【51CTO.com原創(chuàng)稿件】隨著物聯(lián)網(wǎng)(IoT)在社會(huì)生活中的普及，應(yīng)用場景不斷豐富，安全風(fēng)險(xiǎn)也將隨之增加?，F(xiàn)在，IoT設(shè)備、系統(tǒng)、平臺(tái)已經(jīng)成為黑客的主要攻擊目標(biāo)。因此，如何保障物聯(lián)網(wǎng)安全是全球面臨的最大挑戰(zhàn)之一。

11月17日，由幾維安全與看雪學(xué)院聯(lián)合主辦的“2018物聯(lián)網(wǎng)安全行業(yè)論壇”成功在京舉行。會(huì)上，來自各個(gè)安全行業(yè)的200余位專家、領(lǐng)導(dǎo)和研究人員，共同分析了物聯(lián)網(wǎng)安全市場的情況，討論潛在的風(fēng)險(xiǎn)和威脅，共享最有效的物聯(lián)網(wǎng)安全創(chuàng)新技術(shù)。

物聯(lián)網(wǎng)安全行業(yè)態(tài)勢解讀

據(jù)IDC分析，到2022年全球物聯(lián)網(wǎng)支出將達(dá)到1.2萬億美元，2017年至2022年期間復(fù)合年增長率CAGR為13.6%。其中，中國物聯(lián)網(wǎng)支出規(guī)模將達(dá)到3千億美元，在全球的物聯(lián)網(wǎng)市場中占比超過1/4，超越美國成為全球最大的物聯(lián)網(wǎng)市場。

??

[[250140]]

幾維安全CEO范俊偉

“從物聯(lián)網(wǎng)應(yīng)用潛在規(guī)?？矗瑑H僅是國內(nèi)市場就有十幾億的人口基數(shù)，圍繞著我們“衣食住行安”的每一方面都可以是一個(gè)龐大的產(chǎn)業(yè)體系?！痹诋?dāng)日會(huì)議的演講中，幾維安全CEO范俊偉表示。他指出，據(jù)Gartner預(yù)測，到2020年物聯(lián)網(wǎng)將鏈接全球40億的用戶、250億以上的終端設(shè)備，在此過程中將會(huì)有2500萬的應(yīng)用App被開發(fā)出來，沉淀出超過50萬億GB的數(shù)據(jù)，同時(shí)創(chuàng)造出4萬億美金的收入機(jī)會(huì)。同時(shí)，不同于傳統(tǒng)設(shè)備和應(yīng)用場景的差異化安全需求凸顯。

??

[[250141]]

IDF(益云)極安客實(shí)驗(yàn)室聯(lián)合創(chuàng)始人、OASES安全生態(tài)聯(lián)盟專家萬濤

IDF(益云)極安客實(shí)驗(yàn)室聯(lián)合創(chuàng)始人、OASES安全生態(tài)聯(lián)盟專家萬濤認(rèn)為：“安全滯后于發(fā)展是一種常態(tài)，因?yàn)橹挥性诎l(fā)展暴露出風(fēng)險(xiǎn)后，安全才能得到足夠的重視和投資。雖然目前的物聯(lián)網(wǎng)安全市場規(guī)模仍然很小，但預(yù)計(jì)未來會(huì)呈爆發(fā)式增長?！彼赋?，根據(jù)MARKETSANDMARKETS預(yù)測，全球物聯(lián)網(wǎng)安全市場將從2016 年的79 億美元增長到2021 年的369.5 億美元，5 年增長4 倍，年均復(fù)合平均增速接近50%。

此外，Gartner預(yù)計(jì)到2021年監(jiān)管合規(guī)將成為物聯(lián)網(wǎng)安全應(yīng)用的主要影響因素。由于物聯(lián)網(wǎng)滲透到工業(yè)世界，必須遵守旨在改善關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)的法規(guī)和指導(dǎo)方針的行業(yè)，不得不更加注重安全。

從技術(shù)到實(shí)戰(zhàn)，看大咖們?nèi)绾螌?duì)抗物聯(lián)網(wǎng)安全威脅

2017年3月，Spiral Toys旗下的CloudPets系列動(dòng)物填充玩具遭遇數(shù)據(jù)泄露，敏感客戶數(shù)據(jù)庫受到惡意入侵;2017年8月，深圳某公司制造的17.5萬個(gè)物聯(lián)網(wǎng)安防攝像頭被爆可能遭受黑客攻擊;2017年9月，物聯(lián)網(wǎng)安全研究公司Armis在藍(lán)牙協(xié)議中發(fā)現(xiàn)了8個(gè)零日漏洞，這些漏洞將影響超過53億設(shè)備……

