物联网安全沙龙论道：如何防御身边的致命威胁

   “12月20日，360主动关闭了水滴直播平台，但是黑客会停止攻击嘛？”3月21日“第二届物联网安全沙龙”上，顶象技术安全总监邱寅峰表示，为了防止视频直播被人恶意利用，360去年12月主动关闭了在风口浪尖上的水滴直播平台。但是黑客并不会因为关闭平台而停止攻击，因为还有更多视频直播平台、更多的物联网设备可以被黑客恶意利用。“现在全球物联网的设备已经有60亿台，一旦遭遇群体性攻击事件，影响巨大”。

       潜藏在身边的致命威胁

       2017年8月，沙特阿拉伯一家炼油厂网络攻击。攻击者对Triconex安全控制器下手，意图引发爆炸级别的重大破坏。这些控制器出自施耐德电气公司，其在全球1.8万家各类工厂中运转，核电站、净水厂、炼油厂和化工厂都有使用。而就在本次网络攻击前9个月前，乌克兰电力公司因被黑客入侵导致西部地区大规模停电，直接影响了三个不同配电服务区域的最多 22.5万名客户，持续了数小时；2017年6月央视报道，大量家庭摄像头遭入侵，有人攻破摄像头的IP地址，并将拍摄到的“实时影像”出售给偷窥者；2017年，美国食品和药物管理理局（FDA）正在召回46.5万个心脏起搏器，因固件存在漏洞，容易受到黑客的攻击。

       邱寅峰表示，物联网已经普遍应用于电力、金融、石化、公共设施、建筑、医疗、运输等各行各业。统计显示，全球物联网连接设备数量在已经达到60亿台，预计2020年将达240亿台。

       物联网市场很大，发展也很迅速，安全现状却不容乐观。据人民日报报道消息称，国家互联网应急中心（CNCERT）2017年4月19日在北京发布了《2016年我国互联网网络安全态势综述》。其中国家信息安全漏洞共享平台(CNVD)公布的数据显示，2016年收到1117个物联网设备漏洞，其中网络摄像头、路由器、手机设备最多。并呈现“88766”态势，也就是：80%的设备存在隐私泄露或滥用的风险、80%的设备使用弱密码、70%的设备的网络通讯没有加密、60%设备的web界面存在漏洞、60%设备的软件更新未做加密。

       邱寅峰表示，造成这类原因主要是安全标准滞后、厂商缺乏安全意识、自研安全方案成本高、攻击成本低、传统安全问题多、攻击日益复杂多样等。“物联网设备基数大、24小时全天候在线，面临的危险更多，极易发生大规模攻击性事件。”

       危险层出不穷，企业和个人该怎么防？

       顶象技术移动安全负责人梁家辉表示，物联网都有三部分组成：云端服务器、IoT设备、手机App等。其中，云端服务器主要一旦通讯协议遭破解、机器批量爬取数据、被上传伪造数据，就可能造成业务系统被恶意利用、隐私信息泄露和数据被窃取等；而IoT设备和手机App的代码被破解、漏洞被利用、通信被监听或劫持，就会造成密钥丢失、敏感数据遭盗取、设备被恶意控制、核心业务与知识产权泄露等。

       针对以上问题，梁家辉现场演示了顶象技术的物联网安全解决方案。该方案通过固件、数据的一机一密+业务风险防控，有效防各类业务风险威胁。

       首先，在IoT设备和手机App上部署顶象虚机源码保护。它能够将源码编译生成虚拟加密指令，且每台设备均不相同。运行时使用顶象独创的虚拟CPU直接运行加密的指令，从而杜绝黑客逆向工具无法逆向破解。作为顶象技术的独家专利技术，顶象虚机源码保护无缝集成GCC/CLANG/KEIL/IAR等主流IoT开发平台或工具，能够有效抵御漏洞扫描，漏洞攻击、固件篡改等各种针对固件的攻击。其次，在IoT设备和手机App上部署顶象安全SDK。通过加密数据与设备绑定，实现数据链路保护，保证数据传输的真实、保密、不可篡改，让外界无法破解算法逻辑。

       目前，顶象技术的物联网安全解决方案，已在智能驾驶、无人机、智能家居等领域落地。第二届物联网安全沙龙的主题是“物联网安全的困局与破局之道”。来自北京物联网协会、通信研究院、北京理工大学、浙江大华、顶象技术等机构和企业的专家就物联网发展趋势、安全现状、防护实践以及区块链对物联网价值等进行了分享与讨论。