2018物联网安全年报
2019-03-04
报告执行摘要
随着物联网的不断发展,物联网安全也被越来越多的人所关注。我们于2016年发布《物联网安全白皮书》,进行物联网安全的科普介绍;并于2017年发布《2017物联网安全年报》,关注物联网资产在互联网上的暴露情况、设备脆弱性以及威胁风险分析。今年,我们持续深入研究物联网资产和威胁:在资产方面,我们关注如何更精准地刻画暴露在互联网上的物联网资产分布情况;在威胁分析方面,我们将重点类别的物联网资产关联从互联网上发现的异常事件,跟踪相关的物联网威胁,包括各类恶意攻击和恶意家族。
首先,我们回顾了2018年7个影响较大的物联网安全事件。在2018年,攻击者利用漏洞编写恶意软件感染大量物联网设备、在暗网买卖攻击服务、肆意发动破坏和勒索攻击。这些行为显然针对物联网设备或由物联网设备发动的攻击,对国家关键信息基础设施、大型企业和个人的安全构成了严重的威胁,物联网总体安全形势依然严峻,处置和缓解物联网威胁任重道远。
我们在去年的报告中提到,互联网上暴露的各类物联网设备累计高达6000万台,这是对端口进行一年的扫描数据的统计结果。由于一年内多个扫描轮次中,物联网设备的网络地址可能会发生变化,通过这种统计口径得出的数据不能反映物联网资产某段时间的真实暴露情况。为了解物联网资产准确的变化情况,我们对比了多个扫描轮次的数据,有如下发现:
通过对国内路由器、摄像头和VoIP电话的资产变化数量对比分析,发现有至少40%的物联网资产的网络地址处于频繁变化的状态中,而同时资产的网络地址所映射的网段只有10%发生变化。我们进而对部分变化网段进行抽样分析,发现超过90%的抽样网段资产的网络地址采用拨号方式入网。那么无论是描绘暴露物联网资产,还是追溯发动恶意攻击的设备,都不能忽视考虑物联网资产网络地址的变化因素。
除了对于物联网资产暴露情况的深入研究外,我们对将近半年的全网扫描的物联网资产数据和bbin宝盈集团威胁情报中心(NTI)的威胁情报数据、可管理服务的安全设备的日志告警信息,以及合作第三方的数据进行关联,以统计并分析暴露在互联网上的物联网资产的风险和遭受威胁趋势。
分析近半年的物联网资产的行为可知,在所有设备和出现过异常行为的设备中,路由器和摄像头比例均为最高,异常设备的行为主要以DDoS攻击、僵尸网络通信和扫描探测为主,存在这些行为的异常物联网设备占所有异常物联网设备的79.36%;在所有异常物联网设备中,开放554端口的摄像头数量最多,此类物联网设备的安全检查需要得到重点关注。物联网攻击体现出很强的家族属性,从蜜罐捕获和僵尸网络跟踪的角度看,Mirai和Gafgyt两大家族的物联网恶意样本数量最多,而从检测到的攻击行为角度看,物联网僵尸主机家族的前两名是Gafgyt和XorDDos。从全球视角观察,不同国家的恶意物联网设备发动的攻击手法具有差异性,以路由器为例,美国的异常路由器的主要以漏洞利用的手段被利用,但巴西的主要以恶意挖矿为主等;聚焦国内,我们发现无论是物联网设备的总数,还是异常物联网设备的数量,都与区域的经济发展水平有较强的关联,特别是第三产业。从厂商角度观察,2018年4月份,MikroTik路由器的漏洞披露后被利用进行恶意挖矿,我们在10月发现仍有大量MikroTik路由器在挖矿,导致MikroTik是我们在2018年观察到设备被恶意利用最多的厂商。物联网安全一从设计之初要考虑安全问题,二在体系建设时要在端管云都要做好防护,三在安全治理时要考虑大量存量的弱安全设备,足见其任重道远,绝非一朝一夕可成。
最后,我们有如下预测:
在未来几年中,随着国家大力推动IPv6战略,暴露在互联上的物联网资产数量可能会剧增,随之而来的安全问题也会增多。并且物联网安全事件不会减少,甚至会因被黑产利用而增多。
由于互联网上暴露的物联网设备数量庞大,且相关漏洞层出不穷,物联网恶意家族[1]如Gafgyt、Mirai和XorDDoS等较为活跃,且僵尸网络呈现出服务化、集中化,基本形成托管服务(DDoSaaS、Ransomware-aaS、Cryptojacking-aaS),攻击者只需在暗网购买服务即可完成攻击,无需花费构建的时间等,致使威胁进一步增大。相信由此类服务发动的攻击会频繁见诸报端。
由于很多网关类设备都开启了UPnP服务,而这些设备大多是遗留设备,短期内很难通过固件升级或替换来解决相关安全问题,随着攻击者对于UPnP的认知逐渐加深,UPnP带来的威胁将更加严重,特别是针对家庭和企业的内部网络的攻击。
2018物联网安全年报下载