广泛存在的传感智能节点本质上就是监测和控制网络上的各种设备,它们监测网络的不同内容、提供各种不同格式的事件数据来表征网络系统当前的状态。然而,这些传感智能节点又是一个外来入侵的最佳场所。从这个角度而言,物联网感知层的数据非常复杂,数据间存在着频繁的冲突与合作,具有很强的冗余性和互补性,且是海量数据。它具有很强的实时性特征,同时又是多源异构型数据。因此,相对于传统的TCP/IP网络技术而言,所有的网络监控措施、防御技术不网络安全和其他相关学科领域面前都将是一个新的课题、新的挑战。
2)被感知的信息通过无线网络平台进行传输时,信息的安全性相当脆弱。
其次,当物联网感知层主要采用RFID技术时,嵌入了RFID芯片的物品不仅能方便地被物品主人所感知,同时其他人也能进行感知。如何在感知、传输、应用过程中提供一套强大的安全体系作保障,是一个难题。
3)同样,在物联网的传输层和应用层也存在一系列的安全隐患,亟待出现相对应的、高效的安全防范策略和技术。
只是在这两层可以借鉴TCP/IP网络已有技术的地方比较多一些,与传统的网络对抗相互交叉。综上所述,物联网除了面对传统TCP/IP网络、无线网络和移动通信网络等传统网络安全问题之外,还存在着大量自身的特殊安全问题,并且这些特殊性大多来自感知层。
导语: 迈入2019年,小隐带大家一起回顾2018年Top 10大事件。
1最大的物联网迈进:微软
自2015年宣布Azure IoT Suite以来,Microsoft凭借其Azure云产品和相关的物联网平台即服务,已成为物联网领域的主要参与者。
在2018年4月,微软翻了一番,并宣布在4年内进一步投资50亿美元用于物联网技术。预计这些投资中的大部分将流入云服务,物联网 *** 作系统和分析。在2017年宣布“Azure IoT edge”和“IoT central”等服务后,微软在2018年宣布的两项杰出的物联网服务是Azure Sphere和Azure Digital Twins。Azure Sphere是Microsoft针对连接微控制器供电设备的高度安全的端到端解决方案。Azure Digital Twins是一项服务,允许开发人员构建物理资产的数字复制品 - 这是在数千台设备上扩展物联网解决方案的分析和其他元素的重要工具。
2年度消费者物联网故事:Sonos首次公开募股
物联网的2018年,另一个真正的成功故事首次亮相纳斯达克:扬声器制造商Sonos。Sonos于2018年8月1日上市,这家公司在2004年首次在CES上首次推出革命性的无线扬声器后,已有14年和45亿美元的资金Sonos是智能扬声器市场的首批进入者之一,它创造了消费者喜爱的高品质产品,并始终得到很好的评价。迄今为止,该公司已售出1900万件产品,目前全球拥有超过10亿户家庭,平均家庭目前大约购买3台Sonos产品,Sonos尚未满足全球99%以上的市场需求。
然而,Sonos上市后股价却讲述了一个不同的故事。自2018年8月首次公开募股以来,该股票已下跌约40%,因担心大型智能家居巨头可能最终停止与Sonos合作而取代智能扬声器市场自己。
2018年的另一个消费者物联网IPO,智能家居相机制造商Arlo Technologies,对公开市场的介绍更为糟糕; 自首次公开募股以来,该股票下跌约50%。
两家公司都希望避免成为另一家Fitbit--物联网 历史 上最大的失败IPO之一。自2016年年中首次公开募股以来,Fitbit股价下跌超过70%,而纳斯达克指数上涨超过30%。
3讨论最多的合作伙伴:罗克韦尔自动化 - PTC
工业自动化巨头罗克韦尔自动化于6月份宣布对物联网平台,PLM和CAD软件领导者PTC进行10亿美元的股权投资。工业物联网社区对这一消息进行了大量讨论,因为人们一直在想罗克韦尔将如何应对其主要竞争对手西门子强大的物联网平台推动。
在2018年晚些时候,罗克韦尔展示了该公司现在如何依靠PTC提供物联网平台组件,作为新推出的 “由PTC提供支持的创新套件”的一部分。两家公司都希望进一步将其软件组件构建为集成的工业数字化解决方案。
4最富有争议的市场:中国
也许从 高通 - 恩智浦合并失败中可以推断出中国掌握权力的最明显迹象之一。2016年10月,总部位于美国的芯片制造商高通宣布将以44亿美元的价格收购联想 汽车 芯片恩智浦的领导者,成为半导体行业有史以来最大的一笔交易。然而最终并未落地。原因是:中国。此次收购已在包括欧盟和韩国在内的八个司法管辖区获得批准 - 但随着2018年美中之间的全球贸易争端升温,中国监管机构并未批准该交易。
