1月21日至23日,海康威視在INTERSEC 2018迪拜國際安防展期間發(fā)布了2018《?低暰W(wǎng)絡(luò)安全白皮書》,強調(diào)了網(wǎng)絡(luò)安全的重要性和迫切性。
國內(nèi)安防行業(yè)經(jīng)歷了多個快速發(fā)展的階段,從模擬監(jiān)控、數(shù)字監(jiān)控、網(wǎng)絡(luò)化監(jiān)控再到如今的智能化監(jiān)控。安防行業(yè)已經(jīng)突破安防產(chǎn)業(yè)既定的范疇,由事后的調(diào)查取證,向事前分析、總結(jié)、預(yù)警、演練,事中的跟蹤、指揮、調(diào)度、協(xié)調(diào)、配合、溝通等方面擴展。技術(shù)的每一次進(jìn)步,在推動人類社會發(fā)展進(jìn)步的同時,也在帶來新的挑戰(zhàn),其中就包括網(wǎng)絡(luò)完全威脅。
近年來有哪些物聯(lián)網(wǎng)安全事件
2017年3月,Spiral Toys旗下的智能玩具泄露200萬父母與兒童的語音信息;
2017年4月,三星Tizen操作系統(tǒng)被曝存在嚴(yán)重的安全漏洞,黑客可以利用這些漏洞遠(yuǎn)程控制搭載此系統(tǒng)的物聯(lián)網(wǎng)裝置;
2017年7月,美國自動售貨機供應(yīng)商 Avanti Markets遭遇黑客入侵內(nèi)網(wǎng)。黑客入侵了其內(nèi)網(wǎng),在終端支付設(shè)備中植入惡意軟件,并竊取了用戶信用卡賬戶以及生物特征識別數(shù)據(jù)等個人信息;
2017年10月,有安全專家表示W(wǎng)iFi的WPA2(WPA2是一種保護(hù)無線網(wǎng)絡(luò)安全的加密協(xié)議)存在重大漏洞,導(dǎo)致黑客可任意讀取通過WAP2保護(hù)的任何無線網(wǎng)絡(luò)的所有信息。
此前,安全公司SEC Consult爆出索尼攝像頭后門存在安全漏洞,影響高達(dá)80款索尼“IPELAENGINE”的網(wǎng)絡(luò)攝像頭產(chǎn)品。
深圳酷視 17.5 萬個安防攝像頭被曝漏洞,研究人員稱這兩款安防攝像頭的漏洞很容易就會被黑客利用,只需使用默認(rèn)憑證登陸,任何人都能訪問攝像頭的轉(zhuǎn)播畫面。同時,攝像頭存在的緩沖區(qū)溢出漏洞還使黑客能對其進(jìn)行遠(yuǎn)程控制。
Check Point研究人員表示LG智能家居設(shè)備存在漏洞,該漏洞可影響到用于控制所有LG智能家居設(shè)備的LG SmartThinQ應(yīng)用程序。受此影響的設(shè)備包括智能烤箱、吸塵器、洗碗機、冰箱、洗衣機、烘干機、空調(diào)等。研究人員演示了黑客通過控制安裝在設(shè)備內(nèi)的集成攝像頭將LG Hom-Bot變成一個間諜,吸塵器秒變監(jiān)視器。
然而這些僅僅是冰上一角,盡管目前物聯(lián)網(wǎng)的安全威脅相對傳統(tǒng)互聯(lián)網(wǎng)只占到很小部分,但隨著行業(yè)的高速發(fā)展,針對物聯(lián)網(wǎng)的病毒很有可能在未來幾年流行開來,原來能夠阻礙網(wǎng)絡(luò)病毒的那些屏障正在一項一項消失。不久的將來,物聯(lián)網(wǎng)或?qū)⒊蔀榫W(wǎng)絡(luò)安全事件的重災(zāi)區(qū)。
為了提升物聯(lián)網(wǎng)設(shè)備的安全性,可以從以下方面入手:
維護(hù)硬件安全
安全的物聯(lián)網(wǎng)裝置具有許多安全特性。首先,它使用非對稱密碼來執(zhí)行安全引導(dǎo)和安全加載或空中(OTA)固件更新。安全的物聯(lián)網(wǎng)裝置還使用硬件加密加速器,它們更快、更節(jié)能,并且更不易受到邊通道分析攻擊。
在安全的物聯(lián)網(wǎng)裝置中,除錯鏈接埠是禁用的。如果在某些時候需要重新打開除錯連結(jié)埠(例如須要遠(yuǎn)程儲存器存取或由于其他原因),這時要透過使用公共密鑰認(rèn)證的認(rèn)證詢答方案來實現(xiàn)。
