“為了防止被黑客惡意利用,去年12月,某視頻公司主動關閉了自己的直播平臺,”3月21日“第二屆物聯網安全沙龍”上,頂象技術安全總監邱寅峰表示,雖然該視頻公司主動關閉了直播平臺,但是黑客並不會因為關閉而停止攻擊,因為還有更多視頻直播平臺、更多的物聯網設備可以被黑客惡意利用。“全球物聯網連接設備數量在已經達到60億臺,預計2020年將達240億臺,一旦遭遇群體性攻擊事件,影響巨大”,他進一步表示。
潛藏在身邊的致命威脅
2017年8月,沙特阿拉伯一家煉油廠網絡攻擊。攻擊者對Triconex安全控制器下手,意圖引發爆炸級別的重大破壞。而就在遭受本次網絡攻擊前9個月前,烏克蘭電力公司因被黑客入侵導致西部地區大規模停電,直接影響了三個不同配電服務區域的最多 22.5萬名客戶,並持續了數小時。
物聯網遭受攻擊不僅中斷社會生產、破壞公共秩秩序,更會擾亂人們正常的生活和工作。
2017年6月央視報道,大量家庭攝像頭遭入侵,有人攻破攝像頭的IP地址,並將拍攝到的“實時影像”出售給偷窺者;2017年11月,韓國某品牌的智能掃地機器人被曝存在安全漏洞,黑客可以遠程操控其在用戶家中自由行動,從而變成監控家庭人員和行動的監視器。
頂象技術安全總監邱寅峰表示,物聯網已經普遍應用於電力、金融、石化、公共設施、建築、醫療、運輸等各行各業。但是安全現狀卻不容樂觀。
國家信息安全漏洞共享平臺(CNVD)公佈的數據顯示,2016年收到1117個物聯網設備漏洞,其中網絡攝像頭、路由器、手機設備最多。並呈現“88766”態勢,也就是:80%的設備存在隱私洩露或濫用的風險、80%的設備使用弱密碼、70%的設備的網絡通訊沒有加密、60%設備的web界面存在漏洞、60%設備的軟件更新未做加密。
邱寅峰表示,造成這類原因主要是:安全標準滯後、廠商缺乏安全意識、自研安全方案成本高、攻擊成本低、傳統安全問題多、威脅日益複雜多樣等。“物聯網設備基數大、24小時全天候在線,面臨的危險更多,極易發生大規模攻擊性事件。”
危險層出不窮,企業和個人該怎麼防?
頂象技術移動安全負責人梁家輝表示,物聯網主要是由三部分組成:雲端服務器、IoT設備、手機App等。
其中,雲端服務器一旦通訊協議遭破解、機器批量爬取數據、被上傳偽造數據,就可能造成業務系統被惡意利用、隱私信息洩露和數據被竊取等;而IoT設備和手機App的代碼被破解、漏洞被利用、通信被監聽或劫持,就會造成密鑰丟失、敏感數據遭盜取、設備被惡意控制、核心業務與知識產權洩露等。
針對以上問題,梁家輝現場演示了頂象技術的物聯網安全解決方案。該方案通過固件、數據的一機一密+業務風險防控,有效防各類業務風險威脅。
首先,在 IoT設備和手機App上部署頂象虛機源碼保護。它能夠將源碼編譯生成虛擬加密指令,且每臺設備均不相同。運行時使用頂象獨創的虛擬CPU直接運行加密的指令,從而防範黑客逆向工具無法逆向破解。
作為頂象技術的獨家專利技術,頂象虛機源碼保護無縫集成GCC/CLANG/KEIL/IAR等主流IoT開發平臺或工具,能夠有效抵禦漏洞掃描,漏洞攻擊、固件篡改等各種針對固件的攻擊。
其次,在IoT設備和手機App上部署頂象安全SDK。通過加密數據與設備綁定,實現數據鏈路保護,保證數據傳輸的真實、保密、不可篡改,讓外界無法破解算法邏輯。
其次,在雲端服務器上部署頂象智能風控系統。它能夠及時有效識別設備上報的非正常數據和App發起的非正常控制指令,並有效拒絕攻擊者對服務器端數據的爬取等。
目前,頂象技術的物聯網安全解決方案,已在智能駕駛、無人機、智能家居等領域落地。
第二屆物聯網安全沙龍的主題是“物聯網安全的困局與破局之道”。來自北京物聯網協會、通信研究院、北京理工大學、頂象技術、浙江大華等機構和企業的專家就物聯網發展趨勢、安全現狀、防護實踐以及區塊鏈對物聯網價值等進行了分享與討論。
閱讀更多 頂象技術 的文章
