查看原文
其他

2017 物联网安全研究报告

物联网安全 绿盟科技研究通讯 2021-03-12

中国电信安全帮携手绿盟科技联合发布《2017 物联网安全研究报告》,旨在进一步加强物联网安全建设,向社会提供有关物联网安全状况的权威数据。

在“互联网 +”时代,物联网发展迅猛,正加速渗透到生产、消费和社会管理等各领域, 物联网设备规模呈现爆发性增长趋势,万物互联时代正在到来。

物联网是继计算机、互联网之后的又一新的信息科学技术,目前,世界主要国家已将物 联网作为抢占新一轮经济科技发展制高点的重大战略,我国也将物联网作为战略性新兴产业, 在 2016 年国家“十三五”规划指出:要积极推进物联网发展,推进物联网感知设施规划布局, 发展物联网开环应用,加快物联网基础设施建设和应用推广已经上升到了国家战略层面。

然而在物联网迅猛发展的同时,物联网安全成了产业痛点。为进一步加强物联网安全建设,向社会提供有关物联网安全状况的权威数据,中国电信安全帮携手北京神州绿盟信息安全科技股份有限公司(以下简称“绿盟科技”)联合发布《2017 物联网安全研究报告》。

报告主要包括 4 部分:物联网安全风险分析,物联网安全现状分析,物联网安全防护体系和物联网安全发展展望。

1物联网安全风险分析

采用分层架构思想,将物联网的层次结构自下而上划分为四层,即感知层、网络层、平台层、应用层,由底而上地分析物联网安全风险,提出各层安全需求,并对物联网典型行业应用(车联网、智能家居、智能监控、智能物流、智能穿戴、智慧医疗、智慧能源和智能路灯)的安全风险进行分析。

2物联网安全现状分析

针对物联网安全状况进行分析,包括物联网资产暴露情况分析、2017 十大物联网安全事件分析、2017 十大物联网恶意软件分析,揭示物联网安全防护的必要性和紧迫性。

物联网资产暴露情况分析部分对全球及中国的物联网资产暴露情况进行分析,通过发布类似的报告,希望来提高整个社会对物联网威胁的防范意识,也希望相关各界能提供相应的安全加固和防护机制,避免攻击者有机可乘。从下图可以看出,互联网上暴露的各类物联网设备中,路由器和视频监控设备暴露的数量最多。

全球和国内物联网相关设备暴露情况

2017 十大物联网安全事件

1) 路由器高危漏洞致德国百万用户断网

2) 蓝牙协议漏洞攻击影响数十亿蓝牙设备

3) CopyCat病毒感染全球1400多万台Android设备

4) BroadPwn漏洞影响使用Broadcom Wi-Fi芯片的数百万台Android设备

5) 亚马逊AWS S3致50多万台汽车跟踪设备的登录凭证泄露

6) Stackoverflowin黑客入侵15万台打印机

7) 智能泰迪熊玩具泄露200多万条亲子聊天记录

8) 美国一大学5000余台loT设备遭受DDoS攻击

9) “橙风单车”投用次日遭黑客攻击,5000台车被迫停工

10) 新型恶意软件Cutlet Maker暗网售价5000美元

2017 十大物联网恶意软件

Mirai、BrickerBot、Persirai、Hajime、http81、Stantinko、WireX、Rowdy、Linux.ProxyM、IOTroop。


3物联网安全防护体系

针对物联网安全问题,提升物联网安全总体防护水平,给出物联网安全体系架构及解决方案。

从物联网的威胁和挑战来看,物联网时代安全风险无处不在,大到系统平台,小到传感器,任何一处风险都有可能使威胁扩散到整个网络与核心系统。

由于物联网所对应的传感网的数量和终端物体的规模是单个传感网所无法相比,物联网所联接的终端设备或器件的处理能力将有很大差异。加上物联网所处理的数据量将比现在的互联网和移动网都大得多,已有的对传感网、互联网、移动网、安全多方计算、云计算等的一些安全解决方案在物联网环境中可以部分使用,但另外部分可能不再适用。

即使分别保证了感知层、网络层、平台层和应用层的安全,也不能保证物联网的安全。这是因为物联网是融合几个层次于一体的大系统,许多安全问题来源于系统整合;物联网的数据共享对安全性提出了更高的要求;物联网的应用对安全提出了新要求,比如隐私保护不是单一层次的安全需求,但却是物联网应用系统不可或缺的安全需求。

鉴于以上原因,对物联网的发展需要重新规划并制定可持续发展的安全架构,使物联网在发展和应用过程中,其安全防护措施能够不断完善。

物联网的安全架构

4物联网安全发展展望

从物联网安全产业发展趋势、物联网安全新技术探索两个方面对物联网安全发展进行展望,同时给出了物联网安全建设的发展建议。

万物互联的物联网时代正在“扑面而来”,全球最具权威的IT研究与顾问咨询公司Gartner称,2017年全球物联网设备数量将达到84亿——比2016年的64亿增长31%,首次超过全球人口数量(75亿)。预测到2020年全球物联网设备将达到204亿。IHS预测全球物联网设备的安装基数在2025年,这一数字更将达到754亿。

物联网安全将成为万亿规模市场下的蓝海“潜力股”。面对如此规模的“市场蛋糕”,吸引了产业链上下游大批市场玩家的“驻足”。既有传统的IT基础设施厂商(防火墙、VPN等供应商)、互联网安全公司(更多从软件上提供安全防护、病毒查杀等)、也有专门瞄准物联网安全的新兴的创业公司。另外还有一类是产业链上下游厂商在基于原有产品服务基础上,提供安全保护增值服务,如在芯片上增加高级安全设计。

但是,物联网安全是一个贯穿全产业链环节的系统工程,仅从硬件或者软件又或者网络传输单一层面进行检测、管理与安全防护,都很难从根本上杜绝安全隐患,尤其是涉及到国计民生等重大物联网项目,闭环安全生态的需求变得更为迫切,执行从底层芯片、软件系统、数据采集、数据存储、数据分析、网络传输到上层应用的全生态链安全变得非常关键。

在物联网安全产业繁荣发展的同时,加快新技术新应用的研发,以满足不断发展的安全需求,可行的研究方向主要包括去中心化认证、边缘计算、终端安全轻量化防护技术和软件定义边界。

最后,报告给出了物联网安全建设发展建议:

1) 加强政府对物联网的合规性要求

2) 加强物联网安全标准建设

3) 做好物联网建设的全生命周期安全防护

4) 普及物联网安全防护观念


本报告在编写过程中参考了大量资料,吸取了多方的宝贵意见和建议,在此深表感谢。

报告的编写和发布得到相关单位的大力支持,我们在此表示衷心的感谢!欢迎广大读者批评、 指正。

查看报告详细内容请点击文末阅读原文。

内容编辑:物联网安全实验室  张星   责任编辑:肖晴

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技创新中心。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技创新中心并附上本文链接。

关于我们


绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

长按上方二维码,即可关注我们

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存