物联网安全领域的“研究点”与“切入点”

物联网漏洞挖掘主要关注两个方面,一个是网络协议的漏洞挖掘,一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层,应用层大多采用云平台,属于云安全的范畴,可应用已有的云安全防护措施。

物联网安全的六个研究点

(1)物联网安全网关

物联网设备缺乏认证和授权标准,有些甚至没有相关设计,对于连接到公网的设备,这将导致可通过公网直接对其进行访问。另外,也很难保证设备的认证和授权实现没有问题,所有设备都进行完备的认证未必现实(设备的功耗等),可考虑额外加一层认证环节,只有认证通过,才能够对其进行访问。结合大数据分析提供自适应访问控制。

对于智能家居内部设备(如摄像头)的访问,可将访问视为申请,由网关记录并通知网关APP,由用户在网关APP端进行访问授权。

未来物联网网关可以发展成富应用平台,就像当下的手机一样。一是对于用户体验和交互性来说拥有本地接口和数据存储是非常有用的,二是即使与互联网的连接中断,这些应用也需要持续工作。物理网关对于嵌入式设备可以提供有用的安全保护。低功耗操作和受限的软件支持意味着频繁的固件更新代价太高甚至不可能实现。反而,网关可以主动更新软件(高级防火墙)以保护嵌入式设备免受攻击。实现这些特性需要重新思考运行在网关上的操作系统和其机制。

软件定义边界可以被用来隐藏服务器和服务器与设备的交互,从而最大化地保障安全和运行时间。

细粒度访问控制:研究基于属性的访问控制模型,使设备根据其属性按需细粒度访问内部网络的资源;

自适应访问控制:研究安全设备按需编排模型,对于设备的异常行为进行安全防护,限制恶意用户对于物联网设备的访问。

同时,安全网关还可与云端通信,实现对于设备的OTA升级,可以定期对内网设备状态进行检测,并将检测结果上传到云端进行分析等等。

但是,也应意识到安全网关的局限性,安全网关更适用于对于固定场所中外部与内部连接之间的防护,如家庭、企业等,对于一些需要移动的设备的安全,如智能手环等,或者内部使用无线通信的环境,则可能需要使用其他的方式来解决。

(2)应用层的物联网安全服务

应用层的物联网安全服务主要包含两个方面,一是大数据分析驱动的安全,二是对于已有的安全能力的集成。

由于感知层的设备性能所限,并不具备分析海量数据的能力,也不具备关联多种数据发现异常的能力,一种自然的思路是在感知层与网络层的连接处提供一个安全网关,安全网关负责采集数据,如流量数据、设备状态等等,这些数据上传到应用层,利用应用层的数据分析能力进行分析,根据分析结果,下发相应指令。

传统的Web安全中的安全能力,如URL信誉服务、IP信誉服务等等,同样可以集成到物联网环境中,可作为安全服务模块,由用户自行选择。

(3)漏洞挖掘研究

物联网漏洞挖掘主要关注两个方面,一个是网络协议的漏洞挖掘,一个是嵌入式操作系统的漏洞挖掘。分别对应网络层和感知层,应用层大多采用云平台,属于云安全的范畴,可应用已有的云安全防护措施。

在现代的汽车、工控等物联网行业,各种网络协议被广泛使用,这些网络协议带来了大量的安全问题。需要利用一些漏洞挖掘技术对物联网中的协议进行漏洞挖掘,先于攻击者发现并及时修补漏洞,有效减少来自黑客的威胁,提升系统的安全性。

物联网设备多使用嵌入式操作系统,如果这些嵌入式操作系统遭受了攻击,将会对整个设备造成很大的影响。对嵌入式操作系统的漏洞挖掘也是一个重要的物联网安全研究方向。

(4)物联网僵尸网络研究

今年最为有名的物联网僵尸网络便是Mirai了,它通过感染网络摄像头等物联网设备进行传播,可发动大规模的DDoS攻击,它对Brian Krebs个人网站和法国网络服务商OVH发动DDoS攻击,对于美国Dyn公司的攻击Mirai也贡献了部分流量。

对于物联网僵尸网络的研究包括传播机理、检测、防护和清除方法。

(5)区块链技术

区块链解决的核心问题是在信息不对称、不确定的环境下,如何建立满足经济活动赖以发生、发展的“信任”生态体系。

在物联网环境中,所有日常家居物件都能自发、自动地与其它物件、或外界世界进行互动,但是必须解决物联网设备之间的信任问题。

传统的中心化系统中,信任机制比较容易建立,存在一个可信的第三方来管理所有的设备的身份信息。但是物联网环境中设备众多,未来可能会达到百亿级别,这会对可信第三方造成很大的压力。

