路由器高危漏洞致德国百万用户断网、蓝牙协议漏洞攻击影响数十亿蓝牙设备、亚马逊AWS S3致50多万台汽车跟踪设备的登录凭证泄露、Stackoverflowin黑客入侵15万台打印机、智能泰迪熊玩具泄露200多万条亲子聊天记录……近日，一份安全机构联合归纳的“2017年度十大网络安全事件”在网上热传。其中，路由器、智能汽车、打印机、智能玩具等日常物联网设备纷纷上榜，不禁让不少用户不寒而栗。

　　在“互联网 +”时代，各类物联网设备规模呈现爆发性增长趋势。IT咨询机构Gartner预测，自2015年至2020年，物联网终端年均复合增长率为33%。在物联网技术和产业高速发展的同时，物联网应用面临严峻的安全挑战。

　　【现状】

　　路由器、视频监控设备漏洞逐年上升

　　去年4月，Persirai僵尸网络利用漏洞攻破12万台IP摄像头设备引发各界关注，以网络摄像头、家用无线路由器等为代表的物联网设备安全也成为安全领域的热点。记者近日在搜索QQ群和百度贴吧上发现，有人公然售卖破解摄像头软件，分享他人家庭私密影像，有些原本用来看护家里老人孩子或用于防盗的摄像头，竟然被不法分子用于“窥私”在网上公开叫卖。

　　从绿盟科技日前发布的《2017网络安全年报》看，就全球分布来说，路由器暴露的数量超过4900万台，远高于其它物联网设备暴露数量;视频监控设备的暴露数量超过1100万台，高于防火墙、交换机等传统网络设备的暴露数量，仅次于路由器;打印机的暴露情况更为令人意外，暴露数量达到了89万台之多。

　　“记得之前惠普方面曾回应媒体提问时称，数以亿计的商务打印机中只有不到2%的打印机是真正安全的。”绿盟科技物联网安全实验室研究员张星提到，从统计数据看，摄像头、路由器是数量最多、分布最广的IoT设备，这类设备安全防护非常薄弱。从设备漏洞曝光情况，近三年来路由器、视频监控设备的相应漏洞，且呈逐年上升态势。

　　张星坦言，大量物联网设备直接暴露在互联网上，非常容易被网络爬虫和恶意攻击者发现。更严重的是，这些设备中有相当大的比例存在弱口令、已知漏洞等风险，可能被恶意代码感染成为僵尸主机。另外，这些设备一旦被感染还会继续感染其他设备，组成大规模的物联网僵尸网络。

　　“物联网的安全已从‘山雨欲来’转向现实威胁。”中国信息安全评测中心主任朱胜涛表示，包括美国大规模停电等案例已显示，物联网一旦遭遇入侵将产生的巨大破坏力。 “目前，我国物联网的安全问题有多方面，用户安全意识仍然不高。在设备端安全措施没有有效实施，生产厂商在接口、认证/授权、网络服务、传输加密、软固件安全等方面缺乏良好的物联网安全解决方案。同时，物联网的多样化、复杂化以及设备的庞大数量，使得攻击面更宽，攻击手段更为多样化。”

　　【揭秘】

　　黑客攻击物联网设备的三个“阶段”

　　在业界人士看来，物联网作为一种新技术，行业标准以及相关管理都还处于初级阶段，对于厂商来说，片面追寻新功能而忽略安全性成为一种常态。“物联网 DDoS 攻击(分布式拒绝服务攻击)将是常态，物联网设备数量多带来规模效应的最直接应用就是DDoS攻击，从实施的难度、运营的成本、风险与收益来看，这是一种有效的攻击形式，而且在相当长的时间内，仍会是一种常见的攻击方式。”

　　张星介绍，通常来说，攻击者攻破物联网设备并发动DDoS攻击可分为三个阶段：第一阶段，攻击者通过扫描发现因业务需要或配置失误被暴露在互联网上的物联网设备;第二阶段，攻击者进行渗透，发现设备存在漏洞，并攻击获得权限、执行指令;第三阶段，设备沦为僵尸主机，成为攻击者控制的僵尸网络的一部分，接受指令发动攻击。

