<th id="iyubt"></th>
<th id="iyubt"><noframes id="iyubt">
<span id="iyubt"></span>
<span id="iyubt"><video id="iyubt"></video></span>
  • <dl id="iyubt"><ins id="iyubt"></ins></dl>

  • ?

    綠盟科技

    安全研究

    研究報告
    2018物聯網安全年報

    報告執行摘要


    隨著物聯網的不斷發展,物聯網安全也被越來越多的人所關注。我們于2016年發布《物聯網安全白皮書》,進行物聯網安全的科普介紹;并于2017年發布《2017物聯網安全年報》,關注物聯網資產在互聯網上的暴露情況、設備脆弱性以及威脅風險分析。今年,我們持續深入研究物聯網資產和威脅:在資產方面,我們關注如何更精準地刻畫暴露在互聯網上的物聯網資產分布情況;在威脅分析方面,我們將重點類別的物聯網資產關聯從互聯網上發現的異常事件,跟蹤相關的物聯網威脅,包括各類惡意攻擊和惡意家族。

          首先,我們回顧了2018年7個影響較大的物聯網安全事件。在2018年,攻擊者利用漏洞編寫惡意軟件感染大量物聯網設備、在暗網買賣攻擊服務、肆意發動破壞和勒索攻擊。這些行為顯然針對物聯網設備或由物聯網設備發動的攻擊,對國家關鍵信息基礎設施、大型企業和個人的安全構成了嚴重的威脅,物聯網總體安全形勢依然嚴峻,處置和緩解物聯網威脅任重道遠。

          我們在去年的報告中提到,互聯網上暴露的各類物聯網設備累計高達6000萬臺,這是對端口進行一年的掃描數據的統計結果。由于一年內多個掃描輪次中,物聯網設備的網絡地址可能會發生變化,通過這種統計口徑得出的數據不能反映物聯網資產某段時間的真實暴露情況。為了解物聯網資產準確的變化情況,我們對比了多個掃描輪次的數據,有如下發現:

          通過對國內路由器、攝像頭和VoIP電話的資產變化數量對比分析,發現有至少40%的物聯網資產的網絡地址處于頻繁變化的狀態中,而同時資產的網絡地址所映射的網段只有10%發生變化。我們進而對部分變化網段進行抽樣分析,發現超過90%的抽樣網段資產的網絡地址采用撥號方式入網。那么無論是描繪暴露物聯網資產,還是追溯發動惡意攻擊的設備,都不能忽視考慮物聯網資產網絡地址的變化因素。

          除了對于物聯網資產暴露情況的深入研究外,我們對將近半年的全網掃描的物聯網資產數據和綠盟威脅情報中心(NTI)的威脅情報數據、可管理服務的安全設備的日志告警信息,以及合作第三方的數據進行關聯,以統計并分析暴露在互聯網上的物聯網資產的風險和遭受威脅趨勢。

          分析近半年的物聯網資產的行為可知,在所有設備和出現過異常行為的設備中,路由器和攝像頭比例均為最高,異常設備的行為主要以DDoS攻擊、僵尸網絡通信和掃描探測為主,存在這些行為的異常物聯網設備占所有異常物聯網設備的79.36%;在所有異常物聯網設備中,開放554端口的攝像頭數量最多,此類物聯網設備的安全檢查需要得到重點關注。物聯網攻擊體現出很強的家族屬性,從蜜罐捕獲和僵尸網絡跟蹤的角度看,Mirai和Gafgyt兩大家族的物聯網惡意樣本數量最多,而從檢測到的攻擊行為角度看,物聯網僵尸主機家族的前兩名是Gafgyt和XorDDos。從全球視角觀察,不同國家的惡意物聯網設備發動的攻擊手法具有差異性,以路由器為例,美國的異常路由器的主要以漏洞利用的手段被利用,但巴西的主要以惡意挖礦為主等;聚焦國內,我們發現無論是物聯網設備的總數,還是異常物聯網設備的數量,都與區域的經濟發展水平有較強的關聯,特別是第三產業。從廠商角度觀察,2018年4月份,MikroTik路由器的漏洞披露后被利用進行惡意挖礦,我們在10月發現仍有大量MikroTik路由器在挖礦,導致MikroTik是我們在2018年觀察到設備被惡意利用最多的廠商。物聯網安全一從設計之初要考慮安全問題,二在體系建設時要在端管云都要做好防護,三在安全治理時要考慮大量存量的弱安全設備,足見其任重道遠,絕非一朝一夕可成。

