物联网端到端风险分析与解决方案.pdfVIP

物联网端到端风险分析与解决方案

演讲人：文黎力2020年4月16日

01/物联网典型安全漏洞与危害

02/如何构建物联网整体安全架构

物联网典型安全漏洞与危害

25%10%

35%

2020年,超过25%的安物联网安全预算仅占

全入侵与物联网相关安全预算的10%

115

每家企业有超过11种设备平均来自超过5家

智能终端设备制造商

ref/document/3823166?ref=solrResearchrefval=208829609qid=e436fad22152fb85539b9e18e0611d7c

IOT边缘计算崛起

边缘计算越过期望膨胀期

公司开始付诸技术实现

物联网安全高期望度

持续处在期望膨胀期

2008年2015年2016年

波兰罗兹市电车被黑客通过物联网黑客通过SkyJack技术入侵无人机系统美国东海岸断网，主要为物联网

设备入侵并发生脱轨事故并通过智能手机组建“僵尸机队”僵尸网络发起的DDOS攻击

2017年2017年2018年

智利知名智能玩具SpiralToys的云端

1.弱密码、可猜测的或硬编码的密码

在物联网应用中使用了容易被破坏的、公开可用的或不可更改的凭证，包括固件或客户端软件

中的后门

2.不安全的网络服务

物联网设备运行着冗余的或不安全的网络服务

3.不安全的接口

使用不安全的Web、后端API、云或移动接口，并允许妥协的设备或相关的组件应用

4.缺少安全更新机制

缺少安全更新能力，包括缺少在设备上固件验证，缺少安全的交付机制

5.使用不安全或过时的组件

在物联网应用中使用了过时的或不安全的软件组件/库，包括操作系统、第三方软件等

6.隐私保护不足

对用户个人信息使用不安全的、不正确或未经授权的访问机制

7.不安全的数据传输和存储

缺少对物联网系统中的任何敏感的数据的加密或访问控制机制，包括静态存储、传输或处理过

程中的数据

8.缺乏设备管理

对已部署设备缺乏安全支持，包括资产管理、更新管理、监控管理等

9.不安全的默认配置

设备默认配置不安全，或是无法通过限制操作员修改配置来提升设备的安全性

10.缺乏物理保护强化措施

缺乏物理保护强化措施，使用保护性攻击能轻易获得敏感数据，从而有助于未来远程攻击或控

物联网设备端安全漏洞

目前市场上平均一款的IoT设备包含33.96个安全漏洞

物联网设备常见的安全漏洞

•非必要网络连接

•开放的调试接口

•弱密码

•系统漏洞