1月21日至23日,海康威視在INTERSEC 2018迪拜國際安防展期間發布了2018《海康威視網絡安全白皮書》,強調了網絡安全的重要性和迫切性。
國內安防行業經歷了多個快速發展的階段,從模擬監控、數字監控、網絡化監控再到如今的智能化監控。安防行業已經突破安防產業既定的范疇,由事后的調查取證,向事前分析、總結、預警、演練,事中的跟蹤、指揮、調度、協調、配合、溝通等方面擴展。技術的每一次進步,在推動人類社會發展進步的同時,也在帶來新的挑戰,其中就包括網絡完全威脅。
近年來有哪些物聯網安全事件
2017年3月,Spiral Toys旗下的智能玩具泄露200萬父母與兒童的語音信息;
2017年4月,三星Tizen操作系統被曝存在嚴重的安全漏洞,黑客可以利用這些漏洞遠程控制搭載此系統的物聯網裝置;
2017年7月,美國自動售貨機供應商 Avanti Markets遭遇黑客入侵內網。黑客入侵了其內網,在終端支付設備中植入惡意軟件,并竊取了用戶信用卡賬戶以及生物特征識別數據等個人信息;
2017年10月,有安全專家表示WiFi的WPA2(WPA2是一種保護無線網絡安全的加密協議)存在重大漏洞,導致黑客可任意讀取通過WAP2保護的任何無線網絡的所有信息。
此前,安全公司SEC Consult爆出索尼攝像頭后門存在安全漏洞,影響高達80款索尼“IPELAENGINE”的網絡攝像頭產品。
深圳酷視 17.5 萬個安防攝像頭被曝漏洞,研究人員稱這兩款安防攝像頭的漏洞很容易就會被黑客利用,只需使用默認憑證登陸,任何人都能訪問攝像頭的轉播畫面。同時,攝像頭存在的緩沖區溢出漏洞還使黑客能對其進行遠程控制。
Check Point研究人員表示LG智能家居設備存在漏洞,該漏洞可影響到用于控制所有LG智能家居設備的LG SmartThinQ應用程序。受此影響的設備包括智能烤箱、吸塵器、洗碗機、冰箱、洗衣機、烘干機、空調等。研究人員演示了黑客通過控制安裝在設備內的集成攝像頭將LG Hom-Bot變成一個間諜,吸塵器秒變監視器。
然而這些僅僅是冰上一角,盡管目前物聯網的安全威脅相對傳統互聯網只占到很小部分,但隨著行業的高速發展,針對物聯網的病毒很有可能在未來幾年流行開來,原來能夠阻礙網絡病毒的那些屏障正在一項一項消失。不久的將來,物聯網或將成為網絡安全事件的重災區。
為了提升物聯網設備的安全性,可以從以下方面入手:
維護硬件安全
安全的物聯網裝置具有許多安全特性。首先,它使用非對稱密碼來執行安全引導和安全加載或空中(OTA)固件更新。安全的物聯網裝置還使用硬件加密加速器,它們更快、更節能,并且更不易受到邊通道分析攻擊。
在安全的物聯網裝置中,除錯鏈接埠是禁用的。如果在某些時候需要重新打開除錯連結埠(例如須要遠程儲存器存取或由于其他原因),這時要透過使用公共密鑰認證的認證詢答方案來實現。
雖然安全啟動和引導加載可防止攻擊者修改程序內存,但安全的物聯網裝置能夠進一步限制對于程序內存的讀取存取。這通常意味著裝置具有內部存儲器或內建閃存。在使用外部內存的情況下,這也意味著外部內存的內容須被簽名和加密。
強化軟件安全
為確保在安全的物聯網裝置上運行的軟件能夠進一步加強安全性,必須在關鍵部分進行硬件化,這意味著其可阻止跳過單一指令。
例如,安全啟動簽名檢查或密碼簽名檢查。這種方法可確保即使攻擊者能夠讓處理器跳過一道指令,如此也不會產生關鍵性的安全后果。此外,為了避免代碼中的安全問題或第三方數據庫引起系統范圍的存取,可采用安謀國際(ARM) v8M的TrustZone對不同數據庫進行分區管理。
留意通訊安全
大多數集成電路(IC)與其他IC、物聯網裝置、網關和云端通訊,有必要保護這些信道。當與其他IC通訊時,這意味著要啟用加密和身分驗證以確保完整性和機密性。一個可能的范例是將數據儲存在傳感器或通訊IC和主處理器之間的外接內存或有線總線。
當與其他物聯網裝置通訊時,通常使用諸如Zigbee、Thread或藍牙低功耗(BLE)等通訊協議。大多數協議中都有安全選項,重要的是要打開這些安全選項。
另一個重要的考慮因素是裝置部署。一旦在通訊裝置之間采用安全措施,那么安全的數據傳輸就顯而易見。然而,分發私鑰并不是直接的。對于無線裝置而言,這通常涉及裝置加入無線網絡的部署步驟,例如使用藍牙(Bluetooth)部署一個可連接燈泡到基于Zigbee的網狀網絡。用于部署的選項取決于系統基本功能、易用性和安全性之間的折衷。只要安全的物聯網裝置不降低安全性即可。此外,安全的物聯網裝置使用TLS/DTLS來建立與云端的安全的端對端(End-to-end)連接。
維護應用層安全
應用層可能位于裝置、云端服務,或兩者的組合。在許多應用中,通常須要在應用層進行密碼保護。安全的物聯網裝置強制用戶更改密碼,并將最常用的密碼列入黑名單。如果可能,裝置甚至可以實施雙重身分驗證。
確保系統安全
從系統的角度來看,一些看似無害的子系統也可能增加整個系統的不安全性。因此,為了建構安全的物聯網裝置,在每個系統內部有一些針對實現安全性的假設。每個子系統的安全性應當是獨立的或在最小程度上依賴于其他子系統的安全性。
小結:
在物聯網行業高速增長的時期,網絡安全一直都是物聯網發展的關鍵所在。隨著聯網設備的增加,各種網絡攻擊事件不斷發生,網絡安全的形勢并不容樂觀。層出不窮的安全問題在時刻為我們敲響警鐘,如果廠商不對安全問題加以足夠重視,安全就將成為物聯網產業的薄弱環節,從而網絡大面積癱瘓、黑客入侵、隱私泄露等問題也將再次困擾著人們。
|
