2017物联网安全年报.pdf

2017 物联网安全年报绿盟科技官方微信 2018 绿盟科技 NSFOCUS 2017 Annual IoT Cybersecurity Report特别声明为避免合作伙伴及客户数据泄露，所有数据在进行分析前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。关于绿盟科技北京神州绿盟信息安全科技股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。在国内外设有 40 多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供具有核心竞争力的安全产品及解决方案，帮助客户实现业务的安全顺畅运行。基于多年的安全攻防研究，绿盟科技在检测防御类、安全评估类、安全平台类、远程安全运维服务、安全 SaaS 服务等领域，为客户提供入侵检测 / 防护、抗拒绝服务攻击、远程安全评估以及 Web 安全防护等产品以及安全运营等专业安全服务。北京神州绿盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳证券交易所创业板上市交易，股票简称：绿盟科技，股票代码：300369 。2017 物联网安全年报绿盟科技官方微信目录 2017 物联网安全年报 1. 简介 2 2. 物联网资产的暴露情况分析 5 2.1 简介 6 2.1.1 研究方法 6 2.1.2 关键性发现 7 2.2 物联网设备的暴露情况分析 8 2.2.1 整体情况 8 2.2.2 路由器 9 2.2.3 视频监控设备 13 2.2.4 打印机 17 2.2.5 其他设备 23 2.2.6 小结 29 2.3 物联网操作系统的暴露情况分析 29 2.3.1 整体情况 30 2.3.2 OpenWrt 31 2.3.3 Raspbian 33 2.3.4 uClinux 35 2.3.5 VxWorks 37 2.3.6 Windows CE 38 2.3.7 小结 41 2.4 物联网云服务的暴露情况分析 41 2.4.1 整体情况 42 2.4.2 MQTT 43 2.4.3 AMQP44 2.4.4 其他服务 46 2.4.5 小结 46 2.5 防护思路 47 3. 物联网设备的脆弱性分析 48 3.1 物联网设备管理模型 49 3.1.1 直连模式 50 3.1.2 网关模式 50 3.1.3 云模式 51 3.2 面向物联网设备的攻击链分析 52 3.3 物联网设备常见脆弱点 53 3.3.1 硬件接口暴露 53 3.3.2 弱口令 56 3.3.3 信息泄露 57 3.3.4 未授权访问 58 3.4 小结 602017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报 4. 物联网设备的威胁风险分析 61 4.1 物联网攻防现状 63 4.1.1 物联网设备基数大 63 4.1.2 物联网攻击扩散快 64 4.1.3 攻击技术门槛低 66 4.1.4 设备厂商忽视安全 68 4.1.5 防护方案不成熟 70 4.1.6 用户缺乏安全意识 70 4.2 针对物联网设备的安全威胁 70 4.2.1 网络嗅探 70 4.2.2 远程代码执行 70 4.2.3 中间人攻击 72 4.2.4 攻破云端（移动端）控制物联网设备 75 4.3 物联网设备面临的安全风险 76 4.3.1 物联网设备用户面临的安全风险 76 4.3.2 物联网设备厂商面临的安全风险 76 4.4 物联网威胁趋势预测 77 4.4.1 物联网威胁远未见顶 77 4.4.2 物联网 DDoS 大流量攻击将是常态 77 4.4.3 物联网攻击会更加频繁 77 4.4.4 更多基于 P2P 技术的物联网僵尸网络出现 78 4.5 物联网设备的安全防护建议 79 5. 物联网安全防护体系 80 5.1 典型场景 81 5.2 安全生态 82 5.3 安全体系 83 5.3.1 感知层安全 83 5.3.2 网络层安全 83 5.3.3 平台和应用层安全 84 5.3.4 不同角色在安全生态中的位置 85 6. 结束语 86 7. 