论文部分内容阅读
12月22日,第一届“物联网安全沙龙”在杭州召开。来自浙江省物联网产业协会、中国移动、顶象技术、莹石网络、鸿泉数字等机构和企业的专家、学者等近百人就物联网安全现状及物联网安全案例进行了探讨。会上,顶象技术展示了全场景IoT安全解决方案。
物联网威胁层出不穷
2016年10月,半个北美洲的网站服务断线,而黑客发动攻击的“僵尸网络”攻击的大部分是防护薄弱的网络摄像头。国内同样也发生了类似威胁。2017年上半年,北京、浙江多地爆出家用摄像头风险,导致摄像头成为黑客远程监控家庭的设备。物联网安全受到威胁,损失的可能不仅仅是公民信息资料,更有可能伤害到生命健康或者生产设备。浙江省物联网产业协会秘书长纪卫平表示:“随着全联接时代的到来,物联网已经广泛应用在各行各业,也产生了诸多新的问题和安全威胁,因此建设完善可信的物联网安全生态系统对物联网企业和用户都是十分必要的举措。”顶象技术CEO陈树华表示:“物联网任何一个环节出问题都会造成大面积的影响,可以说物联网的威胁会超出大家的想象”。
2014年,GeekPwn上,安全人员第一次破解了特斯拉汽车的系统。此后,特斯拉成为很多安全研究人员的挖掘漏洞、入侵破解的重要对象。特斯拉是纯电动汽车并且有网络连接,可以通过网络对汽车进行控制,而且特斯拉本身也非常依赖电子控制系统。2016年1月,IBM安全专家远程遥控两公里内的无人机起飞降落,攻击者只需要多掌握一点无线电通信的基础知识就能够完成劫持操作。2016年10月,黑客操控150万个智能设备组成的僵尸网络爆发,导致半个北美洲的网站服务断线。2016年12月,澳大利亚的一位安全专家利用日产电动车的车载应用软件存在的漏洞,实现远程对汽车下达开车、刹车、调节座椅、调节温度等指令。2017年6月,央视报道,大量家庭摄像头遭入侵,有人攻破摄像头的IP地址,并将拍摄到的“实时影像”出售给偷窥者。2017年11月,阿里巴巴安全研究人员做了远程劫持无人机的演示,一个专业人员无需软件漏洞就能Root(获得管理员权限)无人机。
2017年11月,媒体爆出,韩国某品牌的智能扫地机器人存在安全漏洞,黑客可以远程操控其在用户家中自由行动,从而变成监控家庭人员和行动的监视器。2017年11月,大疆无人机爆出管理漏洞,攻击者可以从GitHub获得大疆管理员密码,从而可以任意下载用户信息、飞行日志等私密信息等。
顶象全景式IoT安全解决方案
如何实现物联网产品的便利性和安全性是每个物联网企业和用户所关心的。在首届“物联网安全沙龙”现场,顶象技术展示了全场景IoT安全解决方案。该方案在端服务器、移动端和设备端进行防护,通过固件一机一密、数据一机一密、业务风险防控的三重组合提供了全场景的物联网安全保障。
虚机源码保护保障设备固件安全。在设备固件端部署顶象IoT安全编译器,将源码编译生成虚拟加密指令,而且每台设备均不相同。首先,使用顶象独创的虚拟CPU直接运行加密的指令,由于完全不同于常见的x86或ARM指令,从而杜绝了逆向工具破解的可能。其次,在原始代码块中则随机插入垃圾指令或随机插入新的代码块,制造虚假的程序控制流,混淆入侵者的选择。
另外,在保证不改变源代码功能的前提下,将源代码中的条件(IF)、循环(WHILE/FOR/ DO)等控制语句转化为调度器统一调用,从而隐藏原始执行流程。顶象IoT安全编译器兼容各种处理器和操作系统,能够无缝集成GCC/CLANG/KEIL/IAR等主流IoT开发平台,不改变任何现有开发流程。
安全SDK保障物联网数据安全。在移动端和服务器端部署顶象安全SDK,保障数据和传输的安全。首先,设备固件中不再内置统一密钥,而是通过身份认证后从KeyCenter获取。其次,加密数据与设备绑定,实现一机一密的超高安全性,无法脱机解密。再有,密钥加解密过程运行于安全环境中,因此外界无法逆向破解算法逻辑。最后,结合设备认证的数据链路保护,保证数据传输的保密、不可篡改。
