360王阳东:IOT设备需全方位安全保护,每一处细节都不容忽视

原创
网络
在物联网安全防御方面,没有什么一劳永逸的通用方法能够解决所有安全问题,面对如此广的使用场景和如此专业的功能细分,安全防御只能及时跟进行业发展做及时的调整以适应变化,每一个新增的功能都是一个新的领域,都需要得到足够的关注。

【51CTO.com原创稿件】2017年12月01日-02日,由51CTO主办的WOTD全球软件开发技术峰会将在深圳中州万豪酒店隆重举行。本次峰会以软件开发为主题,数十位专家级嘉宾将带来多场精彩的技术内容分享。届时,360信息安全部云安全团队负责人王阳东将在物联网(IOT)技术专场与来宾分享"IoT设备安全漫谈"主题演讲,为大家详细阐述在物联网时代,如何提升IoT设备的安全防护水平。51CTO诚邀您莅临大会,与我们共享技术带来的喜悦。

  揭幕智能硬件的安全特殊性

[[207692]]

  王阳东是360信息安全部高级安全研究员,同时也是360 GearTeam的负责人,对于物联网时代下智能硬件的安全有很深的理解。他告诉记者,智能硬件产品的功能复杂,种类繁多,攻击手段与目的也各不相同。他举例道,有针对智能摄像机的暴力破解攻击进行数据窃取、僵尸网络病毒种植的,也有入侵路由器后劫持dns服务器等进行网络劫持的,还有攻击智能门锁,绕过用户授权进行开门的……“目前所熟知的攻击中量级比较大的主要还是入侵智能设备组件DDoS网络,实现大规模DDoS攻击。”

  王阳东分析到,智能硬件之所以遭到这么多的安全攻击,其本质愿意在于它还是一个新兴的市场领域,和传统安全相比,在软件层面的安全底蕴没有传统PC安全那么雄厚,很容易在恶意用户的攻击尝试下被攻破。而且智能硬件的厂商比较分散,标准不统一,很难在不同厂家不同类型的设备间使用较通用的安全解决方案,这也增加了智能硬件安全加固的难度;另外由于智能硬件多数采用低功耗和无线通信方案,在有些场景下无法实现比较强的无线加密通信,导致无线通信内容容易被第三方破解。

  他强调,智能硬件使用中的每一个环节的安全问题都不容忽视,在不同的场景中他们的重要性都不同,例如汽车胎压检测等车辆传感器、心脏起搏器等医疗设备上的传感器,当这些传感器受到攻击从而产生错误数据时,在某些场景下可能会直接危及生命,也正因如此,想要做好防御就必须面面俱到,因为每一个环境的问题都可能致命。

  当记者问及物联网安全现状该如何缓解时,王阳东坦言,由于目前的IoT产业还比较初级,很多比较低端的安全问题仍然没有得到彻底的解决,比如命令注入、认证绕过等传统安全已经很少见的漏洞类型仍然屡次出现在某些厂商的设备中。他表示,对于设备厂商来说,提高安全防御水平应该先从这些低端的安全问题做起,首先要保证通信内容的机密性,采用较强的混合加密算法对用户数据进行加密,其次要验证官方服务器身份的有效性,确认通信服务器没有被恶意劫持,还有减少本地监听的网络服务数量,减少攻击面。

  360为IOT安全做了哪些工作?

  一直以来,360作为一家专注安全的互联网公司,拥有比传统安全厂商更多的互联网安全经验,更能紧跟安全行业发展的态势进行调整适应;并且由于安全的背景,360的IoT产品在安全方面投入的经历远大于其他IoT产品厂商,得益于360众多的IoT产品类型与使用场景,360比其他智能硬件厂商拥有更多使用场景的安全经验及更广的安全视野。

  据了解,在物联网安全领域,360在日常安全审计的基础之上,通过360SRC发起了360 IoT安全守护计划,联合业界广大白帽安全研究员一同发现问题,解决问题,发现自身安全缺陷并积极改正;在解决自身IoT产品安全问题的同时,360也在积极帮助其他厂商发现问题并及时告知,协助提出解决方案;在未知漏洞防御领域,360也在探索如何实现一套高效率的漏洞缓解方案来减少未知漏洞攻击的危害。另外,360还将利用已有的安全经验及时发现广大用户日常使用场景中已经存在的安全问题并及时将问题通知给用户。

  在采访最后,王阳东告诉记者,随着移动互联网的普及壮大及智能技术的发展,未来生活中人们对智能设备的依赖将会越来越重,小到智能家居,智能穿戴,智能汽车,大到智慧城市,智能电厂等基础设施,领域不同使得智能设备的功能定位将更加细化专业,面临的攻击威胁也会千差万别,在安全防御方面,没有什么一劳永逸的通用方法能够解决所有安全问题,面对如此广的使用场景和如此专业的功能细分,安全防御只能及时跟进行业发展做及时的调整以适应变化,每一个新增的功能都是一个新的领域,都需要得到足够的关注。

  使用优惠码[2017WOTDSZ],和我一起去WOTD全球软件开发技术峰会。8折优惠,仅剩48小时!

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

责任编辑:周雪 来源: 51CTO
相关推荐

2015-10-14 11:29:17

数据中心细节

2009-03-24 10:13:00

VoIPIP通讯保护

2018-04-08 16:00:34

私有云虚拟化网络架构

2010-12-22 08:59:14

超算

2013-08-26 10:23:47

2010-06-21 17:46:53

2011-08-15 13:13:26

2013-07-09 16:39:24

2011-05-13 14:12:00

2009-09-10 08:43:34

虚拟化部署安全问题

2016-07-21 10:25:54

2021-08-28 14:26:33

供应商安全网络安全商业软件

2013-03-22 10:31:59

2016-12-02 13:16:59

2015-10-08 09:41:51

2011-07-29 12:25:36

2011-07-26 15:01:09

2013-01-04 14:35:27

Windows Ser

2013-01-04 14:55:10

Windows Ser微软云平台

2022-04-17 14:59:43

云成本FinOps云成本优化
点赞
收藏

51CTO技术栈公众号