物聯網的世界
早期的物聯網理論由美國麻省理工學院(MIT)的Kevin Ash-ton教授1999年提出,是最早的萬物互聯、實作智能化的倡導者,
后期不斷發展演變,逐漸形成如今清晰的物聯網版圖,即通過高度發達的互聯網和應用,以及先進的感知設備和智能化裝置感知一切,達到人與物、物與物的萬物互聯的效果,同時依托人工智能和大資料計算以及云平臺進行海量的資料計算和分析,最終實作對物理世界的智能控制,應用于生活和作業中的方方面面,物聯網已經深入到各行各業,滲透到辦公、制造產線、醫院、智能銷售、智能汽車、公共安全等不同場合,
物聯網通常包括四層結構,如下圖:
物聯網的現狀和未來
估測到2025年,將有接近750億臺物聯網設備接入網路,物聯網市場規模將會達到近1萬億美元,區塊鏈、邊緣計算、人工智能等新興技術帶動了物聯網迅猛發展,物聯網整體正朝向多元化方向發展,
物聯網的未來趨勢,預判如下:
- 物聯網將會進一步快速增長;
- 物聯網制造盈利增多;
- 亞太地區物聯網需求增幅飛快,
下圖為物聯網發展的不同時期階梯圖
物聯網安全風險
物聯網伴隨著互聯網而生,融入于互聯網中,與我們生活息息相關,影響了我們的作業和生活,在我們身邊可以看到大量IoT設備被攻擊泄露資料的新聞,知名人士家庭IoT設備導致的隱私資訊泄露及公共設備、商業設備遭受黑客攻擊利用的新聞比比皆是,以下舉幾個例子:
- 2013年,某知名黑客在YouTube公開視頻,展示他使用SkyJack技術,使一架民用無人機能夠定位并控制飛在它附近的其他無人機,組成一個僅靠智能手機操控的龐大“僵尸無人機戰隊”,
- 2016年10月,惡意軟體Mirai控制的IoT僵尸網路對美國域名服務器管理服務供應商Dyn發起DDOS攻擊,導致了包括Twitter,Guardian,Netflix,Reddit和CNN等機構癱瘓,該次攻擊利用了150萬臺網路攝像頭設備組成了“僵尸網路”,
- 2017年3月, Spiral Toys旗下的某款智能玩具被入侵,200萬家庭語音資訊等敏感客戶資料泄露,
- 2018年,北美某賭場一起黑客攻擊,竟然是操控一個魚缸發起,魚缸通過物聯網操控喂食、清潔等操作,同時連著賭場的網路,容易讓人忽略其安全性,輕而易舉被黑客利用,
- 2017年,某安全研究團隊發現,四大主流起搏器制造商的產品中,存在超過8000個程式漏洞,極易被攻擊利用,
- 2018年,國外某研究團隊發現,Libelium、Echelon和Battelle 三種智慧城市系統存在17個嚴重性安全漏洞,包括默認密碼、可繞過身份驗證等,通過這些漏洞能夠輕易操縱一個城市的交通,
物聯網安全攻擊面分析
談到物聯網身份安全解決方案,我們需要了解黑客攻擊物聯網的攻擊面,通常包括以下十多種:
01 系統訪問控制及設備Web界面
包括讀取利用以下:設備記憶體、明文用戶名、明文密碼、第三方密碼、秘鑰、注入攻擊、用戶名攻擊、弱密碼、賬戶鎖定、默認賬戶密碼等,
02 設備物理介面及管理介面
包括攻擊利用以下:用戶名命令列介面、管理命令列介面、權限提升、用戶名列舉攻擊、弱密碼、賬號鎖定、默認賬號密碼、缺乏雙因子認證,
03 設備韌體
包括攻擊利用以下:硬編碼的賬號密碼、密鑰暴露等,
04 設備網路服務及網路流量
包括利用以下:用戶命令列介面、管理命令列介面、注入攻擊、服務未加密、加密實作不好、短距離、非標準、無線,
05 本地資料存盤
包括攻擊利用以下:資料未加密、用簡單的密鑰加密資料,
06 云端Web界面
包括攻擊利用以下:SQL注入、用戶名列舉攻擊、弱密碼、賬號鎖定、默認賬號密碼、缺乏雙因子認證,
07 API介面
包括攻擊利用以下:個人識別資訊未加密、泄露設備資訊、弱驗證、弱訪問控制、注入攻擊,
08 硬體及更新機制
包括攻擊利用以下:篡改、物理破壞、軟體更新包傳輸時未加密,軟體更新沒有驗證,
09 移動應用
包括攻擊利用以下:用戶名列舉攻擊、賬號鎖定、存在默認賬號密碼、弱口令、傳輸未加密、無雙因子認證,
10 生態系統通信
包括攻擊利用:健康檢查、銷毀賬號,
11 認證和授權
包括攻擊利用以下:泄露認證和授權相關的session key、token、 cookie,重復使用session key、token,缺乏動態認證,
12 隱私
包括攻擊利用以下:泄露用戶資料,泄露用戶或設備的位置資訊,
綜上來看,物聯網安全是一個錯綜復雜的問題,涉及到不同行業、不同應用場景,涉及到身份認證、加密證書技術、漏洞管理、應用安全、通信安全、系統安全等,因此無法通過一個大而全的方案去綜合治理,單一廠商也無法基于應用場景進行切片,針對不同的安全問題點,多個專業廠商進行聯動才能解決,
綜上描述的物聯網系統很多威脅與身份安全相關,包括不斷涌入的物聯網設備身份、應用程式、云端的弱口令等,
寧盾物聯網身份準入方案
本方案從如何建立物聯網端側準入機制以及云端利用身份認證加強資料安全兩個層面討論:
1、建立物聯網端側身份準入
-
自動化識別不斷接入網路中的物聯網設備,為每臺設備生成設備指紋,并對其進行分類;
-
為接入終端設定安全基線,快速實作合法終端和非法終端進行管控;
-
聯動第三方安全設備,對實作進行處置,如siem、soc等,
該場景利用寧盾泛終端準入控制平臺ND ACE來實作,
2、云端身份安全防護
云端是資料存盤和處理的中心,同時也是應用中心,通過保護云端應用服務器及其應用,可以提升資料訪問安全水位,概要為:
-
針對堡壘機、服務器、vpn開啟運維管理MFA認證,防止弱口令導致資料泄漏;
-
針對應用系統:可以通過SSO單點登錄減少暴漏面,同時啟用MFA認證增強賬號安全,
-
針對網路設備,可以啟動AAA,實作對基礎設施的安全;
-
借助于身份目錄服務,實作對賬號的統一管理,
安全增益
成為物聯網安全聯結器
身份平臺通過與不同安全設備、應用互操作,如與防火墻、SEIM、NGSOC、漏洞平臺、ITSM,實作協作式防護物聯網安全,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/389256.html
標籤:其他