参考资料 882017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报绿盟科技官方微信 NSFOCUS 2017 Annual IoT Cybersecurity Report 2017 物联网安全年报 NSFOCUS 2017 Annual IoT Cybersecurity Report2017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报商用车的远程通信统一网关、网络恒温器等在互联网上也有一定的暴露，其可能面临远程登录无密码保护、设备停产缺乏安全维护等风险互联网上暴露的各类物联网设备中，路由器和视频监控设备的数量最多随着物联网的蓬勃发展，运行MQTT、 AMQP、 CoAP等面向物联网的通信协议的服务也暴露在互联网上，并且其暴露数量呈现上升趋势物联网威胁远未见顶，物联网DDoS大流量攻击将是常态针对物联网设备的安全威胁主要包括网络嗅探、远程代码执行、中间人攻击和通过云端（移动端）控制物联网设备物联网的碎片化、动态性特点，造成单纯的依靠安全厂商进行常规的防护已然不够，只有融合多方力量，才能真正解决物联网安全问题由于P2P的去中心化，更多基于P2P技术的物联网僵尸网络将会出现， P2P僵尸网络已出现使用攻击者私钥签名进行指令下发和软件更新的现象，可能会成为今后物联网僵尸网络的重要手段物联网设备常见脆弱点有硬件接口暴露、弱口令、信息泄露、未授权访问等，大多源自物联网设备厂商未考虑安全特性，这反映出当前物联网设备厂商大多对安全重视不足 Internet Of Things 观点2017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报绿盟科技官方微信 NSFOCUS 2017 Annual IoT Cybersecurity Report 商用车的远程通信统一网关、网络恒温器等在互联网上也有一定的暴露，其可能面临远程登录无密码保护、设备停产缺乏安全维护等风险互联网上暴露的各类物联网设备中，路由器和视频监控设备的数量最多随着物联网的蓬勃发展，运行MQTT、 AMQP、 CoAP等面向物联网的通信协议的服务也暴露在互联网上，并且其暴露数量呈现上升趋势物联网威胁远未见顶，物联网DDoS大流量攻击将是常态针对物联网设备的安全威胁主要包括网络嗅探、远程代码执行、中间人攻击和通过云端（移动端）控制物联网设备物联网的碎片化、动态性特点，造成单纯的依靠安全厂商进行常规的防护已然不够，只有融合多方力量，才能真正解决物联网安全问题由于P2P的去中心化，更多基于P2P技术的物联网僵尸网络将会出现， P2P僵尸网络已出现使用攻击者私钥签名进行指令下发和软件更新的现象，可能会成为今后物联网僵尸网络的重要手段物联网设备常见脆弱点有硬件接口暴露、弱口令、信息泄露、未授权访问等，大多源自物联网设备厂商未考虑安全特性，这反映出当前物联网设备厂商大多对安全重视不足 Internet Of Things2017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报 2 1. 简介随着传感、计算、通信和云计算等技术的成熟，物联网应用在各行业得到了越来越多的部署。在物联网终端方面，IT 咨询机构 Gartner 预测 1，自 2015 年至 2020 年，物联网终端年均复合增长率为 33%，安装基数将达到 204 亿台，其中三分之二为消费者应用。在联网的消费者和企业设备的投资为 2.9 万亿美元，年均复合增长率高达 20%，将超过非联网设备的投资。 2016 年，国家 “十三五” 规划指出：要积极推进云计算和物联网发展，推进物联网感知设施规划布局，发展物联网开环应用。这显示了国家在战略层面非常重视各类物联网基础设施的建设和应用推广。截止到 2017 年底，中国移动已有 1.45 亿物联卡用户，分布在车联网后装、共享单车、设备监控等应用领域 2 。2017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报绿盟科技官方微信 NSFOCUS 2017 Annual IoT Cybersecurity Report 3 聚焦于低功耗广覆盖（Low-Power Wide-Area ， LPWA ）的窄带物联网（Narrow Band Internet of Things，NB-IoT）在 2017 年向前迈出了巨大的一步。NB- IoT 是一种可在全球范围内广泛应用的新兴技术，具有覆盖广、连接多、成本低、功耗低等特点，适用于智慧城市、智能家居、环境监测等行业应用。 2017 年三大运营商纷纷在该领域发力：2017 年 4 月 26 日，中国移动首个 NB-IoT 智慧水表项目在江西鹰潭正式投入使用，在 2017 年底开通 346 个以上城市的 NB-IoT 网络 2；2017 年 5 月 15 日，中国联通在上海举行了 NB-IoT 网络试商用发布会；2017 年 3 月 22 日，深圳水务集团与中国电信联合发布全球首个 NB-IoT 物联网智慧水务商用项目，2017 年 5 月 17 日，中国电信宣布全球覆盖最广的商用下一代物联网 NB-IoT 网络建成，该网络基于 4G 实现物联网服务全覆盖，并可同步升级全网 31 万基站。