全球和國(guó)內(nèi)物聯(lián)網(wǎng)相關(guān)設(shè)備暴露情況
2. 全球數(shù)以?xún)|計(jì)的商務(wù)打印機(jī)����,僅有不足2%真正安全��。
綠盟科技在年報(bào)中指出���,打印機(jī)的安全問(wèn)題應(yīng)該受到用戶(hù)和廠商的重視���。從全球分布來(lái)看,打印機(jī)設(shè)備主要暴露在美國(guó)���,總量超過(guò)了34萬(wàn)�,占比38%���。很多暴露的某品牌打印機(jī)的HTTP服務(wù)沒(méi)有啟用認(rèn)證機(jī)制�����,遠(yuǎn)程用戶(hù)不需登錄即可進(jìn)入打印機(jī)管理界面�。管理員可在管理界面中設(shè)置登陸密碼�����,可見(jiàn)打印機(jī)管理員的安全意識(shí)亟待提高��。
事實(shí)上����,只有不到44%的IT經(jīng)理人把打印機(jī)列入了安全戰(zhàn)略��,與此同時(shí)����,也僅有不到50%的使用者會(huì)使用打印機(jī)的“管理密碼”功能�。也正是因?yàn)檫@樣,全球數(shù)以?xún)|計(jì)的商務(wù)打印機(jī)中只有不到2%的打印機(jī)是真正安全的���。
3. 商用車(chē)的遠(yuǎn)程通信統(tǒng)一網(wǎng)關(guān)�、網(wǎng)絡(luò)恒溫器等在互聯(lián)網(wǎng)上也有一定的暴露���,其可能面臨遠(yuǎn)程登錄無(wú)密碼保護(hù)���、設(shè)備停產(chǎn)缺乏安全維護(hù)等風(fēng)險(xiǎn)。
在對(duì)暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)資產(chǎn)進(jìn)行分析的過(guò)程中����,綠盟科技發(fā)現(xiàn)一些數(shù)量相對(duì)較少的物聯(lián)網(wǎng)設(shè)備暴露在了互聯(lián)網(wǎng)上,如商用車(chē)的遠(yuǎn)程通信統(tǒng)一網(wǎng)關(guān)�����、網(wǎng)絡(luò)恒溫器等����。這些設(shè)備的暴露,預(yù)示著隨著物聯(lián)網(wǎng)基礎(chǔ)設(shè)施建成和新型物聯(lián)網(wǎng)應(yīng)用豐富�����,安全問(wèn)題越來(lái)越多的在互聯(lián)網(wǎng)上暴露出來(lái)�。
4. 一些常見(jiàn)的物聯(lián)網(wǎng)操作系統(tǒng)在互聯(lián)網(wǎng)上有不同程度的暴露。
物聯(lián)網(wǎng)操作系統(tǒng)暴露情況
5. 越來(lái)越多的物聯(lián)網(wǎng)云服務(wù)會(huì)暴露在互聯(lián)網(wǎng)上����。
隨著物聯(lián)網(wǎng)的蓬勃發(fā)展,物聯(lián)網(wǎng)應(yīng)用層協(xié)議也得到廣泛應(yīng)用�。除了HTTP、FTP�、SSH等通用服務(wù)外,運(yùn)行MQTT����、AMQP、CoAP等面向物聯(lián)網(wǎng)的通信協(xié)議的服務(wù)也暴露在互聯(lián)網(wǎng)上����。這些物聯(lián)網(wǎng)云服務(wù)必然會(huì)暴露在互聯(lián)網(wǎng)上,原因有二:其一�,很多家庭內(nèi)部的物聯(lián)網(wǎng)設(shè)備部署在網(wǎng)關(guān)后面��,無(wú)法直接對(duì)外提供服務(wù)����,為了實(shí)現(xiàn)用戶(hù)在外網(wǎng)對(duì)設(shè)備的控制�,需要設(shè)備與云端建立長(zhǎng)連接;其二�����,物聯(lián)網(wǎng)設(shè)備大多數(shù)會(huì)工作在低功耗場(chǎng)景中或睡眠模式�����。只有需要傳輸數(shù)據(jù)時(shí)�����,才重新喚醒來(lái)重新建立連接以傳輸數(shù)據(jù)��。所以云端服務(wù)必須時(shí)刻保持開(kāi)啟狀態(tài)��,以保證設(shè)備可以隨時(shí)連接��。