    在研究物聯網暴露資產和跟蹤威脅時,我們發現大量UPnP服務暴露在互聯網上,淪為攻擊者的利用對象,成為DDoS攻擊的重要來源。我們有如下發現:

          全球有約280萬臺物聯網設備開放了UPnP SSDP服務(1900端口),存在被利用進行DDoS攻擊的風險,其中有38.6%的設備同時還開放了UPnP SOAP服務,在這些開放SOAP服務的設備中,69.8%的設備存在漏洞。由于SOAP服務缺乏鑒權機制,約41萬臺端口映射服務可訪問的物聯網設備存在被入侵的可能。在這些設備中,有8.9%的設備被發現存在惡意的端口映射條目,例如會將內網的445端口和139端口暴露在互聯網上,而開啟這兩個端口服務可能存在遭受永恒之藍、永恒之紅的攻擊的風險,平均每個受感染的設備存在282條感染記錄。我們發現兩類添加惡意端口映射的家族IntraScan和NodeDoS:IntraScan試圖將所有的內網端口都暴露在互聯網上,全球有約9千臺設備受到感染;NodeDoS存在兩種惡意行為,一是映射到8.8.8.8的53端口,推測其將設備作為DNS反射攻擊的肉雞集群,二是映射到某色情廣告平臺,進行分布式廣告點擊從中獲利,全球目前有約600臺設備受到感染。

          我們通過全球部署的蜜罐研究UPnP攻擊態勢,通過對近兩個月的數據進行分析,我們觀察到1056次SSDP反射攻擊事件,此外還捕獲到如UPnP的探測掃描、針對CVE的遠程代碼注入等惡意行為。

    縱觀2018年,物聯網安全事件頻發,原因有三:第一,物聯網設備本身風險高、易被利用,同時大量暴露在互聯網上;第二,DDoS服務、勒索和惡意挖礦易變現且其低風險受到攻擊者親睞,攻擊者可利用開源的武器庫快速組裝惡意軟件,進而掃描、滲透并控制物聯網設備;第三,物聯網的供應鏈長、碎片化嚴重,物聯網廠商不具備所需的安全能力,安全廠商無法參與整個物聯網產品的設計、實現、生產和升級環節。此外物聯網安全相關的標準、法律法規尚未完善,監管機構缺乏有效的落地方針。因而,我們建議安全廠商、物聯網廠商、物聯網服務商、網絡運營商及國家相關部門需要通力協作,從橫貫云管端安全的頂層設計,到具體產品的安全設計實現測評,從威脅預警和安全治理結合的監管體系,到產業合作創建多贏的商業模式,攜手共建物聯網安全生態環境。

    最后,我們有如下預測:

    在未來幾年中,隨著國家大力推動IPv6戰略,暴露在互聯上的物聯網資產數量可能會劇增,隨之而來的安全問題也會增多。并且物聯網安全事件不會減少,甚至會因被黑產利用而增多。

    由于互聯網上暴露的物聯網設備數量龐大,且相關漏洞層出不窮,物聯網惡意家族[1]如Gafgyt、Mirai和XorDDoS等較為活躍,且僵尸網絡呈現出服務化、集中化,基本形成托管服務(DDoSaaS、Ransomware-aaS、Cryptojacking-aaS),攻擊者只需在暗網購買服務即可完成攻擊,無需花費構建的時間等,致使威脅進一步增大。相信由此類服務發動的攻擊會頻繁見諸報端。

    由于很多網關類設備都開啟了UPnP服務,而這些設備大多是遺留設備,短期內很難通過固件升級或替換來解決相關安全問題,隨著攻擊者對于UPnP的認知逐漸加深,UPnP帶來的威脅將更加嚴重,特別是針對家庭和企業的內部網絡的攻擊。



    2018物聯網安全年報下載

    《2018物聯網安全年報》


    瀏覽次數:

    關 閉
    财运彩票app
    <th id="iyubt"></th>
    <th id="iyubt"><noframes id="iyubt">
    <span id="iyubt"></span>
    <span id="iyubt"><video id="iyubt"></video></span>
  • <dl id="iyubt"><ins id="iyubt"></ins></dl>

  • <th id="iyubt"></th>
    <th id="iyubt"><noframes id="iyubt">
    <span id="iyubt"></span>
    <span id="iyubt"><video id="iyubt"></video></span>
  • <dl id="iyubt"><ins id="iyubt"></ins></dl>