【报告系列解读二】2018年度国内物联网资产暴露与变化情况分析

绿盟科技研究通讯

发布于 2019-12-11 14:38:40

5050

发布于 2019-12-11 14:38:40

2019年3月，绿盟科技、上海交通大学信息内容分析技术国家工程实验室和广州大学网络空间先进技术研究院联合发布《2018物联网安全年报》。对于报告的四个章节我们分别做了解读，本文是第二篇。

我们在《2017物联网安全年报》中，公开了物联网资产在互联网上的暴露情况。在过去的一年里，我们又进一步对物联网资产的暴露情况进行跟踪，2018年物联网安全年报第二章将着重介绍一些我们的新发现。

报告第二章通过对国内路由器、摄像头和VoIP电话的资产变化数量对比分析，发现了有相当一部分数量物联网设备的网络地址是处于频繁变化的状态中，接着初步验证了资产动态拨号入网的方式会导致这种变化的猜想，并给出了国内物联网资产的真实暴露情况，最后又简述了物联网资产变化现象可能产生的影响。

一. 资产网络地址变化情况

互联网上暴露的物联网资产数量不能体现真实的暴露资产规模，也无助于定位真实的物联网攻击源。原因是我们对比每轮扫描后，发现有相当一部分数量物联网设备处于不存活或网络地址频繁变化的状态中，所以更合理的统计口径应是在一个给定小范围时间内存活物联网资产数量，该数字更能体现相对真实的物联网设备暴露情况，也可提高类似如攻击源等物联网威胁分析的精准度。

根据不同端口及扫描时长的扫描数据，对各类型的物联网资产的变化情况进行统计分析。因资产扫描过程是先依照端口及协议创建的扫描任务，再根据扫描探测后返回的结果来识别资产的具体类型，具体的统计方法和资产扫描的相关描述如下图所示：先抽取若干个物联网资产数量较为稳定的扫描轮次，并选取最早的扫描轮次为基准数据，统计不同的时间间隔下，资产的变化情况，主要对两个轮次的网络地址和端口所对应的设备类型的没有变化资产数量、消失资产数量和新增资产数量进行统计，再通过多轮对比的统计结果描述每一种设备类型的变化情况。

图1 资产扫描及变化对比方法示意图

先抽取554端口2018年7月到9月内6个扫描轮次的摄像头资产进行对比，以7月20日这一轮的摄像头资产暴露数量为基准数据，随着间隔时间的增长，资产变化情况如下图所示。根据几轮的对比数据来看，扫描时长在7天的情况下，国内的544端口摄像头设备总量实际大概在44万左右，而大约存在40%的物联网资产的网络地址会发生变化，每轮对比中新增和消失的资产持平，总体来说变化量相对稳定，并且变化的资产并没有随着时间间隔的增长而大幅度增加。

图2 554端口摄像头资产变化情况（扫描时长7天）

从554端口的资产变化情况来看，有相当一部分的摄像头资产的网络地址发生了变化，这个变化的数量可能与扫描时长有关。从下图中4轮扫描结果对比可知，扫描时长缩短后资产的网络地址变化量从40%减少到30%，可见缩短扫描时长，可以降低资产的变化数量。

图3 554端口的摄像头资产变化情况（扫描时长3天）

二. 资产地址变化的原因分析

国内至少有40%暴露的物联网资产的网络地址处于频繁变化的状态，大部分变化的资产采用拨号的方式入网。无论是描绘暴露物联网资产，还是对威胁的跟踪，考虑资产的变化情况都有着重要的意义。另外，IPv6普及后，资产变化的现象会大大减少，但物联网资产的暴露数量可能也会剧增。

通过对物联网资产所映射网段变化分析后，我们发现，从物联网资产C段映射与网络地址的变化对比来看，物联网设备的网段映射变化要比网络地址变化稳定的多，而资产所在B网段映射几乎没发生变化。按照之前的推测，如果一个物联网设备的网络地址发生变化，其范围也不会超过运营商DHCP服务的地址空间。由于我国的网络地址较少，所以一个DHCP服务的地址空间几乎不会超过一个/16的CIDR网络。所以也验证了前述物联网资产的网络地址是在运营商所分配的网络地址空间范围内变化的推测。

图4 554端口的摄像头资产B段映射地址变化情况（扫描时长7天）

三. 日本物联网资产变化分析对比

为了近一步确定国内物联网资产变化分析的准确性，我们又对日本暴露的物联网资产进行了相同维度的分析。如下图所示，日本的554端口的摄像头资产变化并不明显，间隔3天仅有8%（中国为28%）的资产发生过变化，间隔11天变化的资产也只有不到17%（中国为36%）。从网络地址和人口总量来看，中国约有3.3亿个公网地址，日本约有2亿个，而日本的人口总量仅有1.2亿，不到中国的十分之一。所以根据中国和日本的资产变化对比结果，可以近一步得出因地址不足，网络地址复用，才出现资产地址频繁变化的现象。

图5 日本554端口摄像头资产变化情况（扫描周期1天）

四. 国内物联网资产真实暴露情况

部分的互联网上暴露的物联网资会频繁变化，所以如果采用历史暴露资产数据表示当前的实际资产数量，必然会虚高，我们认为使用国内一轮扫描的数据作为暴露数据，更能真实的描绘互联网的物联网设备暴露情况。总体来说单轮扫描资产相比累计暴露数量均有大幅的下降，这个数量差距同样也可以反映出互联网暴露的资产变化情况。累计的暴露资产数据的和某一时刻的暴露资产数据，能在不同维度上描绘暴露情况，所以使用者应根据所需场景择优选择。

图6 国内扫描一轮的物联网资产暴露情况

五. 暴露资产地址变化的影响

从物联网资产暴露概况到资产变化分析，再到变化原因分析，一步步佐证了大量暴露的物联网资产的网络地址一直处于频繁变化中的推论。资产地址频繁变化会带来哪些影响呢？一方面，在物联网设备相关的威胁分析中，如果不考虑资产的网络地址变化因素，那么部分物联网资产威胁关联出现错误，所以攻击事件的时间区间与物联网资产扫描发现的时间区间应互相吻合，或者获知资产的地址变化范围，编写合理的匹配算法，提高互联网上暴露资产威胁分析的准确程度。另一方面，全球有上百亿个设备，却只有40多亿个网络地址，中国只分到了3.3亿个公网地址，所以运营商提供动态拨号入网并使用NAT等方式，来解决网络地址不足的问题。

2018年国家已经开始大力推进IPv6的建设，这将给当前的互联网带来很大的影响。例如使用IPv6后，就不需要使用NAT机制来弥补地址量不足的问题，每台设备均有独立的网络地址，所以物联网资产的暴露数量可能会剧增，面临的整体暴露风险加大，但同时资产地址变化的频率会大大减少，为威胁跟踪降低了难度。本文只对报告中的部分小结进行解读，更详尽的关于物联网资产的描述，请查看完整版年报。

点击阅读原文，即可下载报告完整版。