2016年10月,美國互聯(lián)網(wǎng)服務商DynamicNetworkService遭遇了大規(guī)模DDoS攻擊,造成多家美國網(wǎng)站出現(xiàn)登錄問題。有數(shù)據(jù)表明,黑客發(fā)起此次攻擊,是運用了全球上千萬件感染惡意代碼的物聯(lián)網(wǎng)智能設備,例如CCTV閉路監(jiān)控裝置、數(shù)碼攝影設備等。
堪稱災難的事件背后,物聯(lián)網(wǎng)安全問題不容小覷。盡管目前物聯(lián)網(wǎng)的安全威脅相對傳統(tǒng)互聯(lián)網(wǎng)仍然只占到很小部分,但隨著行業(yè)的高速發(fā)展,針對物聯(lián)網(wǎng)的病毒很有可能在未來幾年流行開來,原來能夠阻礙網(wǎng)絡病毒的那些屏障正在一項一項消失。不久的將來,物聯(lián)網(wǎng)或?qū)⒊蔀榫W(wǎng)絡安全事件的重災區(qū)。
物聯(lián)網(wǎng)安全問題如何解決?其實方案早就有了,我們可以借鑒傳統(tǒng)網(wǎng)絡安全的知識,并針對物聯(lián)網(wǎng)的特點做些相應的升級改造。網(wǎng)絡安全中一個重要的概念就是攻擊表面,也稱攻擊面、攻擊層面,它是指網(wǎng)絡環(huán)境中可以被未授權(quán)用戶(攻擊者)輸入或提取數(shù)據(jù)的可攻擊位置。這些攻擊表面可能是某個服務端口,也可能是某個網(wǎng)頁的輸入框、某個TCP的鏈接等。對于網(wǎng)絡安全的防守方,希望的是攻擊表面越小越好,當然最理想的情況是沒有攻擊表面。典型的例子就是物理隔離,很多國防軍工類企業(yè),使用物理隔離辦法,將內(nèi)網(wǎng)與外網(wǎng)完全隔離開來,實現(xiàn)網(wǎng)絡沒有可被攻擊的位置。當然,這種安全模式缺點也很明顯,即完全不具有任何靈活性,并造成了完全的數(shù)據(jù)孤島,這會給工作生產(chǎn)產(chǎn)生負面影響,極大降低效率。因此,攻擊表面與數(shù)據(jù)流動猶如硬幣的兩個面,縮小攻擊表面必然造成數(shù)據(jù)的流動性變差,而要增加數(shù)據(jù)的流動性則必然造成攻擊表面的擴大。所以,實現(xiàn)物聯(lián)網(wǎng)安全其實就是最大限度保障所必須的功能的前提下,盡可能縮小攻擊表面。
物聯(lián)網(wǎng)安全就是與攻擊表面的斗爭,而攻擊表面的粒度定義越細致,則在安全攻防中獲得勝利的機會越大,最理想情況是整個攻擊表面能夠正好符合所有的應用需要,沒有一個和應用無關(guān)的多余攻擊表面,通俗來講就是只給物聯(lián)網(wǎng)運行所需的權(quán)限,而不給任何多余權(quán)限,以免被黑客利用。
降低物聯(lián)網(wǎng)攻擊表面的方法很多,包括使用安全分析軟件對物聯(lián)網(wǎng)軟件的源代碼進行掃描分析,發(fā)現(xiàn)軟件中的潛在漏洞,比如SQL注入、堆棧溢出、使用不安全的庫函數(shù)、在日志中記錄了一些用戶敏感信息、使用明文存儲密匙等等。通過使用源代碼基本的安全分析掃描可以解決大部分已知安全問題,有效降低軟件的攻擊平面。同樣的通過使用用戶安全認證技術(shù),可以有效避免非授權(quán)用戶的登錄,減少物聯(lián)網(wǎng)節(jié)點的攻擊平面。在網(wǎng)絡傳輸過程中,使用加密技術(shù)是減少網(wǎng)絡攻擊平面的必然選擇,在網(wǎng)絡協(xié)議的選擇上應該使用經(jīng)過安全驗證的標準協(xié)議,盡量避免為了降低安全測試與維護成本而使用自定義的通信協(xié)議。
對于入侵者來說,要完成入侵需要以下幾個過程,也稱為入侵鏈條:
偵察:入侵者選擇目標,進行研究,并嘗試識別目標網(wǎng)絡中的漏洞。
武裝:入侵者創(chuàng)建遠程訪問惡意軟件武器,例如針對一個或多個漏洞的病毒或蠕蟲。
分發(fā):入侵者將武器發(fā)送到目標設備上(例如USB驅(qū)動器,或者接入網(wǎng)絡的僵尸設備)。
利用:對目標網(wǎng)絡掃描尋找可以利用的漏洞用于觸發(fā)惡意軟件。
安裝:惡意軟件武器安裝入侵者可以使用的接入點(例如“后門”)。
命令和控制:惡意軟件使入侵者能夠?qū)δ繕司W(wǎng)絡持續(xù)訪問與控制。
目標行動:入侵者采取行動實現(xiàn)其目標,例如控制僵尸網(wǎng)絡、數(shù)據(jù)泄露、數(shù)據(jù)銷毀或贖金加密。
而安全獵手需要在這個鏈條的每一個環(huán)節(jié)上進行搜索,以擊殺這些黑客行為,故而稱為安全獵手的擊殺鏈。在安全獵手的擊殺鏈中,最初也是最重要的一步就是如何去發(fā)現(xiàn)和檢測入侵者的行為,只有發(fā)現(xiàn)了入侵者,整個擊殺過程才能獲得成功,
我們以基于大數(shù)據(jù)的物聯(lián)網(wǎng)安全監(jiān)控系統(tǒng)實例分析如何發(fā)現(xiàn)與監(jiān)控入侵者,為最后擊殺入侵者。總的來講,由于有了基于大數(shù)據(jù)的物聯(lián)網(wǎng)安全監(jiān)控系統(tǒng),我們可以做到對入侵行為的精確監(jiān)控,并實現(xiàn)在入侵的每一個環(huán)節(jié)上有效發(fā)現(xiàn)入侵、分析入侵并實施擊殺。利用大數(shù)據(jù)的海量數(shù)據(jù),在與黑客的攻防戰(zhàn)中掌握住信息權(quán),讓黑客無處遁形,只能接受數(shù)據(jù)獵手的降維打擊。
搜浪信息科技發(fā)展(上海)有限公司 備案號:滬ICP備17005676號