还有一些与中国物联网公司的全球纠纷。最值得注意的是,一些国家和电信公司禁止华为和中兴通讯。
与此同时,许多公司希望进一步加强与中国的关系。例如,英特尔,西门子,瑞萨和myDevices都与阿里云合作,将他们的产品带到中国并开展联合创新项目。微软还扩展了其中国云基础架构,使本地Azure区域的数量翻了一番 。中国物联网创业公司的资金也大幅增加。
5最尬之跌落神坛:通用电气
据“华尔街日报”报道,2018年7月30日,“工业互联网”的先驱通用电气公司正在寻求出售GE Digital及其IoT Platform Predix。
这一消息是在一系列负面事件的背后发生的,这些事件在过去几个月里震惊了公司。这包括数千名工人的裁员,其子公司GE Capital的财务困境,以及其股票从道琼斯工业平均指数下跌。
就在两年前,该公司宣布了雄心勃勃的计划,即到2020年成为“价值15亿美元的软件业务”,其中包括Predix单独销售的4B美元。
2018年12月,GE管理层最终决定采用不同的方法。本公司所售的现场服务管理软件ServiceMax其大部分股权,但决定给GE数字(与它Predix)一个全新独立的实体。2019年将使我们更深入地了解这个新实体的细节,以及它是否能够脱离GE过去几年收到的一些负面报道。
6最具影响力的研究报告:贝恩公司 - 解锁物联网机会
8月,贝恩公司发布了一项名为“解锁物联网中的机会” 的研究。该出版物全面概述了600多个物联网终端用户和180个物联网供应商的优先事项,观点和挑战。它还将结果与2016年的类似调查进行了比较。其中,贝恩发现:
贝恩在后续网络研讨会中提供了更多见解,其中显示,与2016年相比,特别是工业客户对物联网计划的投资回报率更加清晰,并且“质量控制”被客户和供应商标记为其关键用例之一。
7最重要的政府倡议:加州网络安全法
在几次尝试向美国参议院提交物联网网络安全法案失败后,加利福尼亚州于2018年8月底跳楼,并成为第一个通过物联网网络安全法的州。
从2020年1月1日开始,任何“直接或间接”连接到互联网的设备制造商必须为其配备“合理”的安全功能,旨在防止未经授权的访问,修改或信息泄露。
虽然许多人承认这项法律是一个姗姗来迟的第一步,但大多数专家批评它过于肤浅和模糊。例如,物联网安全公司VDOO的高级产品营销经理Ruth Artzi 写道: “对于唯一密码的法律要求是一个很好的进展,但不幸的是,这还不够。[]应以更具体的方式定义法律,因为根据设备的性质和功能,“适当的”安全程序的要求过于模糊,没有真正的机制来验证供应商是否采取了适当的措施。
8最重要的连接性计划:5G网络
5G是2018年讨论最多的技术趋势之一,因为它承诺在速度和延迟方面有所改变。2018年也是第一个5G网络开通的一年。
2018年6月标志着5G标准的初步完成,尽管预计到2019年3月甚至更晚的时候仍会进行一些功能性修订。
2018年10月,Verizon Communications成为世界上第一家在美国四个城市(洛杉矶,休斯顿,印第安纳波利斯,萨克拉门托)正式推出 5G网络的运营商。Verizon现在声称自己是“5G中的第一”,尽管它的竞争对手将其网络建立在专有的5G TF标准上,而不是官方的5G标准(由3GPP标准化)。
2018年12月,三家韩国运营商同时开通了商用5G网络。与Verizon的5G网络不同,它们的网络似乎基于3GPP标准,并且还为企业客户提供固定无线接入服务。
9最大的并购交易:IBM / Red Hat
物联网2018年看到了与物联网相关的大型交易。IBM 宣布有意收购价值34亿美元的红帽,这是有史以来最大的软件交易。该协议承诺IBM将在其竞争对手AWS,微软和谷歌一直处于领先地位的云市场中获得更好的地位。借助Red Hat,IBM现在拥有自己的容器解决方案,强大的云软件堆栈以及在混合云设置中更好地发挥作用的能力,允许跨多个云环境传输数据。IoT Analytics预计,混合和多云设置将在未来几年在物联网数据存储中发挥越来越重要的作用。
10最大的融资:View
除了上述基于物联网的终端用户应用资金增加的趋势外,第二个趋势是中国基于物联网的资金投入突然增加。总金额在1亿美元左右 - 考虑到处于早期阶段的融资企业,这一数字已经相当高了。
结语: 小隐在此也预祝您和您的团队在2019年取得成功!
