新闻资讯
企业动态
行业资讯
物安视角
首页 / 新闻资讯 / 物安视角

物联网安全(一)|物联网的威胁与挑战?

时间:2018-07-12 来源: 中科物安
       不知是骄阳燃烧了大家的热情,还是年中各个公司的业绩压力,“物联网安全”这个题材被反复提及。但是,有多少人真正的理解物联网安全的痛点?IOT的世界我们到底面临什么样的挑战?
 
       信息安全威胁将长期存在,这是需要面对的事实,因为在传统网络里 IT 安全手段已经很丰富了,但是依然存在大量的安全问题,IoT 世界也将面临同样的挑战。从个人、家庭、社会到国家,各大安全事件层出不穷,Forrester 对全球组织的一项调查表明,47%使用或计划使用 IoT 的组织在行业应用中曾遇到过安全问题。其中显示:
 
       ★ 27% 的控制系统被攻破或感染
       ★ 80% 的设备采用简单密码;
       ★ 70% 的通信过程未加密;
       ★ 90% 的固件升级或更新未做签名 , 大量设备可能不更新,甚至无法更新。
 
       在这个我们渐渐被 IoT 设备包围的世界中,随之而来的将是无处不在的安全威胁。我们从IoT基础分类来看看有哪些威胁:
 

 
       感知层的泛 Sensor 无处不在,导致 IoT 端点不可信 
 
       ★终端在户外、分散安装、易被接触到又没有纳入管理,导致物理攻击、篡改和仿冒。
       ★终端驱动的不可信,可能会泄密和被控制。
       ★ OS 或软件过时,漏洞无法及时修复。
       ★考虑成本问题,终端资源、计算能力受限,防病毒等传统的保护手段和高安全技术可能无法应用。
 
       网络层的 IP 化和融合化,打开了威胁的大门
 
       ★无线协议本身缺陷如缺乏有效认证可能导致接入侧泄密。
       ★封闭的工业应用 & 协议无法被安全设备识别,被篡改和入侵后无法及时发现。
       ★未加密的通信过程容易发生劫持、重放、篡改和窃听等中间人攻击。
       ★ IP 化后面临 IP 体系的安全问题:如来自互联网的攻击和入侵。
 
       平台和应用层的业务开放化带来新的安全风险:
 
       ★平台层面所管理的设备分散、繁多,设备的升级过程和安全状态等难以管理。
       ★新的通信协议可能带来应用层的安全问题和漏洞, 比如畸形攻击、泛洪攻击等。
       ★新平台自身漏洞和 API 开放等容易引入新的风险。
       ★越权访问导致隐私和安全凭证等重要数据有被泄露的风险。
       ★应用丰富、数据中心出口多,DDoS 等网络攻击风险高。
       ★参差不齐的 IoT 应用有不可信风险。
 
       另外,设备、网络和应用的厂商差异化,导致单一厂商无法进行全面的安全防护,甚至无法看到整个攻击面。
 
       最后,隐私——可能是 IoT 面临的巨大法律挑战之一。
 
       物联网安全的行业诉求
 
       IoT 的安全与其应用行业关系紧密。但由于各行各业在自身业务属性、服务对象、管理主体、工作方式等方面的差异,IoT安全在不同行业里的体现形式及相应需求也千差万别。
 
       工业和能源:工控系统和智能电网的安全,如 ICS/ SCADA 的安全。一旦工业控制系统遭到攻击,将可能导致整个系统停运,带来停产、停电等严重的后果。
       智能交通:智能车辆保护、无人驾驶飞行器的安全和保护、卫星通信系统的保护。一旦遭受黑客攻击,可能会造成严重的交通事故,威胁人们的生命安全。
       医疗:对连网的医疗设备的保护,医学和药物研究数据的加密,医疗数据的安全和无处不在的存储。试想如果安装在人身体里的无线心脏除颤器遭受黑客控制,病人的生命安全如何得到保障?
       智慧城市:海量传感器所收集的治安、卫生、交通等信息传输和存储的安全。一旦轨道交通被不法者利用,就有可能发生调配失度、列车出轨的危险。
       金融:多种多样的移动支付带来了新的金融欺诈风险。一旦有漏洞被黑客利用,个人和企业的财产将遭受不可避免的损失。
       。。。。
 
       最后,说了这么多,我们会发现IoT 安全不仅事关商业利益,更多的是影响到了国计民生的方方面面,所以各大厂商和安全从业者,大家应该知道需要做什么了。