由于網(wǎng)絡(luò)攻防不對(duì)等，網(wǎng)絡(luò)攻擊者越來(lái)越聰明，攻擊能力也與日俱增，通過(guò)威脅情報(bào)可以縮小這個(gè)差距。隨著物聯(lián)網(wǎng)面臨的威脅日益嚴(yán)峻，有必要對(duì)物聯(lián)網(wǎng)威脅情報(bào)機(jī)制進(jìn)行研究，分析威脅情報(bào)在物聯(lián)網(wǎng)中的應(yīng)用模式。本文對(duì)物聯(lián)網(wǎng)威脅情報(bào)進(jìn)行了分析，之后，以某省的物聯(lián)網(wǎng)資產(chǎn)和UPnP協(xié)議的暴露情況為例，分析了如何使用物聯(lián)網(wǎng)威脅情報(bào)。

[[256579]]

物聯(lián)網(wǎng)威脅情報(bào)分析

我們將物聯(lián)網(wǎng)威脅情報(bào)分為四層，分別是資產(chǎn)情報(bào)、脆弱性情報(bào)、威脅情報(bào)和業(yè)務(wù)情報(bào)，其數(shù)量依次越來(lái)越少，但是價(jià)值越來(lái)越高。

圖1 物聯(lián)網(wǎng)威脅情報(bào)框架

資產(chǎn)情報(bào)：大量互聯(lián)網(wǎng)上暴露的物聯(lián)網(wǎng)資產(chǎn)(即物聯(lián)網(wǎng)設(shè)備與服務(wù))成為攻擊者發(fā)動(dòng)大規(guī)模DDoS攻擊的首選，對(duì)于物聯(lián)網(wǎng)資產(chǎn)的識(shí)別，構(gòu)成了物聯(lián)網(wǎng)資產(chǎn)情報(bào)。只有分析清楚了哪些物聯(lián)網(wǎng)資產(chǎn)暴露在互聯(lián)網(wǎng)上，才能夠更好地提供防護(hù)措施。這部分的研究成果我們發(fā)布在了綠盟科技《2017物聯(lián)網(wǎng)安全年報(bào)》上。

脆弱性情報(bào)：脆弱性情報(bào)主要針對(duì)的是各類物聯(lián)網(wǎng)設(shè)備的漏洞，如弱口令、信息泄露、未授權(quán)訪問(wèn)等。當(dāng)知曉物聯(lián)網(wǎng)設(shè)備的廠商、產(chǎn)品、型號(hào)、版本等信息時(shí)，可以關(guān)聯(lián)脆弱性情報(bào)，及時(shí)發(fā)現(xiàn)其潛在的問(wèn)題。

威脅情報(bào)：這部分主要來(lái)自于物聯(lián)網(wǎng)蜜網(wǎng)系統(tǒng)和物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)，通過(guò)這兩個(gè)系統(tǒng)的構(gòu)建可以及時(shí)發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)中的攻擊活動(dòng)及攻擊趨勢(shì)、捕獲新的惡意樣本等。

業(yè)務(wù)情報(bào)：這部分針對(duì)的是物聯(lián)網(wǎng)特定應(yīng)用場(chǎng)景的情報(bào)，也是客戶最為關(guān)注的，這部分情報(bào)的應(yīng)用將可以有效減少客戶的損失。以物聯(lián)卡為例，存在惡意行為的物聯(lián)卡可以構(gòu)成物聯(lián)卡威脅情報(bào)，這些卡有可能被用于“薅羊毛”，比如電商網(wǎng)站在推廣階段，邀請(qǐng)用戶注冊(cè)可以得到一定的收益，這些卡可能被用于批量注冊(cè)賬號(hào)，使得電商網(wǎng)站看似新注冊(cè)用戶很多，但是并未得到有效的用戶。而通過(guò)使用物聯(lián)卡威脅情報(bào)，就可以及時(shí)發(fā)現(xiàn)惡意的用戶注冊(cè)行為。

其他行業(yè)/垂直領(lǐng)域情報(bào)：借助其他行業(yè)/垂直領(lǐng)域的情報(bào)也可以發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備存在的威脅。比如通過(guò)將物聯(lián)網(wǎng)設(shè)備對(duì)外訪問(wèn)的域名、IP與區(qū)塊鏈情報(bào)(礦池域名、IP)相關(guān)聯(lián)，可以發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備的挖礦行為。

