2016年10月,美國(guó)互聯(lián)網(wǎng)服務(wù)商DynamicNetworkService遭遇了大規(guī)模DDoS攻擊,造成多家美國(guó)網(wǎng)站出現(xiàn)登錄問題。有數(shù)據(jù)表明,黑客發(fā)起此次攻擊,是運(yùn)用了全球上千萬(wàn)件感染惡意代碼的物聯(lián)網(wǎng)智能設(shè)備,例如CCTV閉路監(jiān)控裝置、數(shù)碼攝影設(shè)備等。
堪稱災(zāi)難的事件背后,物聯(lián)網(wǎng)安全問題不容小覷。盡管目前物聯(lián)網(wǎng)的安全威脅相對(duì)傳統(tǒng)互聯(lián)網(wǎng)仍然只占到很小部分,但隨著行業(yè)的高速發(fā)展,針對(duì)物聯(lián)網(wǎng)的病毒很有可能在未來(lái)幾年流行開來(lái),原來(lái)能夠阻礙網(wǎng)絡(luò)病毒的那些屏障正在一項(xiàng)一項(xiàng)消失。不久的將來(lái),物聯(lián)網(wǎng)或?qū)⒊蔀榫W(wǎng)絡(luò)安全事件的重災(zāi)區(qū)。
物聯(lián)網(wǎng)安全問題如何解決?其實(shí)方案早就有了,我們可以借鑒傳統(tǒng)網(wǎng)絡(luò)安全的知識(shí),并針對(duì)物聯(lián)網(wǎng)的特點(diǎn)做些相應(yīng)的升級(jí)改造。網(wǎng)絡(luò)安全中一個(gè)重要的概念就是攻擊表面,也稱攻擊面、攻擊層面,它是指網(wǎng)絡(luò)環(huán)境中可以被未授權(quán)用戶(攻擊者)輸入或提取數(shù)據(jù)的可攻擊位置。這些攻擊表面可能是某個(gè)服務(wù)端口,也可能是某個(gè)網(wǎng)頁(yè)的輸入框、某個(gè)TCP的鏈接等。對(duì)于網(wǎng)絡(luò)安全的防守方,希望的是攻擊表面越小越好,當(dāng)然最理想的情況是沒有攻擊表面。典型的例子就是物理隔離,很多國(guó)防軍工類企業(yè),使用物理隔離辦法,將內(nèi)網(wǎng)與外網(wǎng)完全隔離開來(lái),實(shí)現(xiàn)網(wǎng)絡(luò)沒有可被攻擊的位置。當(dāng)然,這種安全模式缺點(diǎn)也很明顯,即完全不具有任何靈活性,并造成了完全的數(shù)據(jù)孤島,這會(huì)給工作生產(chǎn)產(chǎn)生負(fù)面影響,極大降低效率。因此,攻擊表面與數(shù)據(jù)流動(dòng)猶如硬幣的兩個(gè)面,縮小攻擊表面必然造成數(shù)據(jù)的流動(dòng)性變差,而要增加數(shù)據(jù)的流動(dòng)性則必然造成攻擊表面的擴(kuò)大。所以,實(shí)現(xiàn)物聯(lián)網(wǎng)安全其實(shí)就是最大限度保障所必須的功能的前提下,盡可能縮小攻擊表面。
物聯(lián)網(wǎng)安全就是與攻擊表面的斗爭(zhēng),而攻擊表面的粒度定義越細(xì)致,則在安全攻防中獲得勝利的機(jī)會(huì)越大,最理想情況是整個(gè)攻擊表面能夠正好符合所有的應(yīng)用需要,沒有一個(gè)和應(yīng)用無(wú)關(guān)的多余攻擊表面,通俗來(lái)講就是只給物聯(lián)網(wǎng)運(yùn)行所需的權(quán)限,而不給任何多余權(quán)限,以免被黑客利用。
