“破解物联网安全问题,一定要知道漏洞在哪”
来源:光明网  更新时间:2016-11-04

    “破解物联网安全问题,一定要知道漏洞在哪”

    ——美国Dyn公司遭遇黑客攻击事件带来的启示与教训

    文/图 光明网记者 李政葳

    随着移动互联网的高速发展,以及智能手机、智能手表、智能家居等智能硬件设备增多,近年来物联网得到了迅猛发展。知名数据统计机构Gartner预测,2020年智能设备数量将达到250亿台左右,与智能设备相关的边际收益或达2630亿美元。

    一边是高速增长的物联网市场,另一边则是伴随而来网络安全生态的缺失。在十多天前,黑客对Dyn公司(美国境内大型网络管理公司)发起了DDoS网络攻击,导致该区域的服务和网站宕机,整个时间持续超过2个小时,影响范围覆盖了美国和部分欧洲地区。

    这起大面积网络瘫痪事件中,正是黑客使用了被称之为“物联网破坏者”的Mirai病毒,攻击物联网设备(如网络摄像头、智能开关等)所致。该事件也被业界人士称为“首次借用物联网设备发动的大规模网络攻击”。

    “它给全球物联网发展敲响了警钟。”在2016世界物联网博览会信息安全高峰论坛上,中国工程院院士倪光南坦言,如今物联网已经成为网络攻击的新领地,也成了信息窃取的新战场,大数据、云计算、移动互联等新技术新应用不断融合,海量设备不断接入互联网,类似车联网、智能家居、可穿戴设备等都可能成为黑客攻击的目标,预计物联网将是风险隐患的高发地、网络安全治理的重点区。

“破解物联网安全问题,一定要知道漏洞在哪”

博览会上,各类物联网新应用吸引观众体验

    微软中国首席安全官邵江宁也表示,黑客攻击方式的复杂性和入侵者所需的知识门槛在不断降低,尤其过去研究发生的物联网攻击,仅仅在一周的时间内,很多变种恶意代码便在网上到处蔓延。

    无锡物联网产业研究院副院长沈杰分析,目前大部分物联网用户和厂商安全意识缺乏,无人职守的设备认证体系十分脆弱,比如,这些摄像头里面都存有一个后门账号,但大家都没有主动去修改它;另外,现在整个物联网产业环节较多,但目前仍然没有完善的安全防护体系,缺乏统一的顶层设计。

    卡巴斯基实验室每年都会为一些大型公司做调研,他们发现,2013年网络事故在大型公司各大事故中排名第十三位,当时这些公司并没有觉得网络事故是一大威胁,但现在,网络事故的排名已经跃居到了第三位。“他们逐渐意识到‘网络事故已成为非常严重的问题’。”卡巴斯基实验室关键基础设施保护全球市场总经理Andrey Suvorov说。

    安天首席技术架构师肖新光指出,“安全和便利性的矛盾,在物联网设备上表现十分明显。”物联网设备通用密码和弱密码是常见的攻击入口,安天也对这一问题进行了跟踪和分析,但调研智能摄像头厂家中却了解到,最常见的客服困扰是“用户忘记了口令”。“如何让个人用户在享受物联网带来便利的同时,安全性不受到侵害。同时又如何对大批量部署的物联网设备实现安全又便利的管理,还需要引入更多的有效安全基因。”在肖新光看来,物联网带来的安全威胁提升了网络攻击对实体空间数据的获取能力,增大了网络攻击转化为实体空间后果的风险,也为网络攻击提供了更多可利用的节点。

    肖新光认为,整体安全要从供应链和信息流的大视角进行审视,未来关键机构用户、行业用户将会进一步完善供应链安全体系,增强对供应商的安全管理,对开发者提出更系统的安全开发要求,在通讯中将会更普遍地使用VPN设备和PKI加密机制,并与安全厂商更有效地合作来保障安全。

    “与发达国家先进水平以及建设网络强国的目标相比,我们在物联网安全核心技术创新与应用层面,仍然面临着受制于人的窘境。”中国信息安全测评中心专家委员会副主任黄殿中坦言,在关键技术产业上,国内很多的物联网研发成果仍停留在技术报告、科研论文、实验室样品阶段,技术研发与产业链生态系统的衔接尚不够紧密。

    沈杰认为,破解物联网信息安全问题,一定要知道其漏洞在哪里,然后做出针对性的响应,“就像一栋楼的安全设计人员一样,首先要了解这栋楼的架构,才能知道去哪里安装防盗门窗。”

    “物联网安全管理要像食品安全、航空安全的管理。也就是说,任何传感器件、传输器件都要有标识,都要经过严格检测,才能保障其安全。”中国工程院院士何德全认为,物联网是我国信息产业发展难得的机遇,关键要找到物联网推广发展和安全建设这两者的结合点、平衡点,通过出台相关标准、制定相应政策和策略等来应对。

    从整体上看,中央网信办网络安全协调局副局长杨春艳认为,要顺应网络信息技术发展趋势,大力发展核心技术,加强关键信息基础设施保障,完善网络治理体系。具体要从五方面入手:一要树立整体、动态的安全防护理念;二要立足开放环境维护网络安全;三要强化全社会共同维护网络安全;四要坚持防护和威慑并举;五要加强人才培养和网络安全教育。

    另外,该论坛还设立了“漏洞分析”“风险评估”“网络安全威胁态势感知和溯源追踪”“信息安全产业及人才培养”四个分会场,聚焦网络安全热点、焦点和实践应用等问题,以提升物联网安全以及漏洞和威胁的发现、预警能力,共享漏洞分析与风险评估理论方法与技术实践的最新成果。

    论坛由中国信息安全测评中心、无锡市人民政府、中国嵌入式系统产业联盟主办,北京理工大学、江南计算技术研究所、江苏省物联网信息安全实验室承办,清华大学、无锡市滨湖区人民政府协办。