【51CTO.com原創(chuàng)稿件】2017年12月01日-02日，由51CTO主辦的WOTD全球軟件開發(fā)技術(shù)峰會將在深圳中州萬豪酒店隆重舉行。本次峰會以軟件開發(fā)為主題，數(shù)十位專家級嘉賓將帶來多場精彩的技術(shù)內(nèi)容分享。屆時，360信息安全部云安全團隊負責(zé)人王陽東將在物聯(lián)網(wǎng)(IOT)技術(shù)專場與來賓分享"IoT設(shè)備安全漫談"主題演講，為大家詳細闡述在物聯(lián)網(wǎng)時代，如何提升IoT設(shè)備的安全防護水平。51CTO誠邀您蒞臨大會，與我們共享技術(shù)帶來的喜悅。

　　揭幕智能硬件的安全特殊性

[[207692]]

　　王陽東是360信息安全部高級安全研究員，同時也是360 GearTeam的負責(zé)人，對于物聯(lián)網(wǎng)時代下智能硬件的安全有很深的理解。他告訴記者，智能硬件產(chǎn)品的功能復(fù)雜，種類繁多，攻擊手段與目的也各不相同。他舉例道，有針對智能攝像機的暴力破解攻擊進行數(shù)據(jù)竊取、僵尸網(wǎng)絡(luò)病毒種植的，也有入侵路由器后劫持dns服務(wù)器等進行網(wǎng)絡(luò)劫持的，還有攻擊智能門鎖，繞過用戶授權(quán)進行開門的……“目前所熟知的攻擊中量級比較大的主要還是入侵智能設(shè)備組件DDoS網(wǎng)絡(luò)，實現(xiàn)大規(guī)模DDoS攻擊。”

　　王陽東分析到，智能硬件之所以遭到這么多的安全攻擊，其本質(zhì)愿意在于它還是一個新興的市場領(lǐng)域，和傳統(tǒng)安全相比，在軟件層面的安全底蘊沒有傳統(tǒng)PC安全那么雄厚，很容易在惡意用戶的攻擊嘗試下被攻破。而且智能硬件的廠商比較分散，標(biāo)準(zhǔn)不統(tǒng)一，很難在不同廠家不同類型的設(shè)備間使用較通用的安全解決方案，這也增加了智能硬件安全加固的難度;另外由于智能硬件多數(shù)采用低功耗和無線通信方案，在有些場景下無法實現(xiàn)比較強的無線加密通信，導(dǎo)致無線通信內(nèi)容容易被第三方破解。

　　他強調(diào)，智能硬件使用中的每一個環(huán)節(jié)的安全問題都不容忽視，在不同的場景中他們的重要性都不同，例如汽車胎壓檢測等車輛傳感器、心臟起搏器等醫(yī)療設(shè)備上的傳感器，當(dāng)這些傳感器受到攻擊從而產(chǎn)生錯誤數(shù)據(jù)時，在某些場景下可能會直接危及生命，也正因如此，想要做好防御就必須面面俱到，因為每一個環(huán)境的問題都可能致命。

　　當(dāng)記者問及物聯(lián)網(wǎng)安全現(xiàn)狀該如何緩解時，王陽東坦言，由于目前的IoT產(chǎn)業(yè)還比較初級，很多比較低端的安全問題仍然沒有得到徹底的解決，比如命令注入、認證繞過等傳統(tǒng)安全已經(jīng)很少見的漏洞類型仍然屢次出現(xiàn)在某些廠商的設(shè)備中。他表示，對于設(shè)備廠商來說，提高安全防御水平應(yīng)該先從這些低端的安全問題做起，首先要保證通信內(nèi)容的機密性，采用較強的混合加密算法對用戶數(shù)據(jù)進行加密，其次要驗證官方服務(wù)器身份的有效性，確認通信服務(wù)器沒有被惡意劫持，還有減少本地監(jiān)聽的網(wǎng)絡(luò)服務(wù)數(shù)量，減少攻擊面。

　　360為IOT安全做了哪些工作?

　　一直以來，360作為一家專注安全的互聯(lián)網(wǎng)公司，擁有比傳統(tǒng)安全廠商更多的互聯(lián)網(wǎng)安全經(jīng)驗，更能緊跟安全行業(yè)發(fā)展的態(tài)勢進行調(diào)整適應(yīng);并且由于安全的背景，360的IoT產(chǎn)品在安全方面投入的經(jīng)歷遠大于其他IoT產(chǎn)品廠商，得益于360眾多的IoT產(chǎn)品類型與使用場景，360比其他智能硬件廠商擁有更多使用場景的安全經(jīng)驗及更廣的安全視野。

　　據(jù)了解，在物聯(lián)網(wǎng)安全領(lǐng)域，360在日常安全審計的基礎(chǔ)之上，通過360SRC發(fā)起了360 IoT安全守護計劃，聯(lián)合業(yè)界廣大白帽安全研究員一同發(fā)現(xiàn)問題，解決問題，發(fā)現(xiàn)自身安全缺陷并積極改正;在解決自身IoT產(chǎn)品安全問題的同時，360也在積極幫助其他廠商發(fā)現(xiàn)問題并及時告知，協(xié)助提出解決方案;在未知漏洞防御領(lǐng)域，360也在探索如何實現(xiàn)一套高效率的漏洞緩解方案來減少未知漏洞攻擊的危害。另外，360還將利用已有的安全經(jīng)驗及時發(fā)現(xiàn)廣大用戶日常使用場景中已經(jīng)存在的安全問題并及時將問題通知給用戶。

　　在采訪最后，王陽東告訴記者，隨著移動互聯(lián)網(wǎng)的普及壯大及智能技術(shù)的發(fā)展，未來生活中人們對智能設(shè)備的依賴將會越來越重，小到智能家居，智能穿戴，智能汽車，大到智慧城市，智能電廠等基礎(chǔ)設(shè)施，領(lǐng)域不同使得智能設(shè)備的功能定位將更加細化專業(yè)，面臨的攻擊威脅也會千差萬別，在安全防御方面，沒有什么一勞永逸的通用方法能夠解決所有安全問題，面對如此廣的使用場景和如此專業(yè)的功能細分，安全防御只能及時跟進行業(yè)發(fā)展做及時的調(diào)整以適應(yīng)變化，每一個新增的功能都是一個新的領(lǐng)域，都需要得到足夠的關(guān)注。

　　使用優(yōu)惠碼[2017WOTDSZ]，和我一起去WOTD全球軟件開發(fā)技術(shù)峰會。8折優(yōu)惠，僅剩48小時！

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】