2
| 本文作者: 恒亮 | 2016-12-16 11:04 |
12月15日,阿里云棲大會廣東分會進入了第二天的議程。在當天下午的物聯網分論壇上,阿里云安全解決方案總監蘇建東帶來了一場關于物聯網安全的分享,主要談論了物聯網中常見的安全問題及其解決方案。
在物聯網常見的3層結構中,信息一般從最前端的感知層產生,然后經過傳輸層,到達最上層的應用層被分析并加以應用。從這個流程分析,蘇建東認為有可能發生安全隱患的地方主要包含了以下4個方面:感知層的設備端,傳輸層的App端、通信與協議,以及應用層的應用服務。
其中設備端最常見的安全隱患是在固件中固化存儲密碼或者密鑰等敏感信息,或者在設備固件升級的過程中完全不加以安全性校驗,從而導致設備可能被遠程控制。蘇建東對雷鋒網表示,有高達90%的智能硬件都存在不同程度的固件升級隱患。
App端的問題通常會被忽視,但實測結果其實非常嚴重。掃描工具顯示,在Top 10的電商App中,一共被發現了高達851個漏洞,平均每個App有85個。在國有4大銀行的移動App中,每一個更是被發現了高達150個左右的漏洞。蘇建東認為,在App端最嚴重的隱患是由于App源碼可能沒有被加固,從而導致黑客結合源代碼逆向分析出業務流程,通過利用業務邏輯的漏洞作惡。
第三個是通信與協議安全方面。蘇建東認為,在這方面最大的問題是大家沒有安全意識,現在仍然有許多信息的傳輸還是在使用處理起來最簡單快捷的明文,由于沒有加密,因此很容易通過抓包等一些簡單手段被監聽和竊取,從而導致敏感信息的丟失甚至財物被盜。
最后一個是應用服務端的安全問題。蘇建東對雷鋒網表示,在云端部署的應用服務也有許多安全問題,并且有高達94%的傳統Web安全漏洞也同樣影響著物聯網的云端Web接口。2015阿里物聯網安全年報的數據顯示,有55%的此類問題都來自于跨站腳本,即攻擊者在看上去來源可靠的鏈接中嵌入惡意譯碼。
針對上述可能在物聯網中出現的安全隱患,其實業界也已經出現了一些具有針對性的措施。
在設備端,比較通行的做法是采取固件升級保護,另外通過安全社區和白帽子分析的方法也非常重要。蘇建東表示,現在互聯網上和各家巨頭公司內部其實都隱藏著大量的白帽子群體,他們對于設備的軟硬件都非常熟悉,具有強烈的專注精神,善于發現和分析系統中并不容易被找到的漏洞并內部公開,然后工程師們會針對這些漏洞采取完善的補救措施。
在App端,則需要從檢測、防護和監控三個方面綜合入手。蘇建東表示,前期代碼或者SDK需要經過木馬掃描和漏洞掃描來保證安全。其次在生成App時也必須要經過加固和加密,保證代碼的逆向安全。最后是運行中的監控,可以通過大數據監測等方式來避免最有可能出現的惡意攻擊。另外蘇建東強調,一般被公布的安全漏洞必須在24小時之內修復,否則根據經驗,24小時之后被攻擊的概率就會顯著上升。
在通信與協議安全上,蘇建東表示,在物聯網中傳輸協議會隨著應用場景的變化和成本的要求等限制條件而不同,例如常見的NB-IoT和MQTT等。但不論最終采取了哪種協議,安全性也是必須要考量的要素之一,例如TLS比TCP安全,HTTPS比HTTP安全,等等。這方面還是需要提升大家的安全意識。
最后是云端的應用服務。蘇建東對雷鋒網表示,現在云計算服務商同時也做云安全是一個大勢所趨,目前在物聯網云端的安全也越來越受到重視,各大云服務公司也紛紛開始著手布局這方面,比如亞馬遜AWS去年開始推出的WAF(Web Application Firewall)功能,阿里云的專有網絡VPC(Virtual Private Cloud)等等,根據使用場景和需求的不同,物聯網云安全方面的產品也會越來越豐富。
蘇建東說:“今天我們在市面上所能看到的,買到的所有的智能硬件,在歷史上都被黑客黑過。近期最嚴重的事情可能就是前一陣子發生的全美斷網事件了,這件事就是智能設備被黑客利用導致的。其實通過這件事也敲響了一個警鐘,在越來越普及的智能硬件給我們的生活帶來便捷的同時,也需要從業者和用戶們共同努力,為物聯網的安全多盡一份力。”
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
