《2019物联网安全年报》发布
报告由中国电信网络与信息安全研究院&绿盟科技联合发布
随着物联网的不断发展,物联网安全也被越来越多的人所关注。近几年来,绿盟科技持续深入研究物联网资产、风险和威胁:在物联网资产测绘方面,我们更新了IPv4网络中物联网资产的实际暴露数据,此外还研究了IPv6网络中的物联网资产暴露情况;在威胁分析方面,我们分别从漏洞利用和协议利用两个角度,对捕获到的相关物联网威胁事件和威胁源进行了分析。最后,我们给出了以物联网终端为核心的物联网终端安全防护解决方案。
2019物联网安全年报重要观点
观点1: 2019年,基于物联网终端的攻击事件频发,大规模攻击不时见诸报端。由于物联网终端的更新维护非常困难,可预见相关攻击事件会长期存在。相比2018年,美日中在政策和法律法规层面对终端安全愈加重视。
观点2: 随着物联网应用的蓬勃发展、IPv4地址的耗尽,IPv6普及已成必然趋势,IPv6网络上暴露的物联网资产将成为攻击者的重点目标,所以能够对IPv6资产和服务准确的测绘,对于网络安全具有着重要的意义。但是,目前IPv6的资产测绘还是学术难题,国内外相关的研究也处于起步阶段,不过也已经有一些方法可启发式地通过IPv6地址和物联网服务的一些特性来发现IPv6物联网资产。我们找到的暴露资产以IP电话和视频监控设备为主,虽然相比于IPv4暴露的数量并不多,但相信随着IPv6的普及,必将会有大量物联网资产暴露出来,需要引起相关机构的重视。
观点3: 在绿盟威胁捕获系统中,我们共捕获到30余种对于物联网漏洞的利用行为,其中以远程命令执行类漏洞居多。虽然每年都会有数百到数千个不等的物联网漏洞被公开,但是真正能够造成大范围影响的漏洞并不多。另外我们发现,已经捕获的漏洞利用所对应目标设备以路由器和视频监控设备为主,这也与互联网上暴露的物联网设备主要为路由器和视频监控设备一致,说明攻击者偏向于对暴露数量较多的设备进行攻击,从而扩大其影响范围。
观点4: 物联网设备是Telnet弱口令爆破的重点目标,其中摄像头和路由器是重灾区。与此同时,随着虚拟货币的价格回升,攻击者更倾向于使用爆破控制的设备投向犯罪成本相对较低但收益更稳定的挖矿活动中,将他们所控制的网络资源快速变现。
观点5:2019年下半年利用WS-Discovery协议进行反射攻击的事件明显增多。我们捕获的反射攻击事件从8月中旬开始呈现上升趋势,9月份之后增长快速,需要引起安全厂商、服务提供商、运营商等相关机构足够的重视。
观点6: 全球约228万台物联网设备开放了UPnP SSDP服务(1900端口),存在被利用进行DDoS攻击的风险,设备总量较2018年减少约22%。从国家分布来看,俄罗斯的暴露数量变化最为明显,相比2018年下降了84%,因此,我们推测俄罗斯安全相关部门推动了对于UPnP的治理行为。这也在一定程度上反应出物联网威胁正在从监测走向治理。约39万台物联网设备暴露的UPnP端口映射服务存在被滥用的可能,可被用于做代理或将内网服务暴露在外网。
观点7: 安全事件频发,有严重安全问题的物联网终端隐藏着巨大的威胁。物联网终端防护能力急需建设。而物联网终端功能、结构非常简单,防护时需要注意两点:终端的信息保护和终端的异常分析。