8月3日,一條勒索病毒震驚了整個物聯網領域���。蘋果新一代A12處理器的獨家供貨商——臺積電(臺灣積體電路制造股份有限公司)傳出消息�����,營運總部和新竹科學園區(qū)的12英寸晶圓廠電腦�����,遭到勒索病毒入侵�����,生產線全數停擺���。幾個小時之內����,臺積電在中國臺灣地區(qū)的北�、中�����、南三個重要生產基地都未能幸免��。直至8月6日��,全部設備才重新恢復正常生產�����。
追溯病毒入侵原因���,臺積電在8月4日下午發(fā)布消息稱�����,此次事故是由于“新機臺在安裝軟件的過程中操作失誤”����,導致病毒在新機臺連接到臺積電內部電腦網絡時,發(fā)生病毒擴散���。而這一事件將影響三季度3%的營業(yè)收入����,公司的毛利潤率將下降一個百分點�。根據臺積電二季報Q3業(yè)績展望,這起事件約造成2.55億美元(約合人民幣17.4億元)的營業(yè)損失����。
一條勒索病毒造成數億美元損失的物聯網安全事件,為正在一路狂奔到商業(yè)物聯網廠商敲響了一記警鐘�����。在網絡安全從業(yè)者眼中�����,這些埋頭構建應用的物聯網廠商缺少對安全防護足夠重視�����,致使商業(yè)物聯網和工業(yè)物聯網成為新的病毒重癥災區(qū)。
“萬物互聯”會為人們帶來多大的便利�����,人們就可能因此付出多么高昂的安全代價���。安全從業(yè)者為此呼吁構建一個物聯網安全生態(tài)�,通過在物聯網各層級安插安全關鍵控制點�����,構建一個安全運營的物聯網生態(tài)�����。
問題初現:疏于防護的商用物聯網終端
“物聯網”這一概念對于公眾來說早已不陌生�����,這項去年還在被業(yè)界探討能否落地的技術�����,今年已在諸多領域找到了適合自己的應用場景����。360安全公司將物聯網應用劃分成四個領域:工業(yè)物聯網、商業(yè)物聯網�、消費物聯網和車聯網。其中消費物聯網在生活中最為直觀���,以小米為代表的智能家居�����、智能硬件已經走進千家萬戶�����,讓消費者最先感受到“萬物互聯”的智能化��。
不過比起這些直接接觸消費者的物聯網終端��,黑客更青睞為城市布下“天羅地網”的政府和企業(yè)(簡稱政企)用戶�����,即商業(yè)物聯網����。360企業(yè)安全集團副總裁張聰告訴《IT時報》記者,商業(yè)物聯網的終端是遭受黑客攻擊的重災區(qū)�,一是因為政企本身就是攻擊的重災區(qū);二是相比于將數據存儲在互聯網云端的消費物聯網,尚未有過網絡安全防護經驗的政企用戶安全等級弱�,更易被攻破,勒索起來也更加“有料”����。
事實上,今年已經發(fā)生多起商業(yè)物聯網終端被勒索病毒入侵的事件��。張聰告訴記者�,近日,上海市某商業(yè)樓宇的智能閘機就因蠕蟲病毒攻擊�����,導致網絡栓塞���、帶寬被占,閘機中的指令無法下發(fā)�����,拒絕識別門卡����。這樣的攻擊一旦發(fā)生在上下班高峰期����,將會造成整個大樓擁堵�����,后果很難預料���。
另一個相似事件是����,上海市某樓宇入口處���,一個智能化電子屏幕一開機便跳出勒索軟件���,黑客同樣通過操縱蠕蟲病毒,對小范圍公共場合造成影響�。盡管此類攻擊在安全人員看來十分常見,其入侵方式對傳統互聯網甚至不構成任何威脅���,但是在物聯網領域���,這種病毒就成為極易成功的攻擊手段�����。
張聰認為�,商業(yè)物聯網終端遭受攻擊的根本原因�,在于硬件維護人員的安全意識薄弱。以遭受攻擊的電子屏幕為例�,在一般使用者眼中,這些搭載了安卓系統���、Windows系統的終端屏幕��,根本不像是一個可以被攻擊的對象�,于是就疏于打補丁�����。
一樁樁漏洞事件不斷印證��,在智能設備剛開始普及的物聯網領域��,公眾的安全意識相比互聯網領域落后許多��。
技術深掘:暗藏危機的技術狂歡
物聯網時至今日還沒能獲得一個普遍認可的定義��,隨著5G技術����、IPv6(Internet Protocol Version
6)的迭代演進,物聯網自身的內涵也在不斷擴充演進���。但與此同時�,物聯網即將遭受的安全危機或許剛剛開始���。
公安三所網絡安全專家劉繼順認為����,中國已經進入了物聯網的時代�。他同時指出,有研究報告顯示�,2016年有64億智能設備已經連接到網絡當中,這個數字在2017年將會是84億���,正在以每年30%的速度攀升����,2020年預計超過200萬億。以智能家居產業(yè)為例����,2018年所占市場份額前五的國家里,中國位居世界第二�����,僅次于美國�����。根據工信部計算�,預計到2020年,我國物聯網整體規(guī)模將超過1.8萬億��,智能安防產業(yè)國內增長總值將達到7%�����,行業(yè)增長率保持在13%���,增長速度高于全球平均水平。