顶象安全SDK的數据加密支持普通AES、白盒AES、SHA1哈希、SHA256哈希、PC4、XXTEA、MD5哈希、国密SM3、国密SM4等算法的加密、解密、加签、验签等国内外主流加密算法。
IoT业务风险防控及时发现攻击者。在服务器端部署顶象IoT业务风险防控技术,及时发现非法访问和攻击。顶象IoT业务风险防控能够有效识别设备上报的非正常数据和App发起的恶意指令,拒绝攻击者对服务器端数据的扒取,从而有效防护对业务系统的访问。
陈树华表示:“物联网具有设备多样性、操作系统多样性、业务形态多性等特点,而且产生了巨量的数据,顶象全场景IoT安全解决方案良好解决了物联网威胁多样性和大数据安全的两大难题”。
万亿级物联网市场亟待护航
统计显示,全球物联网连接设备数量在2015年约为100亿台,预计2020年将达300亿台。
麦肯锡全球研究院最新预测,到2025年物联网的经济影响价值将达3.9万亿美元至11.1万亿美元。而埃森哲联合Frontier Economics,预估了物联网对中国12个产业的累计GDP影响:未来15年,仅在制造业,物联网就可创造1960亿美元的累计GDP增长,进一步扩大物联网的影响,物联网创造的经济价值将从1960亿美元跃升至7360亿美元,增加276%。
关于顶象技术
顶象技术是互联网业务安全的专家,致力于打造零风险的数字世界,成立于2017年4月,红杉资本中国基金成员企业。顶象技术拥有领先的风控技术和智能终端安全技术,其首创的“共享安全”理念已成为新一代安全产品的标准架构。
通过全景式业务安全风控体系、无感验证、虚机源码保护、安全SDK等方案和产品,赋予电商、金融、IoT、航空、游戏、社交等企业提供BAT级的业务安全能力,让平台和用户免受“薅羊毛”、交易欺诈、账号盗用、内容被窃取、系统和App遭破解等风险威胁。
截至目前,顶象技术累计拦截恶意请求和攻击过亿次,监测到风险设备超百万,有效识别95%以上的威胁,为饿了么、Momenta、亿联位置、泰隆银行、千寻位置、迅蚁网络等近千家企业和网络平台提供业务安全保障。
物联网威胁层出不穷
2016年10月,半个北美洲的网站服务断线,而黑客发动攻击的“僵尸网络”攻击的大部分是防护薄弱的网络摄像头。国内同样也发生了类似威胁。2017年上半年,北京、浙江多地爆出家用摄像头风险,导致摄像头成为黑客远程监控家庭的设备。物联网安全受到威胁,损失的可能不仅仅是公民信息资料,更有可能伤害到生命健康或者生产设备。浙江省物联网产业协会秘书长纪卫平表示:“随着全联接时代的到来,物联网已经广泛应用在各行各业,也产生了诸多新的问题和安全威胁,因此建设完善可信的物联网安全生态系统对物联网企业和用户都是十分必要的举措。”顶象技术CEO陈树华表示:“物联网任何一个环节出问题都会造成大面积的影响,可以说物联网的威胁会超出大家的想象”。
2014年,GeekPwn上,安全人员第一次破解了特斯拉汽车的系统。此后,特斯拉成为很多安全研究人员的挖掘漏洞、入侵破解的重要对象。特斯拉是纯电动汽车并且有网络连接,可以通过网络对汽车进行控制,而且特斯拉本身也非常依赖电子控制系统。2016年1月,IBM安全专家远程遥控两公里内的无人机起飞降落,攻击者只需要多掌握一点无线电通信的基础知识就能够完成劫持操作。2016年10月,黑客操控150万个智能设备组成的僵尸网络爆发,导致半个北美洲的网站服务断线。2016年12月,澳大利亚的一位安全专家利用日产电动车的车载应用软件存在的漏洞,实现远程对汽车下达开车、刹车、调节座椅、调节温度等指令。2017年6月,央视报道,大量家庭摄像头遭入侵,有人攻破摄像头的IP地址,并将拍摄到的“实时影像”出售给偷窥者。2017年11月,阿里巴巴安全研究人员做了远程劫持无人机的演示,一个专业人员无需软件漏洞就能Root(获得管理员权限)无人机。