最大限度的保证物联网的安全,做好以下三点:
第一,对大数据的收集持谨慎态度。之所以在前面用很多文字引用了华为和三星的战略内容,是有原因的。看华为,它有一个“集中收集、管理、处理数据后向合作伙伴、行业开放”的细节。而三星,也有一个“能够与云端连接”的细节。这些,是典型的收集大数据存储在云端的行为。这种行为,如果不加约束则危险很大。之前,三星智能电视监听事件,我们应该记忆犹新。试想,物联网之下,我们在这些硬件面前是“赤裸裸”的。所以,物联网企业应该“自律”,不要在大数据采集方面为所欲为。
第二,对大数据的转移和利用持谨慎态度。前面第一点里已经提到过一个细节:“处理数据后向合作伙伴、行业开放”。这应该是大数据在不同企业间转移、利用的过程。而大数据在转移与利用的这个过程里,也有危险。毕竟,各个厂商的安全意识、安全水平、硬件水平不一,安全隐患很大。欧洲反计算机病毒协会创始人、德国歌德塔(G
Data)安全软件公司安全顾问Eddy
Willems在接受我的采访时也曾说过,“企业不同设备之间的安全过滤措施不够”。所以,这种大数据之间的合作很让人担忧。这个问题,必须解决。
第三,严防外部危险因素的侵入。如果说前两点属于物联网企业的“内因”的话,那么第三点就是严防“外因”。目前,黑客利用商用WIFI入侵的例子已经很多,甚至连飞机都难以幸免。这就要求我们的物联网企业,必须重视安全防范问题。这些问题包括,商用WIFI的过度商业化的问题,软件的漏洞问题,智能硬件和数据库的密码问题,硬件设备的加密问题,物联网企业安全意识不强的问题,物联网用户安全意识不强的问题,还有不同物联网企业之间的终端设备兼容问题。如果这些问题不予解决,那黑客会无孔不入的。
物联网的安全威胁远未见顶,物联网应用的最终追求是万物互联,实现信息共享,并通过搭建高度自动化和智能化的系统,为人们的日常生活提供便利。随着物联网在社会生活中的普及,应用场景不断丰富,安全风险也将随之增加。
专家建议,不同的物联网参与方可根据自身特点,有针对性地部署防护措施:物联网设备提供商要保障终端安全,引入安全开发流程提升终端安全性,并在产品上市前进行安全评估;物联网平台提供商应重点关注平台安全和设备、移动端与自身的连接是否安全。因为在平台安全中,物联网终端数据大多包含隐私信息,数据安全变得尤为重要。
“无论是家庭还是企业用户,都应把安全作为一个重要的关注点。选购产品时优先考虑采用有安全网关的产品。”专家说。用户在购买智能产品后,应该尽可能修改初始口令以及弱口令,加固用户名和密码的安全性。同时,修改默认端口为不常用端口,增大端口开放协议被探测的难度,并及时升级设备固件。
针对物联网设备的安全评估,这里总结七种评估方式,从七个方面对设备进行安全评估,最终形成物联网设备的安全加固方案,提升黑客攻击物联网设备的成本,降低物联网设备的安全风险。
硬件接口
通过对多款设备的拆解发现,很多厂商在市售产品中保留了硬件调试接口。通过 JTAG接口和COM口这两个接口访问设备一般都具有系统最高权限,针对这些硬件接口的利用主要是为了获得系统固件以及内置的登陆凭证。
弱口令
目前物联网设备大多使用的是嵌入式linux系统,账户信息一般存放在/etc/passwd 或者 /etc/shadow 文件中,攻击者拿到这个文件可以通过John等工具进行系统密码破解,也可搜集常用的弱口令列表,通过机器尝试的方式获取系统相关服务的认证口令,一旦发现认证通过,则会进行恶意代码传播。弱口令的出现一般是由厂商内置或者用户不良的口令设置习惯两方面造成的。
信息泄漏
多数物联网设备厂商可能认为信息泄露不是安全问题,但是泄露的信息极大方便了攻击者对于目标的攻击。例如在对某厂商的摄像头安全测试的时候发现可以获取到设备的硬件型号、硬件版本号、软件版本号、系统类型、可登录的用户名和加密的密码以及密码生成的算法。攻击者即可通过暴力破解的方式获得明文密码。
未授权访问
攻击者可以不需要管理员授权,绕过用户认证环节,访问并控制目标系统。主要产生的原因如下:
厂商在产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理,任何人都可以最高的系统权限获得设备控制权。开发人员为了方便调试,可能会将一些特定账户的认证硬编码到代码中,出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息,即可获得设备的控制权。开发人员在最初设计的用户认证算法或实现过程中存在缺陷,例如某摄像头存在不需要权限设置session的URL路径,攻击者只需要将其中的Username字段设置为admin,然后进入登陆认证页面,发现系统不需要认证,直接为admin权限。
远程代码执行
开发人员缺乏安全编码能力,没有针对输入的参数进行严格过滤和校验,导致在调用危险函数时远程代码执行或者命令注入。例如在某摄像头安全测试的时候发现系统调用了危险函数system,同时对输入的参数没有做严格过滤,导致可以执行额外的命令。
中间人攻击
中间人攻击一般有旁路和串接两种模式,攻击者处于通讯两端的链路中间,充当数据交换角色,攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息,之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密>
云(端)攻击
近年来,物联网设备逐步实现通过云的方式进行管理,攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据,伪造数据进行重放攻击获取设备控制权。例如2015年HackPwn上公布的黑客攻击TCL智能洗衣机。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)