近日，匡恩網絡物聯網安全院士工作站成立，為物聯網安全防護再添一力。多年來，網絡安全防護和網絡攻擊一直處于“道”與“魔”博弈中，物聯網安全亦是如此。

隨著智能處理技術的發展，物聯網設備已逐步應用到許多行業領域。多采用嵌入式操作系統的物聯網設備存在眾多漏洞，很容易淪為黑客的傀儡攻擊工具。2016年美國發生的大規模網絡拒絕服務攻擊事件，給物聯網行業敲響了警鐘。

一、物聯網系統漏洞百出

眾所周知，嵌入式操作系統和軟件對漏洞的彌補比普通操作系統更困難。事實上，整個物聯網系統都可能存在安全漏洞。通過對工控系統，智能設備，云端系統漏洞安全和現狀的了解，發現目前物聯網系統安全漏洞百出。

工業控制網絡和設備系統漏洞現狀。2016年美國ICS-CERT小組共收集到全球工業控制安全漏洞數量上報500多個，其中，關鍵制造業、能源、水處理成為被攻擊最多的三個行業，占比分別達到 33%、16%、8%;并指出基于工業控制設備與物聯網的連接使得基于系統漏洞的魚叉式攻擊成為2016年使用最為廣泛的攻擊方式，進入2017年，工業控制系統漏洞數量也將持續增加。

智能設備終端系統漏洞安全現狀。智能設備開始全面普及，廠商過于追逐用戶數量和盈利，在安全防護方面卻沒有足夠的重視和投入。2012 年，某黑客稱可以在距離目標50英尺的范圍內侵入心臟起搏器，并釋放 830V電壓致人死亡;2013 年的“防御態勢”黑客大會上，美國兩位網絡安全人員演示了如何通過攻擊軟件使高速行駛的汽車突然剎車; 2015年的 Geekpwn大會上，黑客演示了破解智能家居的過程。無論是廠商和消費者都沒有在這安全防護方面引起足夠的重視。

云端系統漏洞安全和現狀。在物聯網基礎設施領域，云端業務和數據也在逐步累積，而安全事件頻頻發生。2011 年，亞馬遜的云計算數據中心發生宕機事件，大量企業業務受損; 2014 年，UCloud 公司國內云平臺發生大規模云服務攻擊事件;2015 年，“毒液”漏洞使全球數以百萬計的虛擬機處于網絡攻擊風險之中，嚴重威脅各大云服務提供商的數據安全。2017年，越來越多的企業業務在云端開展，基于已知系統漏洞的社工、未知系統漏洞的 APT 攻擊、0-Day攻擊都將對物聯網云端服務造成巨大威脅。

二、默認密碼是目前安防設備被攻擊的最主要原因

2016年美國發生的大規模網絡拒絕服務攻擊事件后，國內物聯網安全領導企業匡恩網絡對部分市區安放設備進行了深入的測試，發現許多設備的安全防護形同虛設。下面是部分測試截圖：

圖1 某工廠攝像頭漏洞利用后可以遠程通過視頻對工廠進行監控

圖2 某制造廠攝像頭漏洞被利用遠程可進行視頻監控

匡恩針對某市安防設備的進行安全檢查，掃描發現了351 個攝像頭暴露在公網，其中 96 個攝像頭有漏洞，大概占比 28%，物聯網設備安全防護遠遠不足。匡恩網絡分析發現，造成安防設備被入侵的主要原因是國內安防監控設備的 Telnet 用戶名大多為 root、admin、guest 等常用名稱，這些常用賬號很容易被暴力猜測。另外使用這些設備的用戶大多為普通人，很少會修改 Telnet 服務的默認密碼，使得 Mirai 等惡意軟件可以輕易控制大量安防監控設備。更為可悲的是，有些物聯網設備對登錄口令采用了硬編碼方式，不允許修改，這種情況下即使發現有病毒入侵這類系統，廠商和用戶也都無能為力。

三、匡恩網絡建言獻策

正如信息系統的漏洞無法避免一樣，物聯網系統的漏洞也是不可能完全避免的。千里之堤毀于蟻穴，物聯網設備應謹防安全漏洞。匡恩網絡建議IOT 設備(含安防監控設備)開發商應加強安全審核，避免出現弱口令或安全繞過漏洞，避免出現口令硬編碼無法修改的錯誤設計。用戶在使用時，應停止使用默認 / 通用密碼，及時修改新的登錄密碼，盡可能避免物聯網設備直接通過公網進行訪問。匡恩網絡建議企業最好是搭建一個體系化的縱深安全防護體系，這是降低物聯網系統漏洞帶來的安全風險最有效的方式。