只有在发展暴露出风险后,安全才能得到足够的重视和投资。虽然目前的物联网安全市场规模仍然很小,但预计未来会呈爆发式增长。”他指出,根据MARKETSANDMARKETS预测,全球物联网安全市场将从2016 年的79 亿美元增长到2021 年的369.5 亿美元,5 年增长4 倍,年均复合平均增速接近50%。
此外,Gartner预计到2021年监管合规将成为物联网安全应用的主要影响因素。由于物联网渗透到工业世界,必须遵守旨在改善关键基础设施保护(CIP)的法规和指导方针的行业,不得不更加注重安全。
从技术到实战,看大咖们如何对抗物联网安全威胁
2017年3月,Spiral Toys旗下的CloudPets系列动物填充玩具遭遇数据泄露,敏感客户数据库受到恶意入侵;2017年8月,深圳某公司制造的17.5万个物联网安防摄像头被爆可能遭受黑客攻击;2017年9月,物联网安全研究公司Armis在蓝牙协议中发现了8个零日漏洞,这些漏洞将影响超过53亿设备……
物联网安全事件一直在发生,究竟该如何破局?下面听听大咖们怎么说。
◆从代码层入手,应对物联网攻击
会上,范俊伟发布了几维安全IoT体系安全防护建设方案,解读了IoT体系安全态势和潜在的安全风险,随后针对可能遭遇的风险,从终端安全、云端安全、业务运营安全三个方面提出了安全防护解决方案,并针对实际安全设计案例进行了解析。
谈及如何对抗物联网安全威胁,范俊伟在接受记者采访时表示,由于攻击者可直接购买、拆解物联网终端,一旦获取其代码,分析代码漏洞,就可进行攻击。传统的保护方法只能增加获取代码的难度,并不能增加分析代码的难度,比如在App上加 “保护壳”,攻击者一旦破解“保护壳”,将直接获取代码进而找到业务漏洞。而如果在开发过程中就加入加密机制,把安全技术下沉到代码层,不干预代码正常的业务逻辑,这样一来,即使攻击者拿到应用或终端,也难以分析业务逻辑和漏洞。
◆政府与企业双管齐下,破解智能摄像头安全隐患
启明星辰ADLab安全专家王启泽表示:“针对物联网摄像头的实际攻击能力测试结果表明:8万个IoT设备就能发起超过500 Gbps 的DDoS 攻击;89万个IoT设备能产生的攻击流量足以打垮全球任何一个电信运营商;如果上百万台摄像头发起总攻将导致整个互联网骨干网络瘫痪。”
启明星辰ADLab安全专家王启泽
对于物联网摄像头安全性的提升,王启泽建议:一方面,政府可实现对设备分级,建立相关的强制性法律法规,并加强用户安全意识的培养;另一方面,企业需要消灭硬编码密钥,使用安全函数,选择可靠的第三方组件,采取必要的漏洞缓解措施,并按需开放端口,采用公钥机制。
◆突破边界传承未来,浅谈物联网信息安全
高新兴科技集团副总裁刘志成以“突破边界,传承未来”为主题,从安全运营的角度,分享了其在物联网信息安全技术挑战、应对方案、体系构建等方面的经验和思考。
高新兴科技集团副总裁刘志成
他认为,物联网安全运营需要应对以下七大问题:第一,隐私问题。对物联网用户信息于行为安全数据进行脱敏处理,从而解决隐私问题。第二,商业机密问题。通过实现物联网安全数据与业务数据分离,解决商业机密问题。第三,专业化问题。采用物联网应用与安全解耦方式,解决专业化问题。第四,体系化问题。从产品到服务,全面解决体系化问题。第五,服务化问题。从建设到应用,解决服务化问题。第六,兼容性问题。从各自为政的物联网安全方式,到物联网安全生态体系,解决兼容性问题。第七,互通性问题。从单打独斗解决物联网安全问题,到协作共赢,解决互通性问题。
◆聚焦车联网安全体系建设
演讲中,小鹏汽车安全总架构师程紫尧针对车联网安全体系的核心技术,可能遭遇的安全攻击进行了分析,并针对攻击方式提出了车联安全体系的构建方案。
小鹏汽车安全总架构师程紫尧
“以前,汽车是孤立的、物理隔离的,因此黑客很难远程入侵汽车内部控制器,除非进行物理入侵。而随着互联网的进化,当TSP通过T-Box与汽车内部网络联网之后,汽车受到的远程网络攻击就不再是猜想。”他指出,因为汽车联网后变得更智能,产生了更多的软件代码,从而导致了更多的漏洞BUG。联网汽车拥有更多的接入途径,产生了更大的攻击面。尤其,汽车中使用的计算和联网系统沿袭了既有的计算和联网架构,也继承了这些系统天然的安全缺陷。
随后,来自上汽集团上海赛可出行资深安全专家赖杨健,与大家分享了车联网DDG挖矿病毒逆向实战案例,对黑产DDG挖矿病毒的利益来源、病毒攻击溯源诊断思路以及清除病毒的思路进行了详细的分析,并在现场进行了实战演示。
上汽集团上海赛可出行资深安全专家赖杨健
针对车联网的安全防护,赖杨健建议从三个方面出发:在终端防护上,实现核心数据加密,接入口令复杂化和随机化,防止暴力破解;并且做好数据校验和认证,阻止数据包重放攻击;实现APP代码加固及通信数据加密。在汽车网关防护上,对通信进行加密通信,在数据中增加随机因子签名认证,实现接入设备和接入系统的安全认证,并防止固件安全检测。在云端安全防护上,实现应用安全、网络安全、安全管理等全方位保护。
写在最后
“万物互联,安全先行”,2018年是物联网技术商用的关键一年。作为主办方,几维安全希望通过本次会议积极为国内外物联网行业从业者提供交流契机、合作共赢,共同构建一个安全可靠的物联网生态环境。