物联网Internet of things(IoT)被称为继计算机、互联网之后,信息世界的“第三次浪潮。市场分析公司高德纳(Gartnert)发布的数据显示,2020年,全球联网设备数量将达260亿台,物联网市场规模将达1.9万亿美元。众多投资者、创业者在物联网赛道上擦拳磨掌,野心勃勃地要投出、创出下一个BTA。
随着物联网的迅速发展,其背后的网络安全隐患也日益引人关注。4月19日,国家计算机网络应急技术处理协调中心(简称国家互联网应急中心,英文缩写CNCERT)发布《2016年我国互联网网络安全态势综述》。报告显示,物联网智能设备或成“稳定”攻击源。
智能设备网络攻击将更频繁
报告介绍,近年来随着智能可穿戴设备、智能家居、智能路由器等终端设备和网络设备的迅速发展和普及利用,针对物联网智能设备的网络攻击事件比例呈上升趋势。攻击者利用物联网智能设备漏洞可获取设备控制权限,或用于用户信息数据窃取、网络流量劫持等其他黑客地下产业交易,或用于被控制形成大规模僵尸网络。
2016年CNVD(国家信息安全漏洞共享平台)收录物联网智能设备漏洞1117个。漏洞类型主要为权限绕过、信息泄露、命令执行等,其中弱口令(或内置默认口令)漏洞极易被利用,实际影响十分广泛,成为恶意代码攻击利用的重要风险点。
报告认为,因为物联网智能设备普遍是24小时在线,感染恶意程序后也不易被用户察觉,形成了“稳定”的攻击源。而2017年情况会更加严峻。随着无人机、自动驾驶汽车等的普及和智慧城市的发展,联网智能设备的漏洞披露数量将大幅增加,针对或利用物联网智能设备的网络攻击将更为频繁。
“互联网+”将安全威胁带入传统产业
国家互联网应急中心运行部主任严寒冰表示,我国几乎所有传统行业、传统应用与服务都在被互联网改变。互联网在给各个行业带来创新和发展的同时,也打破了传统产业封闭的模式,使其转变为开放模式,这就是为什么虚拟的网络安全事件可以转变为现实世界安全威胁的原因。
《2016年我国互联网网络安全态势综述》中表述,互联网金融、工业互联网等融合的新兴行业快速发展,但引发新的网络安全威胁也不容忽略。互联网金融整合了信息流和资金流,信息流的风险很可能引发资金流损失;工业控制系统更为智能化、网络化,开放互联带来的恶意嗅探行为增多,被恶意攻击的风险不断加大。
2016年,全球发生的多起工控领域重大事件。例如,8月卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,该攻击主要对中东和其他国家的工业企业发起定向网络入侵。
国内工控系统规模巨大,安全漏洞、恶意探测等均给我国工控系统带来一定安全隐患。工控系统主要存在缓冲区溢出、缺乏访问控制机制、弱口令、目录遍历等漏洞风险。2016年CNCERT共发现我国联网工控设备2504个,协议主要涉及S7Comm、Modbus、SNMP、EtherNetIP、Fox、FINS等,厂商主要为西门子、罗克韦尔、施耐德、欧姆龙等。
传统互联网安全与现实世界安全问题相交织引发的安全威胁更为复杂,产生的后果也更为严重。
如今,互联网日益普及,创业者想完全避开网络的影响基本不可能,在推出优质产品的同时,网络安全防范措施也需部署完备,小心提防伸向项目背后“黑手”。