12月15日,阿里云栖大会广东分会进入了第二天的议程。在当天下午的物联网分论坛上,阿里云安全解决方案总监苏建东带来了一场关于物联网安全的分享,主要谈论了物联网中常见的安全问题及其解决方案。
常见问题
在物联网常见的3层结构中,信息一般从最前端的感知层产生,然后经过传输层,到达最上层的应用层被分析并加以应用。从这个流程分析,苏建东认为有可能发生安全隐患的地方主要包含了以下4个方面:感知层的设备端,传输层的App端、通信与协议,以及应用层的应用服务。
其中设备端最常见的安全隐患是在固件中固化存储密码或者密钥等敏感信息,或者在设备固件升级的过程中完全不加以安全性校验,从而导致设备可能被远程控制。苏建东对雷锋网表示,有高达90%的智能硬件都存在不同程度的固件升级隐患。
App端的问题通常会被忽视,但实测结果其实非常严重。扫描工具显示,在Top 10的电商App中,一共被发现了高达851个漏洞,平均每个App有85个。在国有4大银行的移动App中,每一个更是被发现了高达150个左右的漏洞。苏建东认为,在App端最严重的隐患是由于App源码可能没有被加固,从而导致黑客结合源代码逆向分析出业务流程,通过利用业务逻辑的漏洞作恶。
第三个是通信与协议安全方面。苏建东认为,在这方面最大的问题是大家没有安全意识,现在仍然有许多信息的传输还是在使用处理起来最简单快捷的明文,由于没有加密,因此很容易通过抓包等一些简单手段被监听和窃取,从而导致敏感信息的丢失甚至财物被盗。
最后一个是应用服务端的安全问题。苏建东对雷锋网表示,在云端部署的应用服务也有许多安全问题,并且有高达94%的传统Web安全漏洞也同样影响着物联网的云端Web接口。2015阿里物联网安全年报的数据显示,有55%的此类问题都来自于跨站脚本,即攻击者在看上去来源可靠的链接中嵌入恶意译码。
如何解决?
针对上述可能在物联网中出现的安全隐患,其实业界也已经出现了一些具有针对性的措施。
在设备端,比较通行的做法是采取固件升级保护,另外通过安全社区和白帽子分析的方法也非常重要。苏建东表示,现在互联网上和各家巨头公司内部其实都隐藏着大量的白帽子群体,他们对于设备的软硬件都非常熟悉,具有强烈的专注精神,善于发现和分析系统中并不容易被找到的漏洞并内部公开,然后工程师们会针对这些漏洞采取完善的补救措施。
在App端,则需要从检测、防护和监控三个方面综合入手。苏建东表示,前期代码或者SDK需要经过木马扫描和漏洞扫描来保证安全。其次在生成App时也必须要经过加固和加密,保证代码的逆向安全。最后是运行中的监控,可以通过大数据监测等方式来避免最有可能出现的恶意攻击。另外苏建东强调,一般被公布的安全漏洞必须在24小时之内修复,否则根据经验,24小时之后被攻击的概率就会显著上升。
在通信与协议安全上,苏建东表示,在物联网中传输协议会随着应用场景的变化和成本的要求等限制条件而不同,例如常见的NB-IoT和MQTT等。但不论最终采取了哪种协议,安全性也是必须要考量的要素之一,例如TLS比TCP安全,HTTPS比HTTP安全,等等。这方面还是需要提升大家的安全意识。
最后是云端的应用服务。苏建东对雷锋网表示,现在云计算服务商同时也做云安全是一个大势所趋,目前在物联网云端的安全也越来越受到重视,各大云服务公司也纷纷开始着手布局这方面,比如亚马逊AWS去年开始推出的WAF(Web Application Firewall)功能,阿里云的专有网络VPC(Virtual Private Cloud)等等,根据使用场景和需求的不同,物联网云安全方面的产品也会越来越丰富。
苏建东说:“今天我们在市面上所能看到的,买到的所有的智能硬件,在历史上都被黑客黑过。近期最严重的事情可能就是前一阵子发生的全美断网事件了,这件事就是智能设备被黑客利用导致的。其实通过这件事也敲响了一个警钟,在越来越普及的智能硬件给我们的生活带来便捷的同时,也需要从业者和用户们共同努力,为物联网的安全多尽一份力。”