物联网无疑是时下最为热门的词汇之一。随着物联网建设的加快,随之而来的物联网安全问题也与日俱增,成为制约其进一步发展的瓶颈。
10月25日,工信部发布《物联网基础安全标准体系建设指南(2021版)》,明确物联网终端、网关、平台等关键基础环节安全要求,满足物联网基础安全保障需要,促进物联网基础安全能力提升。
安全成物联网发展首要问题
近年来,随着科技的飞速发展,物联网技术逐渐走向成熟,并在安防、医疗、零售、教育、办公、家居、能源等多个领域得到应用。特别是随着5G时代的到来,也极大推动了物联网技术的进一步发展和应用。
然而,随着物联网的发展,物联网设备的安全问题也逐渐暴露出来,甚至成为最薄弱环节。
例如,2016年9月出现的Mirai恶意软件,对国外安全研究员BrianKrebs的个人博客发起过DDoS攻击,导致其被迫下线数日,这是有记录以来最大的攻击之一。Mirai恶意软件会持续扫描互联网以查找易受攻击的物联网设备,然后这些设备会被感染并用于僵尸网络攻击。
2017年9月,一款名为IoT_reaper的新恶意软件,针对家用路由器、摄像机和录像机的固件漏洞进行攻击。IoT_reaper借鉴了Mirai的代码,但扩展并扩展了后者的功能。
2020年10月,Gitpaste-12首次被潜伏在GitHub上的瞻博网络威胁实验室检测到。这是一种新型蠕虫僵尸网络,通过GitHub和Pastebin进行传播,以在目标系统上安装加密货币矿工和后门程序,并且已经返回了具有扩展功能的功能,其扩展功能可以危害Web应用程序、IP摄像机和路由器。
根据卡巴斯基对其与Threatpost共享的蜜罐遥测数据的分析,2021年上半年,该公司检测到超过15亿次物联网攻击,攻击者试图窃取数据、挖掘加密货币或构建僵尸网络,远高于前半年的6.39亿次。另外,Cybersecurity Ventures的一份报告估计,到2022年,网络犯罪每年将使全球损失超过6万亿美元。随着全球连接数量的扩大,带来了无数可供黑客利用的新市场和垂直领域,这个数字只会加速。
物联网安全挑战有哪些?
物联网安全漏洞究竟从何而来?在了解物联网安全之前,我们首先要知道物联网的定义。
物联网即“万物相连的互联网”,是互联网基础上的延伸和扩展的网络,将各种信息传感设备与网络结合起来而形成的一个巨大网络,实现任何时间、任何地点,人、机、物的互联互通。
与互联网相比,物联网安全更加复杂。从技术架构上来看,物联网可分为三层:感知层、网络层和应用层,这三层架构分别面临很多安全威胁,具体来看:
1、感知层:感知层用于识别物体和采集信息,位于物联网三层结构中的最底层,是物联网系统的核心。物联网感知对象种类多样,监测数据需求较大,应用场景复杂多变,易受到自然损害或人为破坏,导致节点无法正常工作。
2、网络层:传输层则主要负责数据的传输与处理,其安全功能一般与传输网络的基础设施一起部署。在信息传递中容易出现跨网传输,也容易出现安全隐患。网络层由于数据信息量较大更加容易出现安全方面的问题,如DDoS攻击、恶意数据、隐私泄露等。
3、应用层:应用层是物联网三层结构中的最顶层,主要对感知层采集数据进行计算、处理和知识挖掘,从而实现对物理世界进行实时控制、精确管理和科学决策。物联网应用层面临的安全威胁主要是虚假终端触发威胁,攻击者可以通过SMS向终端发送虚假触发消息,触发终端误操作。
据IDC预测,到2025年,全球物联网市场将达到1.1万亿美元,年均复合增长11.4%。另据麦肯锡全球研究所发布的《物联网:超越炒作之外的价值》的报告称,到2025年,物联网将每年为全球经济带来高达3.9万亿~11.1万亿美元的增长。但这只有在我们把事情做好,新设备热销的情况下才能实现。
对此,越来越多的企业纷纷采取行动,布局物联网安全领域。
在2018杭州云栖大会万物智联峰会上,阿里云推出物联网安全平台(Link Security)升级方案,助力实现物联网设备的全生命周期安全防护。
为解决持续升级的供应链攻击,以及弥补传统软件供应链的缺陷,腾讯安全科恩实验室推出了sysAuditor解决方案。sysAuditor是一款聚焦于物联网系统的基线合规检查和二进制软件成分分析的自动化平台,能够帮助企业实现对研发漏洞检测、系统安全验收、潜在风险规避和行业安全管理等的自动化审计,从而提升安全基线,降低维护成本。
中国电信旗下的天翼物联科技有限公司发布的“物联网安全管理平台”,提供了安全基础管理、溯源定位管理、安全风险监测预警、安全态势分析等功能,可防范和遏制对物联网的网络攻击威胁,保障重点物联网平台和业务的正常运营。
写在最后:
当前,物联网正处于快速发展阶段,加强物联网安全也就变得更加重要。只有制定好相应的应对策略,让物联网安全得到保障,才能对经济发展和社会进步起到更好地推动作用。