体系自适应的物联网漏洞挖掘系统研究背景及意义:物联网漏洞挖掘概述之物联网漏洞现状及问题
根据GSMA发布的《The mobile economy 2020(2020年移动经济)》报告显示,2019年全球物联网的总连接数达到120亿,预计到2025年,全球物联网连接数的规模将达到246亿;其中,2019年中我国物联网的连接数全球占比高达30%,我国物联网连接数为36.3亿。可见,现在物联网的规模已经非常庞大了。但是,在物联网给人们生活带来便利的同时,其也存在着很多安全威胁。2020年1月至11月,NVD平台总共披露了12805个漏洞,其中物联网相关的有1541个,占比12%。
在这一千多个漏洞中,从攻击复杂度的角度分析,2020 年 1 月至 11 月 NVD 披露的物联网相关漏洞攻击复杂度分布如下图1-1所示。96% 的漏洞攻击复杂度较低,说明物联网相关的漏洞利用难度较低,攻击者开发 Exploit 相对难度较低。
图1-1 物联网相关漏洞攻击复杂度分布
从漏洞 CVSS 3 评级的角度分析,2020 年 1 月至 11 月 NVD 公布的物联网相关漏洞评级分布如图1-2所示。漏洞评级的占比分别为严重占比 16%,高危漏洞占比 40%,中危漏洞占比 42%,低危漏洞占比 2%,可见物联网相关的漏洞通常危害较为严重。物联网的安全问题已经非常严峻。
图1-2 NVD物联网相关漏洞CVSS3评级分布
在大多数情况下,研究人员专注于各种类型的漏洞。典型的潜在缺陷列表包括以下条目。未修补的软件:许多人无视的直接漏洞。如果您是普通网民,则可以使用许多应用程序。他们中的大多数正在不断发展。开发人员使他们适应解决问题。在某些情况下,修补程序和更新可解决严重的漏洞。当人们拒绝更新时,就会出现威胁。配置错误:这个概念涉及系统的各种变更。示例之一与用户开始使用新服务时获得的默认设置有关。通常,默认设置不关注安全性。您的路由器是不应保留其默认设置的小工具之一。相反,您应该定期更改凭据。因此,您将防止未经授权的访问或通信拦截。凭据差:简单或重复使用的密码仍然是一个问题。尽管网络安全行业已经为每个网友提供了选择,但是使用原始和复杂密码的建议仍然被忽略。取而代之的是,人们想出了舒适的密码。这是什么意思?人们可以轻松记住的组合,以及可悲的是,黑客可以轻松猜测的组合。了解凭证填充攻击的性质后,您将需要一个非常复杂的密码来保证安全。恶意软件,网络钓鱼和网络:如今,恶意软件已成为Internet不可或缺的一部分。网络钓鱼也是与到达用户邮箱的欺诈和欺诈性报价有关的主要威胁之一。信任关系:这些漏洞触发了连锁反应。例如,各种系统可以彼此链接以允许访问。如果一个网络遭到破坏,其他网络也可能崩溃。凭据受损:这种威胁是指对您的凭据的不道德勒索。后来,它们被用来获得未经授权的访问。例如,可以使用未经正确加密的系统之间的通信。然后,黑客可以拦截此交换并以纯文本形式检索密码。恶毒的内幕:系统中的某些参与者可以利用他们的特权并执行恶意操作。加密不正确:黑客或其他恶意资源可以拦截网络上加密不良的通信。由于存在此类漏洞,因此可能会发生许多灾难性的情况。例如,骗子可以获取机密信息或在部门之间散布虚假信息。零日漏洞和其他缺陷:此类漏洞无法解决,并且会继续困扰着系统。黑客将尝试利用此类缺陷,并查看哪些系统可能受到威胁。
下面用两个具体案例来说明目前物联网漏洞的影响。
案例一:网络摄像机是智慧城市蓬勃发展的重要组成部分,其安全问题的严峻程度也日益突出。2019年4月,据安全研究人员透露,可能是目前为止最严重的物联网摄像机安全漏洞,有200多万个监控摄像头受到影响。这些产品都是由一家国内厂商开发的P2P通信组件iLnkP2P。这个组件包含两个漏洞,可以让远程黑客发现和接管设备内的易损性摄像头,并监控其拥有者。2020年7月,某物联网摄像机制造商在其网络摄像机上发现了一个允许远程攻击者访问其视频源的漏洞。当年九月份,有多达800,000台IP监控摄像机受到了零日漏洞攻击,这一漏洞可以让黑客访问监控摄像头,监控并处理视频源或者植入恶意软件。
案例二:研究人员在智能门锁中发现了一种流行的智能锁漏洞,攻击者可以利用这些漏洞远程打开门并闯入房屋。6月,研究人员警告说,智能门锁 Ultraloq 出现故障,攻击者可以追踪该设备的使用地点并完全控制该锁。7 月,两位安全研究人员发现了 ZipaMicro 智能家居三个安全漏洞,如果把它们连接在一起就可能会被滥用,而结果就是导致用户家的智能门锁会被轻易打开。国内方面,2018 年国内智能门锁品牌已超过 3500 个,2019 年市场规模有望突破 200 亿元。虽然经历年初央视曝光 “小黑盒”、APP 远程控制漏洞,但是国内智能门锁硬件、软件、云端等各个攻击面的安全问题并未得到更多用户的重视。相关的安全开发、安全测试检测)、技术标准和规范相对滞后。
从这两个案例可以看得出来,物联网的漏洞影响面通常非常的庞大,其甚至能影响上亿的设备,给人们的生活、生产带来巨大的恶劣影响。因此,进行物联网漏洞挖掘成为必要。从智能家居设备的隐私问题到物联网全球性漏洞攻击问题,今后很长一段时间,物联网安全威胁将成为网络安全的最大威胁之一,物联网安全支出在整个市场上所占比例也将迅速提高。