物聯(lián)網(wǎng)安全事件一直在發(fā)生，究竟該如何破局?下面聽聽大咖們怎么說。

◆從代碼層入手，應(yīng)對(duì)物聯(lián)網(wǎng)攻擊

會(huì)上，范俊偉發(fā)布了幾維安全I(xiàn)oT體系安全防護(hù)建設(shè)方案，解讀了IoT體系安全態(tài)勢和潛在的安全風(fēng)險(xiǎn)，隨后針對(duì)可能遭遇的風(fēng)險(xiǎn)，從終端安全、云端安全、業(yè)務(wù)運(yùn)營安全三個(gè)方面提出了安全防護(hù)解決方案，并針對(duì)實(shí)際安全設(shè)計(jì)案例進(jìn)行了解析。

談及如何對(duì)抗物聯(lián)網(wǎng)安全威脅，范俊偉在接受記者采訪時(shí)表示，由于攻擊者可直接購買、拆解物聯(lián)網(wǎng)終端，一旦獲取其代碼，分析代碼漏洞，就可進(jìn)行攻擊。傳統(tǒng)的保護(hù)方法只能增加獲取代碼的難度，并不能增加分析代碼的難度，比如在App上加 “保護(hù)殼”，攻擊者一旦破解“保護(hù)殼”，將直接獲取代碼進(jìn)而找到業(yè)務(wù)漏洞。而如果在開發(fā)過程中就加入加密機(jī)制，把安全技術(shù)下沉到代碼層，不干預(yù)代碼正常的業(yè)務(wù)邏輯，這樣一來，即使攻擊者拿到應(yīng)用或終端，也難以分析業(yè)務(wù)邏輯和漏洞。

◆政府與企業(yè)雙管齊下，破解智能攝像頭安全隱患

啟明星辰ADLab安全專家王啟澤表示：“針對(duì)物聯(lián)網(wǎng)攝像頭的實(shí)際攻擊能力測試結(jié)果表明：8萬個(gè)IoT設(shè)備就能發(fā)起超過500 Gbps 的DDoS 攻擊;89萬個(gè)IoT設(shè)備能產(chǎn)生的攻擊流量足以打垮全球任何一個(gè)電信運(yùn)營商;如果上百萬臺(tái)攝像頭發(fā)起總攻將導(dǎo)致整個(gè)互聯(lián)網(wǎng)骨干網(wǎng)絡(luò)癱瘓?！?/p>

??

[[250142]]

啟明星辰ADLab安全專家王啟澤

對(duì)于物聯(lián)網(wǎng)攝像頭安全性的提升，王啟澤建議：一方面，政府可實(shí)現(xiàn)對(duì)設(shè)備分級(jí)，建立相關(guān)的強(qiáng)制性法律法規(guī)，并加強(qiáng)用戶安全意識(shí)的培養(yǎng);另一方面，企業(yè)需要消滅硬編碼密鑰，使用安全函數(shù)，選擇可靠的第三方組件，采取必要的漏洞緩解措施，并按需開放端口，采用公鑰機(jī)制。

◆突破邊界傳承未來，淺談物聯(lián)網(wǎng)信息安全

高新興科技集團(tuán)副總裁劉志成以“突破邊界，傳承未來”為主題，從安全運(yùn)營的角度，分享了其在物聯(lián)網(wǎng)信息安全技術(shù)挑戰(zhàn)、應(yīng)對(duì)方案、體系構(gòu)建等方面的經(jīng)驗(yàn)和思考。

??

