物聯網安全沙龍論道：如何防御身邊的致命威脅

   “12月20日，360主動關閉了水滴直播平臺，但是黑客會停止攻擊嘛？”3月21日“第二屆物聯網安全沙龍”上，頂象技術安全總監邱寅峰表示，為了防止視頻直播被人惡意利用，360去年12月主動關閉了在風口浪尖上的水滴直播平臺。但是黑客并不會因為關閉平臺而停止攻擊，因為還有更多視頻直播平臺、更多的物聯網設備可以被黑客惡意利用?！艾F在全球物聯網的設備已經有60億臺，一旦遭遇群體性攻擊事件，影響巨大”。

       潛藏在身邊的致命威脅

       2017年8月，沙特阿拉伯一家煉油廠網絡攻擊。攻擊者對Triconex安全控制器下手，意圖引發爆炸級別的重大破壞。這些控制器出自施耐德電氣公司，其在全球1.8萬家各類工廠中運轉，核電站、凈水廠、煉油廠和化工廠都有使用。而就在本次網絡攻擊前9個月前，烏克蘭電力公司因被黑客入侵導致西部地區大規模停電，直接影響了三個不同配電服務區域的最多 22.5萬名客戶，持續了數小時；2017年6月央視報道，大量家庭攝像頭遭入侵，有人攻破攝像頭的IP地址，并將拍攝到的“實時影像”出售給偷窺者；2017年，美國食品和藥物管理理局（FDA）正在召回46.5萬個心臟起搏器，因固件存在漏洞，容易受到黑客的攻擊。

       邱寅峰表示，物聯網已經普遍應用于電力、金融、石化、公共設施、建筑、醫療、運輸等各行各業。統計顯示，全球物聯網連接設備數量在已經達到60億臺，預計2020年將達240億臺。

       物聯網市場很大，發展也很迅速，安全現狀卻不容樂觀。據人民日報報道消息稱，國家互聯網應急中心（CNCERT）2017年4月19日在北京發布了《2016年我國互聯網網絡安全態勢綜述》。其中國家信息安全漏洞共享平臺(CNVD)公布的數據顯示，2016年收到1117個物聯網設備漏洞，其中網絡攝像頭、路由器、手機設備最多。并呈現“88766”態勢，也就是：80%的設備存在隱私泄露或濫用的風險、80%的設備使用弱密碼、70%的設備的網絡通訊沒有加密、60%設備的web界面存在漏洞、60%設備的軟件更新未做加密。

       邱寅峰表示，造成這類原因主要是安全標準滯后、廠商缺乏安全意識、自研安全方案成本高、攻擊成本低、傳統安全問題多、攻擊日益復雜多樣等?！拔锫摼W設備基數大、24小時全天候在線，面臨的危險更多，極易發生大規模攻擊性事件?！?/p>

       危險層出不窮，企業和個人該怎么防？

       頂象技術移動安全負責人梁家輝表示，物聯網都有三部分組成：云端服務器、IoT設備、手機App等。其中，云端服務器主要一旦通訊協議遭破解、機器批量爬取數據、被上傳偽造數據，就可能造成業務系統被惡意利用、隱私信息泄露和數據被竊取等；而IoT設備和手機App的代碼被破解、漏洞被利用、通信被監聽或劫持，就會造成密鑰丟失、敏感數據遭盜取、設備被惡意控制、核心業務與知識產權泄露等。

       針對以上問題，梁家輝現場演示了頂象技術的物聯網安全解決方案。該方案通過固件、數據的一機一密+業務風險防控，有效防各類業務風險威脅。

       首先，在IoT設備和手機App上部署頂象虛機源碼保護。它能夠將源碼編譯生成虛擬加密指令，且每臺設備均不相同。運行時使用頂象獨創的虛擬CPU直接運行加密的指令，從而杜絕黑客逆向工具無法逆向破解。作為頂象技術的獨家專利技術，頂象虛機源碼保護無縫集成GCC/CLANG/KEIL/IAR等主流IoT開發平臺或工具，能夠有效抵御漏洞掃描，漏洞攻擊、固件篡改等各種針對固件的攻擊。其次，在IoT設備和手機App上部署頂象安全SDK。通過加密數據與設備綁定，實現數據鏈路保護，保證數據傳輸的真實、保密、不可篡改，讓外界無法破解算法邏輯。

       目前，頂象技術的物聯網安全解決方案，已在智能駕駛、無人機、智能家居等領域落地。第二屆物聯網安全沙龍的主題是“物聯網安全的困局與破局之道”。來自北京物聯網協會、通信研究院、北京理工大學、浙江大華、頂象技術等機構和企業的專家就物聯網發展趨勢、安全現狀、防護實踐以及區塊鏈對物聯網價值等進行了分享與討論。