物聯(lián)網(wǎng)威脅情報(bào)的應(yīng)用

下面我們將借助威脅情報(bào)，分別對(duì)某省的物聯(lián)網(wǎng)資產(chǎn)和UPnP協(xié)議的暴露情況進(jìn)行分析。

1. 某省物聯(lián)網(wǎng)資產(chǎn)暴露情況分析

借助資產(chǎn)情報(bào)，我們可以看到某省的物聯(lián)網(wǎng)資產(chǎn)暴露情況(圖2)，更進(jìn)一步，我們還可以分別對(duì)不同類型的設(shè)備的地理分布、廠商分布、端口分布等進(jìn)行分析。由于這些信息比較敏感，所以不在這里進(jìn)行展示，如果你對(duì)這方面感興趣的話，可以給我們留言。

圖2 某省物聯(lián)網(wǎng)資產(chǎn)暴露情況

借助威脅情報(bào)(TI)中的IP信譽(yù)，我們可以看到視頻監(jiān)控設(shè)備異常行為類型的分布情況(圖3)。運(yùn)營(yíng)商可以借助這樣的分析，重點(diǎn)關(guān)注存在風(fēng)險(xiǎn)的IP的流量，由于關(guān)注范圍縮小，可以更容易地發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)并做出應(yīng)對(duì)處理。

圖3 視頻監(jiān)控設(shè)備異常行為類型的分布情況

2. UPnP協(xié)議暴露情況分析

UPnP是一種用于 PC 機(jī)和智能設(shè)備(或儀器)的常見(jiàn)對(duì)等網(wǎng)絡(luò)連接的體系結(jié)構(gòu)。UPnP 以 Internet 標(biāo)準(zhǔn)和技術(shù)(例如 TCP/IP、HTTP 和 XML)為基礎(chǔ)，使這樣的設(shè)備彼此可自動(dòng)連接和協(xié)同工作，從而使網(wǎng)絡(luò)(尤其是家庭網(wǎng)絡(luò))對(duì)更多的人成為可能。簡(jiǎn)單來(lái)說(shuō)，以家庭環(huán)境為例，若我們要使用一臺(tái)新買的網(wǎng)絡(luò)打印機(jī)，我們無(wú)需對(duì)打印機(jī)進(jìn)行繁瑣的配置只需將打印機(jī)插上網(wǎng)線即可，基于UPnP技術(shù)，從打印機(jī)使用DHCP獲取IP，到電腦自動(dòng)發(fā)現(xiàn)打印機(jī)，搜索其相關(guān)服務(wù)，最后調(diào)用相關(guān)服務(wù)供我們打印文檔，每一步都是UPnP中的一個(gè)組成部分。因此，很多路由器都開(kāi)放了UPnP服務(wù)。但是，本來(lái)僅用于局域網(wǎng)的UPnP服務(wù)，卻有很多暴露在了互聯(lián)網(wǎng)上。我們按照UPnP服務(wù)的SDK類型和版本號(hào)進(jìn)行了統(tǒng)計(jì)，如表1所示。從中可以看到，Portable SDK for UPnP devices、IGD、MiniUPnPd這三類SDK出現(xiàn)最多。

以Portable SDK for UPnP devices為例，在其版本更新日志中可以看到，當(dāng)前的最新版為1.6.23，在表1中出現(xiàn)數(shù)量最多的版本1.6.6是2008年推出的，即便是1.6.19，也是在2013年就已經(jīng)推出。這也從側(cè)面說(shuō)明，當(dāng)前大多暴露在互聯(lián)網(wǎng)中的設(shè)備所采用的UPnP服務(wù)的SDK版本比較老，而且并未采用自動(dòng)升級(jí)機(jī)制。

表1 UPnP服務(wù)SDK類型和版本號(hào)分布情況

通過(guò)與脆弱性情報(bào)相關(guān)聯(lián)，甚至不需要進(jìn)行漏洞的驗(yàn)證，就可以說(shuō)明漏洞在全球的影響情況。例如Portable SDK for UPnP devices在2012年的這幾個(gè)漏洞，CVE-2012-5958、CVE-2012-5959、CVE-2012-5960、CVE-2012-5961、CVE-2012-5962、CVE-2012-5963、CVE-2012-5964、CVE-2012-5965，漏洞影響1.6.18之前的版本。只需要通過(guò)關(guān)聯(lián)資產(chǎn)情報(bào)和脆弱性情報(bào)，即可說(shuō)明漏洞的影響范圍。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過(guò)51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文