[[250143]]

高新興科技集團(tuán)副總裁劉志成

他認(rèn)為，物聯(lián)網(wǎng)安全運(yùn)營需要應(yīng)對(duì)以下七大問題：第一，隱私問題。對(duì)物聯(lián)網(wǎng)用戶信息于行為安全數(shù)據(jù)進(jìn)行脫敏處理，從而解決隱私問題。第二，商業(yè)機(jī)密問題。通過實(shí)現(xiàn)物聯(lián)網(wǎng)安全數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分離，解決商業(yè)機(jī)密問題。第三，專業(yè)化問題。采用物聯(lián)網(wǎng)應(yīng)用與安全解耦方式，解決專業(yè)化問題。第四，體系化問題。從產(chǎn)品到服務(wù)，全面解決體系化問題。第五，服務(wù)化問題。從建設(shè)到應(yīng)用，解決服務(wù)化問題。第六，兼容性問題。從各自為政的物聯(lián)網(wǎng)安全方式，到物聯(lián)網(wǎng)安全生態(tài)體系，解決兼容性問題。第七，互通性問題。從單打獨(dú)斗解決物聯(lián)網(wǎng)安全問題，到協(xié)作共贏，解決互通性問題。

◆聚焦車聯(lián)網(wǎng)安全體系建設(shè)

演講中，小鵬汽車安全總架構(gòu)師程紫堯針對(duì)車聯(lián)網(wǎng)安全體系的核心技術(shù)，可能遭遇的安全攻擊進(jìn)行了分析，并針對(duì)攻擊方式提出了車聯(lián)安全體系的構(gòu)建方案。

??

[[250144]]

小鵬汽車安全總架構(gòu)師程紫堯

“以前，汽車是孤立的、物理隔離的，因此黑客很難遠(yuǎn)程入侵汽車內(nèi)部控制器，除非進(jìn)行物理入侵。而隨著互聯(lián)網(wǎng)的進(jìn)化，當(dāng)TSP通過T-Box與汽車內(nèi)部網(wǎng)絡(luò)聯(lián)網(wǎng)之后，汽車受到的遠(yuǎn)程網(wǎng)絡(luò)攻擊就不再是猜想?！彼赋觯?yàn)槠嚶?lián)網(wǎng)后變得更智能，產(chǎn)生了更多的軟件代碼，從而導(dǎo)致了更多的漏洞BUG。聯(lián)網(wǎng)汽車擁有更多的接入途徑，產(chǎn)生了更大的攻擊面。尤其，汽車中使用的計(jì)算和聯(lián)網(wǎng)系統(tǒng)沿襲了既有的計(jì)算和聯(lián)網(wǎng)架構(gòu)，也繼承了這些系統(tǒng)天然的安全缺陷。

隨后，來自上汽集團(tuán)上海賽可出行資深安全專家賴楊健，與大家分享了車聯(lián)網(wǎng)DDG挖礦病毒逆向?qū)崙?zhàn)案例，對(duì)黑產(chǎn)DDG挖礦病毒的利益來源、病毒攻擊溯源診斷思路以及清除病毒的思路進(jìn)行了詳細(xì)的分析，并在現(xiàn)場進(jìn)行了實(shí)戰(zhàn)演示。

針對(duì)車聯(lián)網(wǎng)的安全防護(hù)，賴楊健建議從三個(gè)方面出發(fā)：在終端防護(hù)上，實(shí)現(xiàn)核心數(shù)據(jù)加密，接入口令復(fù)雜化和隨機(jī)化，防止暴力破解;并且做好數(shù)據(jù)校驗(yàn)和認(rèn)證，阻止數(shù)據(jù)包重放攻擊;實(shí)現(xiàn)APP代碼加固及通信數(shù)據(jù)加密。在汽車網(wǎng)關(guān)防護(hù)上，對(duì)通信進(jìn)行加密通信，在數(shù)據(jù)中增加隨機(jī)因子簽名認(rèn)證，實(shí)現(xiàn)接入設(shè)備和接入系統(tǒng)的安全認(rèn)證，并防止固件安全檢測。在云端安全防護(hù)上，實(shí)現(xiàn)應(yīng)用安全、網(wǎng)絡(luò)安全、安全管理等全方位保護(hù)。

寫在最后

“萬物互聯(lián)，安全先行”，2018年是物聯(lián)網(wǎng)技術(shù)商用的關(guān)鍵一年。作為主辦方，幾維安全希望通過本次會(huì)議積極為國內(nèi)外物聯(lián)網(wǎng)行業(yè)從業(yè)者提供交流契機(jī)、合作共贏，共同構(gòu)建一個(gè)安全可靠的物聯(lián)網(wǎng)生態(tài)環(huán)境。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】