全球和國內(nèi)物聯(lián)網(wǎng)相關設備暴露情況
2. 全球數(shù)以億計的商務打印機�,僅有不足2%真正安全����。
綠盟科技在年報中指出,打印機的安全問題應該受到用戶和廠商的重視���。從全球分布來看���,打印機設備主要暴露在美國�,總量超過了34萬,占比38%��。很多暴露的某品牌打印機的HTTP服務沒有啟用認證機制����,遠程用戶不需登錄即可進入打印機管理界面����。管理員可在管理界面中設置登陸密碼���,可見打印機管理員的安全意識亟待提高�����。
事實上�,只有不到44%的IT經(jīng)理人把打印機列入了安全戰(zhàn)略����,與此同時,也僅有不到50%的使用者會使用打印機的“管理密碼”功能�。也正是因為這樣,全球數(shù)以億計的商務打印機中只有不到2%的打印機是真正安全的����。
3. 商用車的遠程通信統(tǒng)一網(wǎng)關、網(wǎng)絡恒溫器等在互聯(lián)網(wǎng)上也有一定的暴露�,其可能面臨遠程登錄無密碼保護、設備停產(chǎn)缺乏安全維護等風險。
在對暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)資產(chǎn)進行分析的過程中�����,綠盟科技發(fā)現(xiàn)一些數(shù)量相對較少的物聯(lián)網(wǎng)設備暴露在了互聯(lián)網(wǎng)上����,如商用車的遠程通信統(tǒng)一網(wǎng)關、網(wǎng)絡恒溫器等����。這些設備的暴露,預示著隨著物聯(lián)網(wǎng)基礎設施建成和新型物聯(lián)網(wǎng)應用豐富�,安全問題越來越多的在互聯(lián)網(wǎng)上暴露出來。
4. 一些常見的物聯(lián)網(wǎng)操作系統(tǒng)在互聯(lián)網(wǎng)上有不同程度的暴露�����。
物聯(lián)網(wǎng)操作系統(tǒng)暴露情況
5. 越來越多的物聯(lián)網(wǎng)云服務會暴露在互聯(lián)網(wǎng)上���。
隨著物聯(lián)網(wǎng)的蓬勃發(fā)展��,物聯(lián)網(wǎng)應用層協(xié)議也得到廣泛應用����。除了HTTP�、FTP、SSH等通用服務外����,運行MQTT、AMQP��、CoAP等面向物聯(lián)網(wǎng)的通信協(xié)議的服務也暴露在互聯(lián)網(wǎng)上��。這些物聯(lián)網(wǎng)云服務必然會暴露在互聯(lián)網(wǎng)上���,原因有二:其一����,很多家庭內(nèi)部的物聯(lián)網(wǎng)設備部署在網(wǎng)關后面�����,無法直接對外提供服務�����,為了實現(xiàn)用戶在外網(wǎng)對設備的控制���,需要設備與云端建立長連接���;其二����,物聯(lián)網(wǎng)設備大多數(shù)會工作在低功耗場景中或睡眠模式�。只有需要傳輸數(shù)據(jù)時,才重新喚醒來重新建立連接以傳輸數(shù)據(jù)���。所以云端服務必須時刻保持開啟狀態(tài)����,以保證設備可以隨時連接����。
半年時間內(nèi),MQTT服務的暴露數(shù)量增長超過50%�����。這說明�����,伴隨著物聯(lián)網(wǎng)的廣泛應用,暴露在互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)云服務的數(shù)量會持續(xù)增加���。攻擊者也會把目光從傳統(tǒng)的Web服務和郵件服務等傳統(tǒng)服務轉(zhuǎn)向這些新興的物聯(lián)網(wǎng)服務。例如��,在明文傳輸?shù)奈锫?lián)網(wǎng)應用中���,攻擊者容易將流量劫持后利用信息進行欺騙����,或進行中間人攻擊����;此外,攻擊者也可能覬覦物聯(lián)網(wǎng)云服務所存儲數(shù)據(jù)背后的價值��,所以物聯(lián)網(wǎng)云服務的安全性需要引起物聯(lián)網(wǎng)解決方案提供商和云服務商的重視�。
物聯(lián)網(wǎng)云服務暴露情況
多角度給出物聯(lián)網(wǎng)安全建議
結(jié)合前述分析,綠盟科技分別從用戶��、物聯(lián)網(wǎng)廠商和信息安全廠商角度給出一些物聯(lián)網(wǎng)安全的建議����。
首先����,用戶在購買物聯(lián)網(wǎng)產(chǎn)品后��,應該:
(1)修改初始口令以及弱口令���,加固用戶名和密碼的安全性���;
(2)關閉不用的端口,如FTP(21端口)�、SSH(22端口)、Telnet(23端口)等���;
(3)修改默認端口為不常用端口��,增大端口開放協(xié)議被探測的難度���;
(4)升級設備固件;
(5)部署廠商提供的安全解決方案
其次���,物聯(lián)網(wǎng)廠商在設計�����、實現(xiàn)和運營物聯(lián)網(wǎng)應用時����,應該:
(1)對于設備的首次使用可強制用戶修改初始密碼,并且對用戶密碼的復雜性進行檢測����;
(2)提供設備固件的自動在線升級方式�����,降低暴露在互聯(lián)網(wǎng)的設備的安全風險���;
(3)默認配置應遵循最小開放端口的原則�����,減少端口暴露在互聯(lián)網(wǎng)的可能性��;
(4)設置訪問控制規(guī)則��,嚴格控制從互聯(lián)網(wǎng)發(fā)起的訪問�;
(5)與安全廠商合作���,在設備層和網(wǎng)絡層進行加固���。
最后�����,信息安全廠商在推廣物聯(lián)網(wǎng)安全防護方案時���,應該:
(1)優(yōu)先關注暴露數(shù)量較多的物聯(lián)網(wǎng)資產(chǎn)的脆弱性分析;
(2)為物聯(lián)網(wǎng)廠商提供設備出廠前的測評服務�,將設備可能存在的風險盡可能降低;
(3)關注物聯(lián)網(wǎng)設備的安全防護�����,推出既滿足正常用戶的訪問���,同時又可抵抗惡意攻擊的安全產(chǎn)品及解決方案�;
(4)加大物聯(lián)網(wǎng)安全宣傳的力度���,提高公眾的信息安全意識�。