区块链系统网络是典型的P2P网络,具有分布式异构特征,而物联网天然具备分布式特征,网中的每一个设备都能管理自己在交互作用中的角色、行为和规则,对建立区块链系统的共识机制具有重要的支持作用。

(6)物联网设备安全设计

物联网设备制造商并没有很强的安全背景,也缺乏标准来说明一个产品是否是安全的。很多安全问题来自于不安全的设计。信息安全厂商可以做三点:一是提供安全的开发规范,进行安全开发培训,指导物联网领域的开发人员进行安全开发,提高产品的安全性;二是将安全模块内置于物联网产品中,比如工控领域对于实时性的要求很高,而且一旦部署可能很多年都不会对其进行替换,这是的安全可能更偏重于安全评估和检测,如果将安全模块融入设备的制造过程,将能显著降低安全模块的开销,对设备提供更好的安全防护;三是对出厂设备进行安全检测,及时发现设备中的漏洞并协助厂商进行修复。

物联网安全可以作为切入点的领域

(1)工控安全

针对工业控制系统的攻击将导致严重的后果。工业4.0驱动制造业、过程控制、基础设施、其他工业控制系统的连通性,对于这些系统的威胁不断上升。

(2)智能汽车安全

随着特斯拉汽车的推出,以及苹果、谷歌等互联网巨头新的智能汽车系统的成熟,车联网正在从概念变为现实,但是智能汽车一旦遭受黑客攻击,发生安全问题,可能会造成严重的交通事故,威胁人们的生命安全。

(3)智能家居安全

随着物联网技术的迅速发展,智能家居概念颇为火热,但是如果黑客能轻松的利用网络攻破一些智能家用产品的安全防线, 如:黑客侵占智能设备(恒温控制器、智能TV、摄像头),可以获取用户隐私信息,带来安全隐患。

——END——

本文来自企鹅号 - 移安全媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏VRPinea

VR开放式行业标准公布,VirtualLink让高质量VR体验变得更简单

昨日上午,由NVIDIA、Oculus、Valve、AMD和微软牵头的新的行业联盟,在加利福尼亚州圣克拉拉市宣布了VirtualLink™规范——一种开放式行业...

11920
来自专栏云市场·精选汇

这几种情况下,没有公众号的小程序将会“失效”

这个问题没有固定的答案,公众号服务于营销与信息传递,小程序围绕着产品与服务。两者之间可以有交集也可以分开。如张小龙说过,小程序更多是以服务来触发,也能做营销,在...

25680
来自专栏云计算D1net

移动云计算将带来更多的安全问题

随着移动互联网的快速发展,云计算服务开始在手机、平板电脑等移动终端上得到广泛应用,结合了移动终端设备的移动通信、位置定位、相机等功能之后,移动云计算使手机突破了...

49660
来自专栏场景录小程序

这几种情况下,没有公众号的小程序将会“失效”

这个问题没有固定的答案,公众号服务于营销与信息传递,小程序围绕着产品与服务。两者之间可以有交集也可以分开。如张小龙说过,小程序更多是以服务来触发,也能做营销,在...

15240
来自专栏人称T客

为什么微软正在成为一家「开源」公司?

微软正在成为一家开源公司。 拥有自己的BSD Unix操作系统,以支持乌班图作为Windows 10的子系统。以及最近开放源代码的Xamarin软件开发工具包。...

34150
来自专栏IT大咖说

数据库从业者必看:图数据库能否引领潮流?

内容来源:2018 年 10 月 20 日,腾讯云数据库专家产品经理邵宗文在“ODF走进名企之贝壳技术沙龙-数据库存储技术的多元应用”进行《图数据库及应用场景》...

15530
来自专栏微信小开发

作为一名8年运营者,教你如何避免小程序使用雷区

2017年最火的应用,小程序当之无愧。小程序已经渗透着生活、商务各场景。小程序轻量化、便捷式的特点大大地降低了应用开发门槛。 经过几个月的时间尝试,总结了商家开...

34070
来自专栏JAVA高级架构

蚂蚁金服11.11:支付宝和蚂蚁花呗的技术架构及实践

每年“双11”都是一场电商盛会,消费者狂欢日。今年双11的意义尤为重大,它已经发展成为全世界电商和消费者都参与进来的盛宴。而对技术人员来说,双十一无疑已经成为一...

21160
来自专栏GopherCoder

认知:关于超链接儿认知:关于超链接儿

12030
来自专栏云计算D1net

克服云安全挑战:专家五个提示

当谈及使用公共云时,安全性问题是企业IT人士的头号关注问题。使用五个专家提示,可以帮助用户确认最适合他们的安全工具与安全策略。 云计算给业界带来了许多的利好——...

34650

扫码关注云+社区

领取腾讯云代金券