雖然安全啟動和引導(dǎo)加載可防止攻擊者修改程序內(nèi)存,但安全的物聯(lián)網(wǎng)裝置能夠進(jìn)一步限制對于程序內(nèi)存的讀取存取。這通常意味著裝置具有內(nèi)部存儲器或內(nèi)建閃存。在使用外部內(nèi)存的情況下,這也意味著外部內(nèi)存的內(nèi)容須被簽名和加密。
強化軟件安全
為確保在安全的物聯(lián)網(wǎng)裝置上運行的軟件能夠進(jìn)一步加強安全性,必須在關(guān)鍵部分進(jìn)行硬件化,這意味著其可阻止跳過單一指令。
例如,安全啟動簽名檢查或密碼簽名檢查。這種方法可確保即使攻擊者能夠讓處理器跳過一道指令,如此也不會產(chǎn)生關(guān)鍵性的安全后果。此外,為了避免代碼中的安全問題或第三方數(shù)據(jù)庫引起系統(tǒng)范圍的存取,可采用安謀國際(ARM) v8M的TrustZone對不同數(shù)據(jù)庫進(jìn)行分區(qū)管理。
留意通訊安全
大多數(shù)集成電路(IC)與其他IC、物聯(lián)網(wǎng)裝置、網(wǎng)關(guān)和云端通訊,有必要保護(hù)這些信道。當(dāng)與其他IC通訊時,這意味著要啟用加密和身分驗證以確保完整性和機密性。一個可能的范例是將數(shù)據(jù)儲存在傳感器或通訊IC和主處理器之間的外接內(nèi)存或有線總線。
當(dāng)與其他物聯(lián)網(wǎng)裝置通訊時,通常使用諸如Zigbee、Thread或藍(lán)牙低功耗(BLE)等通訊協(xié)議。大多數(shù)協(xié)議中都有安全選項,重要的是要打開這些安全選項。
另一個重要的考慮因素是裝置部署。一旦在通訊裝置之間采用安全措施,那么安全的數(shù)據(jù)傳輸就顯而易見。然而,分發(fā)私鑰并不是直接的。對于無線裝置而言,這通常涉及裝置加入無線網(wǎng)絡(luò)的部署步驟,例如使用藍(lán)牙(Bluetooth)部署一個可連接燈泡到基于Zigbee的網(wǎng)狀網(wǎng)絡(luò)。用于部署的選項取決于系統(tǒng)基本功能、易用性和安全性之間的折衷。只要安全的物聯(lián)網(wǎng)裝置不降低安全性即可。此外,安全的物聯(lián)網(wǎng)裝置使用TLS/DTLS來建立與云端的安全的端對端(End-to-end)連接。
維護(hù)應(yīng)用層安全
應(yīng)用層可能位于裝置、云端服務(wù),或兩者的組合。在許多應(yīng)用中,通常須要在應(yīng)用層進(jìn)行密碼保護(hù)。安全的物聯(lián)網(wǎng)裝置強制用戶更改密碼,并將最常用的密碼列入黑名單。如果可能,裝置甚至可以實施雙重身分驗證。
確保系統(tǒng)安全
從系統(tǒng)的角度來看,一些看似無害的子系統(tǒng)也可能增加整個系統(tǒng)的不安全性。因此,為了建構(gòu)安全的物聯(lián)網(wǎng)裝置,在每個系統(tǒng)內(nèi)部有一些針對實現(xiàn)安全性的假設(shè)。每個子系統(tǒng)的安全性應(yīng)當(dāng)是獨立的或在最小程度上依賴于其他子系統(tǒng)的安全性。
小結(jié):
在物聯(lián)網(wǎng)行業(yè)高速增長的時期,網(wǎng)絡(luò)安全一直都是物聯(lián)網(wǎng)發(fā)展的關(guān)鍵所在。隨著聯(lián)網(wǎng)設(shè)備的增加,各種網(wǎng)絡(luò)攻擊事件不斷發(fā)生,網(wǎng)絡(luò)安全的形勢并不容樂觀。層出不窮的安全問題在時刻為我們敲響警鐘,如果廠商不對安全問題加以足夠重視,安全就將成為物聯(lián)網(wǎng)產(chǎn)業(yè)的薄弱環(huán)節(jié),從而網(wǎng)絡(luò)大面積癱瘓、黑客入侵、隱私泄露等問題也將再次困擾著人們。