1月21日至23日,海康威視在INTERSEC 2018迪拜國際安防展期間發(fā)布了2018《?低暰W(wǎng)絡(luò)安全白皮書》,強(qiáng)調(diào)了網(wǎng)絡(luò)安全的重要性和迫切性。
國內(nèi)安防行業(yè)經(jīng)歷了多個(gè)快速發(fā)展的階段,從模擬監(jiān)控、數(shù)字監(jiān)控、網(wǎng)絡(luò)化監(jiān)控再到如今的智能化監(jiān)控。安防行業(yè)已經(jīng)突破安防產(chǎn)業(yè)既定的范疇,由事后的調(diào)查取證,向事前分析、總結(jié)、預(yù)警、演練,事中的跟蹤、指揮、調(diào)度、協(xié)調(diào)、配合、溝通等方面擴(kuò)展。技術(shù)的每一次進(jìn)步,在推動(dòng)人類社會發(fā)展進(jìn)步的同時(shí),也在帶來新的挑戰(zhàn),其中就包括網(wǎng)絡(luò)完全威脅。
近年來有哪些物聯(lián)網(wǎng)安全事件
2017年3月,Spiral Toys旗下的智能玩具泄露200萬父母與兒童的語音信息;
2017年4月,三星Tizen操作系統(tǒng)被曝存在嚴(yán)重的安全漏洞,黑客可以利用這些漏洞遠(yuǎn)程控制搭載此系統(tǒng)的物聯(lián)網(wǎng)裝置;
2017年7月,美國自動(dòng)售貨機(jī)供應(yīng)商 Avanti Markets遭遇黑客入侵內(nèi)網(wǎng)。黑客入侵了其內(nèi)網(wǎng),在終端支付設(shè)備中植入惡意軟件,并竊取了用戶信用卡賬戶以及生物特征識別數(shù)據(jù)等個(gè)人信息;
2017年10月,有安全專家表示W(wǎng)iFi的WPA2(WPA2是一種保護(hù)無線網(wǎng)絡(luò)安全的加密協(xié)議)存在重大漏洞,導(dǎo)致黑客可任意讀取通過WAP2保護(hù)的任何無線網(wǎng)絡(luò)的所有信息。
此前,安全公司SEC Consult爆出索尼攝像頭后門存在安全漏洞,影響高達(dá)80款索尼“IPELAENGINE”的網(wǎng)絡(luò)攝像頭產(chǎn)品。
深圳酷視 17.5 萬個(gè)安防攝像頭被曝漏洞,研究人員稱這兩款安防攝像頭的漏洞很容易就會被黑客利用,只需使用默認(rèn)憑證登陸,任何人都能訪問攝像頭的轉(zhuǎn)播畫面。同時(shí),攝像頭存在的緩沖區(qū)溢出漏洞還使黑客能對其進(jìn)行遠(yuǎn)程控制。
Check Point研究人員表示LG智能家居設(shè)備存在漏洞,該漏洞可影響到用于控制所有LG智能家居設(shè)備的LG SmartThinQ應(yīng)用程序。受此影響的設(shè)備包括智能烤箱、吸塵器、洗碗機(jī)、冰箱、洗衣機(jī)、烘干機(jī)、空調(diào)等。研究人員演示了黑客通過控制安裝在設(shè)備內(nèi)的集成攝像頭將LG Hom-Bot變成一個(gè)間諜,吸塵器秒變監(jiān)視器。
然而這些僅僅是冰上一角,盡管目前物聯(lián)網(wǎng)的安全威脅相對傳統(tǒng)互聯(lián)網(wǎng)只占到很小部分,但隨著行業(yè)的高速發(fā)展,針對物聯(lián)網(wǎng)的病毒很有可能在未來幾年流行開來,原來能夠阻礙網(wǎng)絡(luò)病毒的那些屏障正在一項(xiàng)一項(xiàng)消失。不久的將來,物聯(lián)網(wǎng)或?qū)⒊蔀榫W(wǎng)絡(luò)安全事件的重災(zāi)區(qū)。
為了提升物聯(lián)網(wǎng)設(shè)備的安全性,可以從以下方面入手:
維護(hù)硬件安全
安全的物聯(lián)網(wǎng)裝置具有許多安全特性。首先,它使用非對稱密碼來執(zhí)行安全引導(dǎo)和安全加載或空中(OTA)固件更新。安全的物聯(lián)網(wǎng)裝置還使用硬件加密加速器,它們更快、更節(jié)能,并且更不易受到邊通道分析攻擊。
在安全的物聯(lián)網(wǎng)裝置中,除錯(cuò)鏈接埠是禁用的。如果在某些時(shí)候需要重新打開除錯(cuò)連結(jié)埠(例如須要遠(yuǎn)程儲存器存取或由于其他原因),這時(shí)要透過使用公共密鑰認(rèn)證的認(rèn)證詢答方案來實(shí)現(xiàn)。
