物联网安全预算不足1%?
政府采购信息网 作者:陈宝亮 发布于:2016-10-25 09:32:50 来源:21世纪经济报道
投稿邮箱为:tougao@caigou2003.com,投稿时请附作品标题、作者姓名、单位、联系电话等信息,感谢您的关注与支持!一经采用,本网会根据您的文章点击情况支付相应的稿酬。
导读
大部分物联网设备在设计之初主要应用在专网、或者不联网的领域,并没有将互联网作为应用场景。比如安防摄像头,最初都是通过硬盘来存储数据,其产品特性也主要考虑编解码、清晰度等特性。但随着摄像头数量增多,越来越多设备需要远程控制能力,也因此开始连接互联网。此时,缺少安全防护的问题开始大规模暴露。
公布了源代码的物联网蠕虫Mirai,只用了不到一个月的时间就搞了个大新闻。10月21日,北美地区大量用户发现Twitter、Netflix、Paypal、GitHub等重要网站陆续无法访问,该情形持续了6个小时之久。大量媒体描述称“半个美国互联网瘫痪了”。
该事件的主要原因是为美国互联网公司提供域名解析服务的著名DNS服务提供商DYN遭遇了来自上千万个IP的DDoS攻击,主要攻击源头就是Mirai僵尸网络,该网络已经控制了数十万包括摄像头、路由器、DVR(硬盘录像机)在内的物联网设备,且数量还在高速增长之中。
DDoS是最当前普遍的网络攻击模式,受攻击的网络会出现无法访问的情形,诸如电商、社交网络等企业会因无法访问遭受巨额损失,而物联网设备让DDoS攻击的威力倍增。不久前,Mirai僵尸网络曾经通过控制14.5万个摄像头对法国服务器托管公司发起了每秒1Tb攻击流量的DDoS攻击,该流量峰值打破了历史记录。
“传统的服务器、PC等终端已经具备了成熟的防DDoS的能力,但物联网设备在这一领域的能力基本为零,极易被控制”,国内某安全部门人士告诉记者:“而且,被感染的物联网设备很难被发现,难以防范。国内的网站,也很可能会成为攻击目标。”
物联网的安全危机
从安全角度审视,绝大多数物联网设备几乎是裸露在外的。
最明显的体现是弱密码问题,多个业内人士称,“通过12345、1234、password”等简单密码,可以控制10%以上的设备。根据安天安全研究与应急处理中心发布的分析报告,包括Cisico、Sumsung、Dreambox、大华科技、中兴通讯等多个知名公司的部分设备均存在单一默认密码的问题。
而Mirai通过60多组密码组合,高效扫描互联网,源代码被公布之初就已经控制了38万个物联网设备。相对于通过僵尸主机、服务器发起的DDoS攻击而言,物联网设备几乎等同于无门槛、无成本的廉价“肉鸡”。
一位安全行业人士告诉记者:“以往的僵尸网络,最多也就控制几万个终端,跟这个没办法相比。”根据360发布的最新文章,感染Mirai的物联网终端已经超过了72万个,且保持着高速、稳定的扩张速度。
大部分物联网设备在设计之初主要应用在专网、或者不联网的领域,并没有将互联网作为应用场景。比如安防摄像头,最初都是通过硬盘来存储数据,其产品特性也主要考虑编解码、清晰度等特性。但随着摄像头数量增多,越来越多设备需要远程控制能力,也因此开始连接互联网。此时,缺少安全防护的问题开始大规模暴露。
“PC、服务器设备在设计之初就考虑到了安全防护问题,即使被控制,发现之后也可以很快处理、清除。但物联网设备,根本没有设计溯源、审计等防护能力,被感染的物联网设备,很难从僵尸网络中清除出去。”前述安全部门人士告诉记者,“‘肉鸡’还分布在全球各地,DDoS的威力在物联网上被极速放大,而且还很难出台一个应急机制来应对这个问题。这种攻击问题,可能会越来越多。”
物联网安全预算不足1%
而对整个物联网而言,安全问题的爆发才刚刚开始。
国际知名分析机构Gartner分析指出,2015年,全球联网的设备数量达到49亿台,预计2016年将增长30%,达到64亿台。其中,个人消费电子产品约40.2亿台,而行业物联网设备数量约23.7亿台。到2020年,两类设备数量将分别达到135亿台、63亿台,合计198亿台。
Gartner分析指出:“由于物联网会收集大量个人健康、工厂生产等高价值数据,企业必须重视安全问题。”目前物联网的安全问题爆发在DDoS领域,但未来必然会产生数据泄露、泄密等重大安全事件,其带来的损失远非DDoS攻击可比。
2015年,国内知名安防企业海康威视曾爆发黑天鹅事件,其产品漏洞爆发安全事件,导致部分设备被境外IP控制。江苏省公安厅曾为此发文要求全省各级公安机关对海康威视设备进行全面清查,开展安全加固。
而在本次美国网络瘫痪事件中,国外安全分析网站Krebs on Security指出被感染的DVR、摄像头设备则主要来自杭州雄迈信息技术有限公司、浙江大华技术股份有限公司两家中国企业,前者为大部分摄像头企业提供摄像模组,而后者面向全球提供视频存储、前端、显示控制和智能交通等系列化产品。
“很多物联网公司已经开始尝试寻求安全方案”,一位国产芯片公司人士告诉记者:“摄像头现在是安全问题的重点领域,一些公司开始尝试增加安全芯片的方式来进行硬件加密。”当然,也有部分公司更关心“硬件加密究竟会提高多少成本”。
2015年,为解决物联网安全问题而产生的安全费用不足行业年度预算的1%。Gartner预测,这一比例到2020年需要提高到20%。
前述安全人士指出:“现在,物联网的安全涉及到前端设备、传输链路、后端管理平台和数据协议,设备种类繁多,通信协议各异,很难通过一种解决方案来解决物联网的安全问题。现在标准存在很多缺失,有关部门正在筹备这些事。”
本网拥有此文版权,若需转载或复制,请注明来源于政府采购信息网,标注作者,并保持文章的完整性。否则,将追究法律责任。
上一篇:物联网将改变信息生产方式和生产者
下一篇:物联网奇妙应用让生活更便捷
网友评论
- 国家卫星气象中心风云二号02批卫星及风云三号01批卫星网络与盘阵软硬件维保服务项目中标公告
- 市财政局计算机信息中心市县网络扩容项目更正公告
- 福建诚信招标有限公司关于福建省晋江职业中专学校财会专业税务应用软件采购及服务项目的补充公告
- 海南源和招标代理有限公司关于进口超高档全数字化彩色多普勒超声诊断系统一套和新生儿监护仪设备采购(项目编号:HNYH2016C-12-029 )推迟开标公示
- 毕节市七星关区教育局“班班通”多媒体教学设备、中小学计算机教室台式电脑及相关配套设备采购项目澄清公告
- 江西汇众招标咨询有限公司关于江西省武警二支队四中队新营区信息化建设采购项目(招标编号:JXHZ2016-G082)公开招标的延期公告
- 吉林市第一中学购置计算机公开招标项目更正公告
- 东辽县公安局高清视频会议系统采购项目
- 衡水市和平路小学数字视频安防监控系统采购项目公开招标公告
- 广西建澜工程招标有限公司办公用品及信息化建设项目采购项目(GXJLNG2016H172)招标公告