降低物聯(lián)網(wǎng)攻擊表面的方法很多,包括使用安全分析軟件對(duì)物聯(lián)網(wǎng)軟件的源代碼進(jìn)行掃描分析,發(fā)現(xiàn)軟件中的潛在漏洞,比如SQL注入、堆棧溢出、使用不安全的庫(kù)函數(shù)、在日志中記錄了一些用戶敏感信息、使用明文存儲(chǔ)密匙等等。通過使用源代碼基本的安全分析掃描可以解決大部分已知安全問題,有效降低軟件的攻擊平面。同樣的通過使用用戶安全認(rèn)證技術(shù),可以有效避免非授權(quán)用戶的登錄,減少物聯(lián)網(wǎng)節(jié)點(diǎn)的攻擊平面。在網(wǎng)絡(luò)傳輸過程中,使用加密技術(shù)是減少網(wǎng)絡(luò)攻擊平面的必然選擇,在網(wǎng)絡(luò)協(xié)議的選擇上應(yīng)該使用經(jīng)過安全驗(yàn)證的標(biāo)準(zhǔn)協(xié)議,盡量避免為了降低安全測(cè)試與維護(hù)成本而使用自定義的通信協(xié)議。
對(duì)于入侵者來(lái)說(shuō),要完成入侵需要以下幾個(gè)過程,也稱為入侵鏈條:
偵察:入侵者選擇目標(biāo),進(jìn)行研究,并嘗試識(shí)別目標(biāo)網(wǎng)絡(luò)中的漏洞。
武裝:入侵者創(chuàng)建遠(yuǎn)程訪問惡意軟件武器,例如針對(duì)一個(gè)或多個(gè)漏洞的病毒或蠕蟲。
分發(fā):入侵者將武器發(fā)送到目標(biāo)設(shè)備上(例如USB驅(qū)動(dòng)器,或者接入網(wǎng)絡(luò)的僵尸設(shè)備)。
利用:對(duì)目標(biāo)網(wǎng)絡(luò)掃描尋找可以利用的漏洞用于觸發(fā)惡意軟件。
安裝:惡意軟件武器安裝入侵者可以使用的接入點(diǎn)(例如“后門”)。
命令和控制:惡意軟件使入侵者能夠?qū)δ繕?biāo)網(wǎng)絡(luò)持續(xù)訪問與控制。
目標(biāo)行動(dòng):入侵者采取行動(dòng)實(shí)現(xiàn)其目標(biāo),例如控制僵尸網(wǎng)絡(luò)、數(shù)據(jù)泄露、數(shù)據(jù)銷毀或贖金加密。
而安全獵手需要在這個(gè)鏈條的每一個(gè)環(huán)節(jié)上進(jìn)行搜索,以擊殺這些黑客行為,故而稱為安全獵手的擊殺鏈。在安全獵手的擊殺鏈中,最初也是最重要的一步就是如何去發(fā)現(xiàn)和檢測(cè)入侵者的行為,只有發(fā)現(xiàn)了入侵者,整個(gè)擊殺過程才能獲得成功,
我們以基于大數(shù)據(jù)的物聯(lián)網(wǎng)安全監(jiān)控系統(tǒng)實(shí)例分析如何發(fā)現(xiàn)與監(jiān)控入侵者,為最后擊殺入侵者。總的來(lái)講,由于有了基于大數(shù)據(jù)的物聯(lián)網(wǎng)安全監(jiān)控系統(tǒng),我們可以做到對(duì)入侵行為的精確監(jiān)控,并實(shí)現(xiàn)在入侵的每一個(gè)環(huán)節(jié)上有效發(fā)現(xiàn)入侵、分析入侵并實(shí)施擊殺。利用大數(shù)據(jù)的海量數(shù)據(jù),在與黑客的攻防戰(zhàn)中掌握住信息權(quán),讓黑客無(wú)處遁形,只能接受數(shù)據(jù)獵手的降維打擊。
搜浪信息科技發(fā)展(上海)有限公司 備案號(hào):滬ICP備17005676號(hào)