物联网终端安全测试及咨询

物联网终端安全测试及咨询

0

DplsLab_北京云测设备有限公司

DPLS Lab是独立第三方安全评估实验室,专家级团队服务于密码系统、密码产品、芯片、物联网终端、车联网和智慧城市产品,我们有完整的物联网终端安全测试方案、提供全面技术安全检测服务,出具ICA联盟认可的检测报告。

越来越多的物联网及互联网OT设备向以IP为主的IT世界转型,IoT的增长速度远超过网络安全产品的迭代速度。据统计,2020年,全球将有270亿终端,其中100亿­­­活跃于企业网络。而企业网络安全产品仍然以防火墙、入侵检测、杀毒软件“老三样”为主,物联网IoT安全产品寥寥无几。

然而,和其它的很多行业一样,在物联网迅速发展的同时,安全问题也伴随而生。目前物联网终端面临的安全形势不容乐观,安全事件层出不穷,而且一次比一次规模大,影响深远。那么物联网终端到底面临着哪些安全风险,又有哪些安全解决方案呢

物联网终端通常需要五个功能模块:

  1. 硬件模块
  2. 固件系统模块
  3. 应用模块
  4. 数据模块
  5. 通信接入模块

1. 物联网终端安全风险分析

物联网终端面临的安全风险,主要分为如下三大类,即:硬件风险、软件风险以及数据风险。

1.1 硬件风险

硬件风险指的是由于物联网终端硬件攻击面导致的被攻击的风险,即,硬件层面上可能被攻击的薄弱环节所导致的风险,具体包括:硬件设计缺陷、硬件接口未做保护,说明如下:

硬件设计缺陷

由于硬件设计上安全考虑不足,可能导致攻击者长驱直入。比如:如果设备没有防拆功能,攻击者可以拆开设备,并利用工具读取敏感信息;如果硬件没有电磁信号屏蔽机制,攻击者则可能通过侧信道攻击获取密钥。因此硬件安全缺陷,会给物联网终端设备造成极大的安全隐患。

硬件接口未做保护

通常为了便于终端维护,设备生产厂商会预留相应的硬件或者软件调试接口,以便于进行运维过程中单中的本地调试或者远程调试。而如果这些接口没有有效控制和管理的话,可能构成极大隐患。

1.2 软件风险

软件风险是物联网终端面临的第二大类风险,这类风险是由于物联网终端软件攻击面所导致的,具体包括软件漏洞、缺乏安全有效的更新机制、薄弱的身份认证和授权机制,说明如下:

软件漏洞

物联网设备通常采用通用、开源的操作系统,或直接调用并未做任何安全检测的第三方组件,给物联网智能终端带来了极大的安全风险。比如:“Heartbleed”漏洞就是由于开源的OpenSSL1.0.1版本存在缺陷导致的。

缺乏安全有效的更新机制

任何软件的安全漏洞都是无法彻底避免的,物联网终端软件也是一样,因此需要一种快捷、安全地软件更新机制。当然,即使有了软件更新机制,如果软件升级过程中没有完整性和合法性校验,升级过程可能被恶意攻击和利用,这无疑给物联网终端安全带来更大的隐患。

薄弱的身份认证和授权机制

现在的物联网终端身份认证和授权不足是普遍的问题,大量智能终端还在使用弱密码,或者使用缺省登录帐号和密码,设置一些设备没有设置缺省密码,登录不需要任何认证,黑客很容易就可以获取到这类设备的控制权。

2016年美国大规模断网事件,就是由于大量采用弱密码的摄像头被黑客攻击利用,并进而发动DDOS攻击所导致的。

1.3 数据风险

数据风险是物联网终端面临的第三类风险,这类风险是由于物联网终端保存或传输的数据被攻击所导致的,具体包括不安全的通信机制、缺少本地敏感数据保护机制,说明如下:

不安全的通信机制

目前很多的物联网智能终端在通信过程中,只采用了简单加密方式,甚至直接明文传输,这无疑给攻击者窃取、篡改、伪造数据打开方便之门。

缺少本地敏感数据保护机制

除了需要在网络上传输的数据面临风险外,物联网终端本地保存的数据如果缺少保护,也会面临着风险,这种敏感数据,最典型的就是密钥、账户信息、配置信息等,这些数据是终端和管理平台进行安全通信的安全基础,一旦泄漏,则终端身份则可以很容易被伪造、控制,造成极其惨重的后果。

物联网终端面临硬件、软件以及数据方面的安全风险,针对以上的各种安全风险,需要采用针对性的解决方案,才可以对其进行有效的防范。