NB-IoT 的商业化部署将进一步推动物联网应用的快速发展，2017 年 7 月 13 日，ofo 小黄车与中国电信、华为三家联合研发的基于 NB-IoT 技术的 “物联网智能锁” 应用全面启动商用。当前有多家提供服务支撑的企业都推出了自己的物联网平台 3，包括传统软件或行业信息化提供商（如 IBM）、传统制造业厂商（如三一重工、 GE ）、工业自动化厂商（如研华科技、ABB ）、大型互联网公司（如亚马逊、百度、阿里巴巴、腾讯、小米）、创业公司（如机智云），以及运营商（移动、联通、电信）。2016 年有超过 300 个物联网平台，而在 2017 年，这一数目直接翻番，已有 700 余个物联网平台出现 4 。2017 年 11 月首届小米物联网大会上，小米正式宣布米家平台已经接入全球超过 8500 万个终端，日活跃量超 1000 万，是全球最大的商用物联网平台 5。在通信支撑方面，在物联网云服务方面， SECURITY OF THE NTERNET OF THINGS 物联网安全物联网资产的暴露情况物联网设备的脆弱性物联网设备的威胁风险感知层应用层平台网络层2017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报 4 物联网应用面临严峻的安全挑战。大量物联网设备如网络摄像头、路由器等直接暴露在互联网上，容易被网络爬虫和恶意攻击者发现。更严重的是，这些设备中有相当大的比例存在弱口令、已知漏洞等风险，可能被恶意代码感染成为僵尸主机（bot）。一方面，这些被感染的设备会继续感染其他的设备，组成大规模的物联网僵尸网络（Botnet）；另一方面，它们接受并执行来自命令和控制（Command and Control，C&C，也称 C2 ）服务器的指令，发动大规模 DDoS 攻击，对互联网上的业务造成很严重的破坏和影响。如 Mirai、Hajime 、Remaiten、Persirai、IoT reaper 等。2016 年 9 月 20 日， Mirai 僵尸网络针对法国网站主机 OVH 的攻击打破了 DDoS 攻击的历史记录，其攻击流量达到 1.1Tbps，最大达到 1.5Tbps ；2016 年 10 月 21 日，美国域名服务商 Dyn 遭受大规模 DDoS 攻击，其中重要的攻击源确认来自于 Mirai 僵尸网络，造成了美国东海岸地区大面积网络瘫痪；2016 年 11 月 28 日，德国电信遭遇断网事件，调查发现攻击来自 Mirai 僵尸网络的新变种。相比于 Mirai 主要借助设备的弱口令进行传播的方式，2017 年 9 月出现的 IoT reaper 6则不再利用设备的弱口令，而是直接发现物联网设备的漏洞并进行攻击，大大提高入侵成功率。虽然到目前为止 IoT reaper 僵尸网络并未发动大范围的攻击，但其存在的威胁需引起安全研究人员的重视。攻击者攻破物联网设备并发动 DDoS 攻击可分为三个阶段：第一阶段，攻击者通过扫描发现因业务需要或配置失误被暴露在互联网上的物联网设备；第二阶段，攻击者进行渗透，发现设备存在漏洞，并攻击获得权限、执行指令；第三阶段，设备沦为僵尸主机，成为攻击者控制的僵尸网络的一部分，接受 C&C 指令发动攻击。在物联网技术和产业高速发展的同时，近几年接连出现了多个此类僵尸网络，通常而言，本文前三个章节分别分析了物联网资产的暴露情况、物联网设备的脆弱性和物联网设备的威胁风险。在第二章 “物联网资产的暴露情况分析”中，我们分别从物联网设备、物联网操作系统和物联网云服务三个维度进行分析，有助于让读者了解当前互联网上暴露的物联网资产的现状，也希望通过持续更新、发布报告的方式提高整个社会对物联网安全的关注；在第三章 “物联网设备的脆弱性分析”中，我们从物联网设备的管理模型谈起，对物联网设备的脆弱性进行了全面的分析，希望相关厂商提高安全防护意识，在设计、实现和运营阶段减少物联网设备的攻击面和漏洞；在第四章 “物联网设备的威胁风险分析”中，我们给出了物联网攻防现状和威胁趋势预测，说明物联网安全综合防护的艰巨性和急迫性。我们结合前述分析结果，在第五章提出一个包含感知层、网络层、平台和应用层的物联网安全防护体系，并分析了物联网应用中的多种角色在该防护体系中的安全需求和防护思路。最后，第六章对全文进行了总结和展望。2017 物联网安全年报绿盟科技官方微信 2017 物联网安全年报绿盟科技官方微信 NSFOCUS 2017 Annual IoT Cybersecurity Report 5 2. 物联网资产的暴露情况分析 2.1 简介 6 2.2 物联网设备的暴露情况分析