雖然安全啟動(dòng)和引導(dǎo)加載可防止攻擊者修改程序內(nèi)存,但安全的物聯(lián)網(wǎng)裝置能夠進(jìn)一步限制對于程序內(nèi)存的讀取存取。這通常意味著裝置具有內(nèi)部存儲器或內(nèi)建閃存。在使用外部內(nèi)存的情況下,這也意味著外部內(nèi)存的內(nèi)容須被簽名和加密。
強(qiáng)化軟件安全
為確保在安全的物聯(lián)網(wǎng)裝置上運(yùn)行的軟件能夠進(jìn)一步加強(qiáng)安全性,必須在關(guān)鍵部分進(jìn)行硬件化,這意味著其可阻止跳過單一指令。
例如,安全啟動(dòng)簽名檢查或密碼簽名檢查。這種方法可確保即使攻擊者能夠讓處理器跳過一道指令,如此也不會產(chǎn)生關(guān)鍵性的安全后果。此外,為了避免代碼中的安全問題或第三方數(shù)據(jù)庫引起系統(tǒng)范圍的存取,可采用安謀國際(ARM) v8M的TrustZone對不同數(shù)據(jù)庫進(jìn)行分區(qū)管理。
留意通訊安全
大多數(shù)集成電路(IC)與其他IC、物聯(lián)網(wǎng)裝置、網(wǎng)關(guān)和云端通訊,有必要保護(hù)這些信道。當(dāng)與其他IC通訊時(shí),這意味著要啟用加密和身分驗(yàn)證以確保完整性和機(jī)密性。一個(gè)可能的范例是將數(shù)據(jù)儲存在傳感器或通訊IC和主處理器之間的外接內(nèi)存或有線總線。
當(dāng)與其他物聯(lián)網(wǎng)裝置通訊時(shí),通常使用諸如Zigbee、Thread或藍(lán)牙低功耗(BLE)等通訊協(xié)議。大多數(shù)協(xié)議中都有安全選項(xiàng),重要的是要打開這些安全選項(xiàng)。
另一個(gè)重要的考慮因素是裝置部署。一旦在通訊裝置之間采用安全措施,那么安全的數(shù)據(jù)傳輸就顯而易見。然而,分發(fā)私鑰并不是直接的。對于無線裝置而言,這通常涉及裝置加入無線網(wǎng)絡(luò)的部署步驟,例如使用藍(lán)牙(Bluetooth)部署一個(gè)可連接燈泡到基于Zigbee的網(wǎng)狀網(wǎng)絡(luò)。用于部署的選項(xiàng)取決于系統(tǒng)基本功能、易用性和安全性之間的折衷。只要安全的物聯(lián)網(wǎng)裝置不降低安全性即可。此外,安全的物聯(lián)網(wǎng)裝置使用TLS/DTLS來建立與云端的安全的端對端(End-to-end)連接。
維護(hù)應(yīng)用層安全
應(yīng)用層可能位于裝置、云端服務(wù),或兩者的組合。在許多應(yīng)用中,通常須要在應(yīng)用層進(jìn)行密碼保護(hù)。安全的物聯(lián)網(wǎng)裝置強(qiáng)制用戶更改密碼,并將最常用的密碼列入黑名單。如果可能,裝置甚至可以實(shí)施雙重身分驗(yàn)證。
確保系統(tǒng)安全
從系統(tǒng)的角度來看,一些看似無害的子系統(tǒng)也可能增加整個(gè)系統(tǒng)的不安全性。因此,為了建構(gòu)安全的物聯(lián)網(wǎng)裝置,在每個(gè)系統(tǒng)內(nèi)部有一些針對實(shí)現(xiàn)安全性的假設(shè)。每個(gè)子系統(tǒng)的安全性應(yīng)當(dāng)是獨(dú)立的或在最小程度上依賴于其他子系統(tǒng)的安全性。
小結(jié):
在物聯(lián)網(wǎng)行業(yè)高速增長的時(shí)期,網(wǎng)絡(luò)安全一直都是物聯(lián)網(wǎng)發(fā)展的關(guān)鍵所在。隨著聯(lián)網(wǎng)設(shè)備的增加,各種網(wǎng)絡(luò)攻擊事件不斷發(fā)生,網(wǎng)絡(luò)安全的形勢并不容樂觀。層出不窮的安全問題在時(shí)刻為我們敲響警鐘,如果廠商不對安全問題加以足夠重視,安全就將成為物聯(lián)網(wǎng)產(chǎn)業(yè)的薄弱環(huán)節(jié),從而網(wǎng)絡(luò)大面積癱瘓、黑客入侵、隱私泄露等問題也將再次困擾著人們。
|