　　另外，伴随物联网的广泛应用，暴露在互联网上的物联网云服务数量也会持续增加。张星还提到，很多攻击者也会把目光从传统的Web服务和邮件服务等传统服务转向这些新兴的物联网服务。例如，在明文传输的物联网应用中，攻击者容易将流量劫持后利用信息进行欺骗，或进行中间人攻击;此外，攻击者也可能觊觎物联网云服务所存储数据背后的价值。所以，物联网云服务的安全性需要引起物联网解决方案提供商和云服务商的重视。

　　【建议】

　　用户、厂商均需警惕，莫让物联网设备成黑客“帮凶”

　　张星坦言，如果消费者在购买设备时，没有将设备的安全性作为必要考虑，厂商出于成本考虑也缺乏改良动机;另外，物联网应用还较新，监管机构在出台相关法律法规前，厂商少有合规性的压力将安全置于整个产业链中;从当前的市场环境看，厂商强调智能化的功能设计，求新求快是物联网行业中的主旋律，安全似乎是可有可无的选项，这进一步加剧了物联网环境整体的脆弱性。

　　事实上，厂商的忽视、防护方案的不成熟、用户的安全意识薄弱等都是造成安全隐患的重要推手。张星说，不论从升级、配置、固件补丁维护等，与传统的威胁手段其实并无不同，在物联网的战场上很多传统的手段找到了新的发挥空间。例如，网络嗅探、远程代码执行、中间人攻击、云端服务器攻陷而导致被控设备失陷等，都是传统攻击手段在物联网技术中新的应用场景。“对于黑客来说，这些无疑又是一次‘盛宴’。”

　　对于用户而言，张星认为，关注物联网系统是否会泄露隐私信息，是否影响正常使用等，无论是家庭用户还是企业用户，都应把安全作为一个很重要的关注点。“可以考虑采用安全厂商提供的物联网安全网关或具备安全能力的物联网网关，通过手机应用很方便地跟踪网络中的异常并及时作出处置措施”。

　　“从物联网安全提供商看，无论是想要拓展物联网安全业务的传统的信息安全厂商或者新兴的物联网安全创业公司，把握清楚自己的定位很重要。”张星建议，安全提供商在考虑物联网安全切入点时可以从以下两个角度入手：提供物联网安全评估服务，通过评估来逐步提升物联网厂商的安全意识，从而逐步提升物联网产品的安全性;考虑到很多物联网厂商对安全认知不足，在不影响用户业务的前提下，提供用户网络的可视化和异常检测，使用户更好地感知其物联网环境。

　　从用户、物联网厂商和信息安全厂商角度，业界受访专家归纳了如下安全指南：

　　●用户在购买物联网产品后应该：(1)修改初始口令以及弱口令，加固用户名和密码的安全性;(2)关闭不用的端口，如FTP(21端口)、SSH(22端口)、Telnet(23端口)等;(3)修改默认端口为不常用端口，增大端口开放协议被探测的难度;(4)升级设备固件;(5)部署厂商提供的安全解决方案

　　●物联网厂商在设计、实现和运营物联网应用时，应该：(1)对于设备的首次使用可用户修改初始密码，并且对用户密码的复杂性进行检测;(2)提供设备固件的自动在线升级方式，降低暴露在互联网的设备的安全风险;(3)默认配置应遵循最小开放端口的原则，减少端口暴露在互联网的可能性;(4)设置访问控制规则，严格控制从互联网发起的访问;(5)与安全厂商合作，在设备层和网络层进行加固。

　　●信息安全厂商在推广物联网安全防护方案时，应该：(1)优先关注暴露数量较多的物联网资产的脆弱性分析;(2)为物联网厂商提供设备出厂前的测评服务，将设备可能存在的风险尽可能降低;(3)关注物联网设备的安全防护，推出既满足正常用户的访问，同时又可抵抗恶意攻击的安全产品及解决方案;(4)加大物联网安全宣传的力度，提高公众的信息安全意识。