半年時(shí)間內(nèi)���,MQTT服務(wù)的暴露數(shù)量增長(zhǎng)超過(guò)50%���。這說(shuō)明,伴隨著物聯(lián)網(wǎng)的廣泛應(yīng)用����,暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)云服務(wù)的數(shù)量會(huì)持續(xù)增加。攻擊者也會(huì)把目光從傳統(tǒng)的Web服務(wù)和郵件服務(wù)等傳統(tǒng)服務(wù)轉(zhuǎn)向這些新興的物聯(lián)網(wǎng)服務(wù)��。例如����,在明文傳輸?shù)奈锫?lián)網(wǎng)應(yīng)用中,攻擊者容易將流量劫持后利用信息進(jìn)行欺騙�����,或進(jìn)行中間人攻擊���;此外�����,攻擊者也可能覬覦物聯(lián)網(wǎng)云服務(wù)所存儲(chǔ)數(shù)據(jù)背后的價(jià)值����,所以物聯(lián)網(wǎng)云服務(wù)的安全性需要引起物聯(lián)網(wǎng)解決方案提供商和云服務(wù)商的重視。
物聯(lián)網(wǎng)云服務(wù)暴露情況
多角度給出物聯(lián)網(wǎng)安全建議
結(jié)合前述分析���,綠盟科技分別從用戶(hù)�����、物聯(lián)網(wǎng)廠商和信息安全廠商角度給出一些物聯(lián)網(wǎng)安全的建議���。
首先,用戶(hù)在購(gòu)買(mǎi)物聯(lián)網(wǎng)產(chǎn)品后�,應(yīng)該:
(1)修改初始口令以及弱口令,加固用戶(hù)名和密碼的安全性��;
(2)關(guān)閉不用的端口��,如FTP(21端口)���、SSH(22端口)����、Telnet(23端口)等;
(3)修改默認(rèn)端口為不常用端口�,增大端口開(kāi)放協(xié)議被探測(cè)的難度;
(4)升級(jí)設(shè)備固件����;
(5)部署廠商提供的安全解決方案
其次���,物聯(lián)網(wǎng)廠商在設(shè)計(jì)�、實(shí)現(xiàn)和運(yùn)營(yíng)物聯(lián)網(wǎng)應(yīng)用時(shí)��,應(yīng)該:
(1)對(duì)于設(shè)備的首次使用可強(qiáng)制用戶(hù)修改初始密碼�����,并且對(duì)用戶(hù)密碼的復(fù)雜性進(jìn)行檢測(cè)���;
(2)提供設(shè)備固件的自動(dòng)在線升級(jí)方式�����,降低暴露在互聯(lián)網(wǎng)的設(shè)備的安全風(fēng)險(xiǎn)�����;
(3)默認(rèn)配置應(yīng)遵循最小開(kāi)放端口的原則����,減少端口暴露在互聯(lián)網(wǎng)的可能性;
(4)設(shè)置訪問(wèn)控制規(guī)則����,嚴(yán)格控制從互聯(lián)網(wǎng)發(fā)起的訪問(wèn);
(5)與安全廠商合作�,在設(shè)備層和網(wǎng)絡(luò)層進(jìn)行加固。
最后����,信息安全廠商在推廣物聯(lián)網(wǎng)安全防護(hù)方案時(shí),應(yīng)該:
(1)優(yōu)先關(guān)注暴露數(shù)量較多的物聯(lián)網(wǎng)資產(chǎn)的脆弱性分析��;
(2)為物聯(lián)網(wǎng)廠商提供設(shè)備出廠前的測(cè)評(píng)服務(wù)��,將設(shè)備可能存在的風(fēng)險(xiǎn)盡可能降低��;
(3)關(guān)注物聯(lián)網(wǎng)設(shè)備的安全防護(hù)�,推出既滿(mǎn)足正常用戶(hù)的訪問(wèn),同時(shí)又可抵抗惡意攻擊的安全產(chǎn)品及解決方案���;
(4)加大物聯(lián)網(wǎng)安全宣傳的力度��,提高公眾的信息安全意識(shí)�。
