国内物联网资产的暴露情况分析
2017-04-17
随着传感、计算、通信等技术的成熟,物联网在各行业将会出现越来越多的应用。市场研究机构Gartner预测,自2015年至2020年,物联网终端年均复合增长率为33%,装机量高达204亿,其中三分之二为消费者应用。在联网的消费者和企业终端的投资的年均复合增长率为20%,高达2.9万亿美元,将取代非联网设备的投资。2016年,物联网被写进“十三五”规划,《规划》指出要积极推进云计算和物联网发展,推进物联网感知设施规划布局,发展物联网开环应用。这显示了国家在战略层面非常重视各类物联网基础设施和应用。
与此同时,众多物联网设备和应用面临严峻的安全挑战。2016年9月20日,著名的安全新闻工作者Brian Krebs的网站KrebsOnSecurity.com受到大规模的DDoS攻击,其攻击峰值达到665Gbps,Brian Krebs推测此次攻击由Mirai僵尸网络发动。2016年9月20日,Mirai僵尸网络针对法国网站主机OVH的攻击突破DDoS攻击记录,其攻击量达到1.1Tpbs,最大达到1.5Tpbs。2016年10月21日,美国域名服务商Dyn遭受大规模DDoS攻击,其中重要的攻击源确认来自于Mirai僵尸网络,美国东海岸地区遭受大面积网络瘫痪。2016年11月28日,德国电信遭遇断网时间,攻击源来自Mirai僵尸网络的新变种。而Mirai僵尸网络的广泛传播,则是因为暴露在互联网的物联网设备存在安全问题,如弱口令等。
值得注意的是,很大一部分的受Mirai恶意代码感染的物联网设备是直接暴露在互联网上。因而,掌握物联网资产在全互联网中的暴露情况是一个非常值得关注的研究点,一种可行的研究方法是通过网络空间搜索引擎发现相关的物联网设备。
不同于互联网搜索引擎Google、百度,网络空间搜索引擎(如NTI [1]、Shodan [2]、ZoomEye [3])关注于IP地址以及其所对应的设备、其上运行的服务,其中NTI是香港正版挂牌的威胁情报平台。对于安全研究人员,借助其所探测到的结果,在发现漏洞时,可快速了解其在全球的分布情况。
2016年,趋势科技发布了一份基于Shodan的数据的研究报告[9],报告分析了美国六大关键行业(政府、紧急服务、医疗、公共事业、金融和教育)在互联网上的暴露情况。在RSA2017上,趋势科技的研究人员对研究报告的内容做了主题演讲[10]。在物联网相关分析中,该报告主要集中于工业控制系统,视频监控设备、路由器等虽有提及,但并非关注的重点,只是作为某一行业探测到的产品出现。
在物联网相关的安全问题越来越引发人们的关注的背景下,对在互联网上暴露的广义物联网资产进行分析和梳理是有必要的,在获得相关数据后,可对物联网安全态势分析、政策和方案决策,以及技术上做进一步脆弱性和风险评估。
在技术路线方面,考虑到国内外的物联网系统和产品有较大的差异,本文中我们主要对位于中国的物联网资产进行了分析,通过展示物联网设备的暴露情况,如城市分布、端口分布,来说明有哪些服务是可以被互联网访问到的,以及服务潜在的安全问题,目的是使公众提高物联网威胁的防范意识。
在第二章和第三章,我们分别从物联网设备维度和物联网操作系统维度进行了分析。第二章展示了都有哪些物联网设备暴露在互联网上以及其有怎样的分布情况。第三章我们对常见的物联网操作系统进行了搜索,以期使读者对暴露在互联网的操作系统的情况有一定的认识。
需要说明的是,一个物联网设备暴露在互联网并不一定意味着这个设备存在问题,只能说明该设备存在被攻击甚至被利用的风险。比如一个设备通过用户名和密码可以被登录,如果用户使用了安全强度比较高的密码,则该设备便不存在弱口令的风险。但一旦设备暴露在互联网上,就增加了其攻击面,一旦在突发的安全事件中(如心脏出血等)其暴露的相关服务被发现漏洞,就存在被攻破的风险。
查看完整内容请下载报告
