50万个业界未识别物联网资产被发现,如何打好DDoS阻击预备战?
2021-02-24
摘要
回顾2020年安全事件可以发现,互联网上大量暴露的物联网设备和服务,已成为攻击者发动大规模DDoS攻击的首选。目前,细粒度地识别物联网设备能够为进一步对设备的属性研究及安全分析提供数据支撑,本文主要观点摘录于香港正版挂牌发布的《2020物联网安全年报》,聚焦指纹识别、暴露情况和蜜罐发现三方面,以期为加强物联网设备的安全防护和修补提供有益思路。
一、指纹识别
观点1:物联网的资产变化快、种类碎片化,导致物联网资产识别边际成本极高,从而给物联网安全治理带来困难。我们通过人工智能与专家标记相结合的方法对国内全部的HTTP(s)数据进行处理,发现了约50万个业界未识别的物联网资产,是原有标记数量的2倍,要达到高覆盖、准识别仍需要不断持续运营。
报告中提出了一种基于机器学习和人工相结合的物联网资产标记方法,标记效果及趋势如图1所示,从标记数量折线来看,发现的物联网资产数量增速随着标记轮次逐渐变缓,随着标记轮次的增加发现的物联网设备数量也趋于平稳,近似等于目标数据集中存在的物联网设备数量。通过该方法标记的物联网资产是原有标记数量的两倍。由此可见,基于资产聚类和人工标记相结合的方法可以尽可能的发现目标数据集中所有的物联网资产,在识别覆盖度方面有较好的效果。
图1 基于机器学习的物联网资产标记趋势(国内)
二、暴露情况
考虑到网络地址变化因素,为保证资产的准确性,所以我们以2020年11月的国内全部网段测绘1轮作为今年的资产暴露情况展示数据。结合前述新发现的物联网资产指纹,共发现186万个物联网资产,具体的设备类型分布情况如图2。其中,摄像头、路由器、VoIP电话数量分别位列前三,这和往年的分布是一样的,但是新增了安全设备和网络存储器、网络安全设备主要是指防火墙、WAF等安全产品。
图2 国内物联网资产类型分布情况
三、蜜罐发现
观点2:物联网蜜罐会影响物联网资产识别和安全治理,所以未来物联网安全中蜜罐识别具有重要意义。我们发现物联网蜜罐有三个特点,其一是开放10个上至全部端口;其二是Web类型蜜罐banner中有大量物联网设备的Server和Title指纹;其三是一些蜜罐的IP地址部署在公有云。
物联网蜜罐地理分布情况
对发现物联网蜜罐的地理分布情况进行统计,如图3。从统计数据来看,物联网蜜罐部署在中国的数量最多,其次是美国和日本。猜测可能有两个原因,一方面是近两年国内物联网蜜罐与威胁的研究关注度比较高,另一方面是国内物联网攻击事件频繁,所以物联网安全研究人员有部署倾向,这样蜜罐可以捕获更多有价值信息。
图3 物联网蜜罐部署国家分布情况
四、小结
资产识别貌似是一个“昨天”就应该解决的问题,但因为物联网产品的快速出新,以及碎片化严重,所以确切地说资产识别是进行时的问题,需要持续关注和标记投入。此外,伪装成物联网设备的蜜罐数量也不容忽视,因此报告从资产的角度描绘的物联网蜜罐的分布情况,当然我们发现的蜜罐种类也仅仅是冰山一角,如果想要系统的研究蜜罐种类,可能还需要对交互,甚至对某些蜜罐开源项目的源码进行深入分析。
