物聯(lián)網(wǎng)市場很大��,發(fā)展也很迅速�,然而安全現(xiàn)狀并不容樂觀。
物聯(lián)網(wǎng)市場很大����,發(fā)展也很迅速�����,然而安全現(xiàn)狀并不容樂觀�����。
據(jù)國家信息安全漏洞共享平臺(CNVD)公布的數(shù)據(jù)顯示��,2016年收到1117個物聯(lián)網(wǎng)設(shè)備漏洞�����,而到2017年達到2440個����,增長了118.4%�。網(wǎng)絡(luò)攝像頭、路由器����、手機設(shè)備占領(lǐng)漏洞數(shù)量前三甲。所有IoT終端中���,80%的設(shè)備存在隱私泄露或濫用的風險����,80%的設(shè)備使用弱密碼、70%的設(shè)備的網(wǎng)絡(luò)通訊沒有加密���、60%設(shè)備的web界面存在漏洞���、60%設(shè)備的軟件更新未做加密。
物聯(lián)網(wǎng)技術(shù)飛速發(fā)展�,隨之而來的安全問題同比激增,換言之����,物聯(lián)網(wǎng)的發(fā)展因為安全問題到達了一定的瓶頸期,從以上數(shù)據(jù)不難看出����,半數(shù)以上的IoT設(shè)備都存在一定程度的安全隱患����,這一點手機智能用戶恐怕深有體會:從早上鬧鐘響起那一刻起,自己一天的活動數(shù)據(jù)已經(jīng)被智能手機開始記錄��,之后�,打車����、叫外賣等等通過手機進行的行為數(shù)據(jù)均被記錄下來�����,你的興趣�����、生活習慣����,行蹤等等通過簡單的數(shù)據(jù)分析形成一副生動的用戶畫像,一旦被黑客攻擊���,毫無隱私可言��。
去年12月���,為了防止視頻直播被人惡意利用,360主動���、永久地關(guān)閉了在風口浪尖上的水滴直播平臺����。2016、2017連續(xù)兩年特斯拉汽車被中國安全研究員攻破�����,可實現(xiàn)遠程解鎖����,行駛間控制等攻擊,相比視頻直播平臺“被黑”���,汽車駕駛“被黑”的后果嚴重的多�,尤其發(fā)展到無人駕駛��,行駛被控制����,豈不是有“謀殺”的風險。
事實上潛藏在身邊的致命威脅還有很多�����。
2017年8月��,沙特阿拉伯一家煉油廠遭遇網(wǎng)絡(luò)攻擊����。攻擊者對Triconex安全控制器下手,意圖引發(fā)爆炸級別的重大破壞�。這些控制器在全球1.8萬家各類工廠中運轉(zhuǎn),核電站�、凈水廠、煉油廠和化工廠都有使用��。而就在本次網(wǎng)絡(luò)攻擊前9個月前�,烏克蘭電力公司因被黑客入侵導致西部地區(qū)大規(guī)模停電,直接影響了三個不同配電服務(wù)區(qū)域的最多
22.5萬名客戶���,持續(xù)了數(shù)小時���。
頂象技術(shù)安全總監(jiān)邱寅峰表示:“物聯(lián)網(wǎng)安全與傳統(tǒng)個人的信息安全的第一大區(qū)別在于物聯(lián)網(wǎng)終端更為廣泛,具有群體性攻擊的風險��。其次�,物聯(lián)網(wǎng)安全漏洞更為嚴重的后果是可能導致致命風險。造成這類原因主要是安全標準滯后��、廠商缺乏安全意識、自研安全方案成本高�����、攻擊成本低�����、傳統(tǒng)安全問題多���,攻擊日益復雜多樣等����。物聯(lián)網(wǎng)設(shè)備基數(shù)大�����、24小時全天候在線��,面臨的危險更多�����,極易發(fā)生大規(guī)模攻擊性事件��。”
為了防止致命風險的發(fā)生�,首先要了解物聯(lián)網(wǎng)的組成���。頂象技術(shù)移動安全負責人梁家輝表示���,物聯(lián)網(wǎng)都有三部分組成:云端服務(wù)器、IoT設(shè)備���、手機App����。
其中���,云端服務(wù)器主要一旦通訊協(xié)議遭破解��、機器批量爬取數(shù)據(jù)��、被上傳偽造數(shù)據(jù)���,就可能造成業(yè)務(wù)系統(tǒng)被惡意利用、隱私信息泄露和數(shù)據(jù)被竊取等���;而IoT設(shè)備和手機App的代碼被破解����、漏洞被利用、通信被監(jiān)聽或劫持����,就會造成密鑰丟失、敏感數(shù)據(jù)遭盜取��、設(shè)備被惡意控制���、核心業(yè)務(wù)與知識產(chǎn)權(quán)泄露等��。
為了有效抵御漏洞���,頂象在云端服務(wù)器、IoT設(shè)備���、手機App均做了安全防護�����。
首先��,在IoT設(shè)備和手機App上部署頂象虛機源碼保護�。它能夠?qū)⒃创a編譯生成虛擬加密指令,且每臺設(shè)備均不相同�。運行時使用頂象獨創(chuàng)的虛擬CPU直接運行加密的指令,從而杜絕黑客逆向工具無法逆向破解����。
其次��,在IoT設(shè)備和手機App上部署頂象安全SDK��。通過加密數(shù)據(jù)與設(shè)備綁定�,實現(xiàn)數(shù)據(jù)鏈路保護,保證數(shù)據(jù)傳輸?shù)恼鎸?����、保密���、不可篡改�,讓外界無法破解算法邏輯��。
第三���,在云端服務(wù)器上部署頂象智能風控服務(wù)�。它能夠及時有效識別設(shè)備上報的非正常數(shù)據(jù)和App發(fā)起的非正常控制指令�����,并有效拒絕攻擊者對服務(wù)器端數(shù)據(jù)的爬取等���。
當安全問題不僅僅是隱私安全問題��,而是上升到人身安全的程度時��,物聯(lián)網(wǎng)安全問題必須得到重視�。目前���,物聯(lián)網(wǎng)設(shè)備的焦點在于:權(quán)限繞過�����、拒絕服務(wù)���、信息泄露、跨站�、命令執(zhí)行�����、緩沖區(qū)溢出�����、SQL注入����、弱口令����、設(shè)計缺陷�����、權(quán)限獲齲按漏洞數(shù)量排名這十大問題���,每一環(huán)節(jié)出問題都可能引發(fā)致命風險�����。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無意�。如您是字體廠商、圖片文字廠商等版權(quán)方�,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們���,本站核實后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟賠償!敬請諒解!
粵公網(wǎng)安備 44030402000264號