2017年11月,媒体爆出,韩国某品牌的智能扫地机器人存在安全漏洞,黑客可以远程操控其在用户家中自由行动,从而变成监控家庭人员和行动的监视器。2017年11月,大疆无人机爆出管理漏洞,攻击者可以从GitHub获得大疆管理员密码,从而可以任意下载用户信息、飞行日志等私密信息等。
顶象全景式IoT安全解决方案
如何实现物联网产品的便利性和安全性是每个物联网企业和用户所关心的。在首届“物联网安全沙龙”现场,顶象技术展示了全场景IoT安全解决方案。该方案在端服务器、移动端和设备端进行防护,通过固件一机一密、数据一机一密、业务风险防控的三重组合提供了全场景的物联网安全保障。
虚机源码保护保障设备固件安全。在设备固件端部署顶象IoT安全编译器,将源码编译生成虚拟加密指令,而且每台设备均不相同。首先,使用顶象独创的虚拟CPU直接运行加密的指令,由于完全不同于常见的x86或ARM指令,从而杜绝了逆向工具破解的可能。其次,在原始代码块中则随机插入垃圾指令或随机插入新的代码块,制造虚假的程序控制流,混淆入侵者的选择。
另外,在保证不改变源代码功能的前提下,将源代码中的条件(IF)、循环(WHILE/FOR/ DO)等控制语句转化为调度器统一调用,从而隐藏原始执行流程。顶象IoT安全编译器兼容各种处理器和操作系统,能够无缝集成GCC/CLANG/KEIL/IAR等主流IoT开发平台,不改变任何现有开发流程。
安全SDK保障物联网数据安全。在移动端和服务器端部署顶象安全SDK,保障数据和传输的安全。首先,设备固件中不再内置统一密钥,而是通过身份认证后从KeyCenter获取。其次,加密数据与设备绑定,实现一机一密的超高安全性,无法脱机解密。再有,密钥加解密过程运行于安全环境中,因此外界无法逆向破解算法逻辑。最后,结合设备认证的数据链路保护,保证数据传输的保密、不可篡改。
顶象安全SDK的數据加密支持普通AES、白盒AES、SHA1哈希、SHA256哈希、PC4、XXTEA、MD5哈希、国密SM3、国密SM4等算法的加密、解密、加签、验签等国内外主流加密算法。
IoT业务风险防控及时发现攻击者。在服务器端部署顶象IoT业务风险防控技术,及时发现非法访问和攻击。顶象IoT业务风险防控能够有效识别设备上报的非正常数据和App发起的恶意指令,拒绝攻击者对服务器端数据的扒取,从而有效防护对业务系统的访问。
陈树华表示:“物联网具有设备多样性、操作系统多样性、业务形态多性等特点,而且产生了巨量的数据,顶象全场景IoT安全解决方案良好解决了物联网威胁多样性和大数据安全的两大难题”。
万亿级物联网市场亟待护航
统计显示,全球物联网连接设备数量在2015年约为100亿台,预计2020年将达300亿台。
麦肯锡全球研究院最新预测,到2025年物联网的经济影响价值将达3.9万亿美元至11.1万亿美元。而埃森哲联合Frontier Economics,预估了物联网对中国12个产业的累计GDP影响:未来15年,仅在制造业,物联网就可创造1960亿美元的累计GDP增长,进一步扩大物联网的影响,物联网创造的经济价值将从1960亿美元跃升至7360亿美元,增加276%。
关于顶象技术
顶象技术是互联网业务安全的专家,致力于打造零风险的数字世界,成立于2017年4月,红杉资本中国基金成员企业。顶象技术拥有领先的风控技术和智能终端安全技术,其首创的“共享安全”理念已成为新一代安全产品的标准架构。
通过全景式业务安全风控体系、无感验证、虚机源码保护、安全SDK等方案和产品,赋予电商、金融、IoT、航空、游戏、社交等企业提供BAT级的业务安全能力,让平台和用户免受“薅羊毛”、交易欺诈、账号盗用、内容被窃取、系统和App遭破解等风险威胁。
截至目前,顶象技术累计拦截恶意请求和攻击过亿次,监测到风险设备超百万,有效识别95%以上的威胁,为饿了么、Momenta、亿联位置、泰隆银行、千寻位置、迅蚁网络等近千家企业和网络平台提供业务安全保障。