9月10日,由工信部、科技部、江苏省政府共同主办的2017世界物联网博览会(以下简称“物博会”)暨世界物联网无锡峰会在江苏无锡隆重启幕。本届物博会专门设立“信息安全高峰论坛暨第十届信息安全漏洞分析与风险评估大会”,聚焦物联网安全,共享物联网信息安全理论方法与技术实践的最新成果,致力于提升物联网安全以及漏洞和威胁的发现、预警能力,积极探讨解决方案。
安恒信息安全研究院院长吴卓群受邀参加大会的物联网安全分会场,并发表题为《物联网设备安全:安全问题的重灾区》的主题演讲。
吴卓群提到,在未来,IoT设备将成为人类的五官,人工智能将会成为人类的大脑。今年的美国黑帽子大会上,物联网成为热议话题,物联网安全引起业界广泛关注。我们可以看到,传统安全中的每一环节都可能在IoT复现,IoT也将带来全新挑战,物理/数字边界模糊,关键基础设施风险,隐私敏感信息泄露风险,终端安全,云平台和智能应用安全,物联网功能模块间不安全的信任关系以及各个安全风险的关联和叠加,将大大增加应对物联网设备安全问题的难度,严重时可能会威胁人们的生命安全,比如攻击者攻破智能汽车系统。
物联网存在众多的攻击面,通过之前测试的一些设备分析,物联网设备的各种攻击面包括了:外部接口安全、App安全、无线设备接口安全、云端安全、芯片间通讯安全、固件安全等等,这些物联网设备中的每一道安全防线都可能成为攻击者的突破口,泄露用户隐私信息,带来安全隐患。
针对这些安全隐患,吴卓群提出了IOT安全防御思路:
在智能设备开发阶段,通过各种内部测试手段,保护客户减少漏洞数量,降低漏洞严重性;通过IOT态势感知手段辨识威胁,创建多层防御系统,降低响应时间和修补时间;从物联网行业及安全行业经验出发,结合国内外应用安全及物联网安全经验,制定包括内容、标准、评价方法、测试环境、测试方法等在内的可信评分标准力求全面、覆盖技术与管理过程中可能产生风险的细节。
演讲中,吴卓群还特别介绍了下属安恒安全研究院的海特安全实验室。海特安全实验室的英文是HatLab,寓意为“Hack AnyThing”,是安恒信息安全研究院成立的一支专注于物联网安全研究的团队,研究领域包含工业互联网安全、智能家居安全、车联网安全、智慧医疗安全等。在今年的网安中国行、西湖论剑、GeekPwn大赛等多个重大场合,海特安全实验室的研究员多次上演通过一个节点攻破整个智能家居网络、利用组合漏洞远程控制某著名智能平衡车等精彩表演,通过生动实例为大家演示了物联网安全的重要性。
演讲的最后,吴卓群提出了IT与OT工程师紧密合作的倡议:IT工程师让数字系统更安全,OT工程师让物理实体安全可靠。只有通过IT和 OT工程师的通力合作,才能使信息物理系统更安全和可靠。