在這波世界范圍內物聯網發(fā)展浪潮中,中國的技術和市場份額位列前茅�,但安全防護措施不足讓人憂慮。劉繼順以物聯網部件安全為例��,指出時下終端設備80%采用的是簡單密碼���,70%通信過程沒有加密���,90%部件存在隱患,還有大量設備沒有更新的機制���。體現出整個產業(yè)鏈對安全問題的忽視��,包括制造商�、互聯網廠商�、運營商等多個環(huán)節(jié),大家都在搶占市場入口���,重應用����、重功能�����、輕安全,也不愿意投入成本去解決安全問題���,這也是物聯網安全面對重大安全威脅源的原因之一�����。
發(fā)生在美國東海岸地區(qū)的一次大面積網絡癱瘓�,讓人見識到物聯網設備遭攻擊后的影響范圍之大��。2016年10月21日�,美國域名解析服務提供商Dyn公司受到強力的DDoS攻擊,Dyn公司稱此次DDoS攻擊涉及千萬級別的IP地址��,攻擊中UDP/DNS攻擊源IP幾乎皆為偽造IP��,其中部分重要的攻擊來源于物聯網設備��。這次攻擊在全球范圍內�����,感染Mirai的設備已經超過100萬臺�,其中美國感染設備有418�,592臺�����,中國大陸有145�����,778臺�����,澳大利亞94�����,912臺��,日本和中國香港分別為47���,198和44,386臺��。
亦功亦守:協同組織好商業(yè)物聯網“防毒面具”
張聰認為在當前時間點�,大規(guī)模IOT項目開始落地��,自然會有很多安全問題暴露出來����。但商業(yè)物聯網是一個差異化比較嚴重的領域����,360安全公司正在尋找一些生產IOT設備的廠商,成立商業(yè)物聯網安全聯盟����,共同織起一張應對病毒威脅的“防毒面具”。
物聯網的安全防護基礎建設相比互聯網難度更大���。張聰告訴記者�,一個商業(yè)型的物聯網就是一個業(yè)務系統���,和非物聯網系統相比����,物聯網會多出更多感知層/終端�,也就是各種各樣的傳感器,比如溫度/濕度傳感器��、二維碼標簽、GPS等�����。感知層就像人的視覺���、觸覺、味覺�、聽覺一樣,通過自動化的方式采集數據��,再將業(yè)務分析推送到用戶終端�,最終通過PC或手機進行實際業(yè)務操作。
“如果說物聯網平臺是碎片化�,那么其終端就是粉末化的?�!睆埪斀忉尩?����,正是基于此���,如何把安全機制植入到平臺當中��,才會成為產業(yè)落地的難點��。
對于物聯網安全人員來說�����,最可行的方案就是在不同系統層次中找到關鍵節(jié)點����,并進一步找到它的安全防護控制點,進而有的放矢地接入安全控制方案�����。安全關鍵控制點的確認���,能夠幫助安全人員在硬件層上通過控制點�,實現硬件設計規(guī)范��,也能在硬件接入層和網絡層��,確保所有端接入網絡時合法合規(guī)����。
如果確認安全防護控制點是做好商業(yè)物聯網“防毒面具”的基礎設置����,那么提升安全性能的下一步�����,就是對病毒的積極防御和主動進攻��。
張聰認為��,如今的安全系統狀態(tài)處在建設期����,游走在被動防御的階段���。但是商業(yè)物聯網的目標�,應當是比被動防御更高段位的積極防御��,也就是依賴大數據和以往的學習經驗���,尋找哪些地方會存在被攻擊點���。當用戶之間可以將威脅情報的互通��,進而弄清楚了“到底誰在攻擊我?還在攻擊誰”?就能夠做到進攻反制�,先發(fā)制人���。
在物聯網生態(tài)中�,開發(fā)者���、安全廠商���、用戶都是不可或缺的組成部分。各方承擔起各自職責是實現織好“防毒面具”的前提�。開發(fā)者要去設計安全運營的機制,公開能夠接受安全通道的接口;安全廠商則要實時監(jiān)控環(huán)境�����,發(fā)現問題及時通報;用戶更要承擔起集大成者的職責,擦亮眼睛選擇設備廠商。
對于張聰和360物聯網安防團隊來說����,商業(yè)物聯網安全是一個始終“在路上”的發(fā)展過程��?�!俺耙稽c���,但不能超越太多��,不然黑客就會繞過你的防護路徑�����,選擇其他的路徑進攻���。”張聰告訴記者��,網絡安全工作者大體上都是這樣��,隨著技術演化逐步跟進��,這個過程沒有止境���。相比于與“黑客”見招拆招,張聰更希望安全從業(yè)者之外的人能夠充分認識到安全的重要性�,這樣才能最大效率實現防守,減少更多不必要的損失。
