回顾2020年的安全事件,能够看出网络上很多暴露的物联网设备和服务已经成为攻击者发动大规模DDoS攻击的优先事项。目前,细微识别物联网设备能够为进一步的设备属性研究和安全分析提供数据支持,本文主要从绿联科学技术发表的《2020物联网安全年报》摘录,着重于指纹识别、暴露状况和蜜罐发觉三个方面,为加强物联网设备安全防护和修补提供有益的想法。
一、指纹识别。
观点1:物联网资产变化快,种类碎片化,物联网资产识别界限成本极高,物联网安全管理困难。我们通过人工智能和专家标志相结合的方式处理国内所有HTTP(s)数据,发觉约50万个行业未识别的物联网资产是原始标志数的2倍,为了达到高垄断、准确的识别还需要持续运营。报告指出了根据机械学习和人工融合的物联网资产标识方式,标识效果和发展趋势如图1所显示,从标识数的折线来说,发觉的物联网资产数的增加率随着标识轮次的推迟,随着标识轮次的增加发觉的物联网设备数也变得平稳用这种方式标识的物联网资产是原标识数的两倍。由此可见,根据资产聚集和人工标识的方式能够尽可能发觉目标数据集中所有物联网资产,在识别垄断度方面有很好的效果。考虑到网络地址的变化因素,为了保证资产的正确性,我们将2020年11月国内所有网络段作为今年的资产暴露状况展示数据。融合所述探索与发现的物联网资产指纹识别,共发觉186万个物联网资产,具体设备类型分布情况如图2所显示。其中,摄像头、路由器、VoIP电话数量分别排在前三位,这与往年的分布是一样的,但安全设备和网络内存、网络安全设备主要指防火墙、WAF等安全产品。观点2:物联网蜜罐影响物联网资产识别和安全管理,未来物联网安全中蜜罐识别具备至关重要实际意义。我们发觉物联网蜜罐有三个特点。一个是从10个开放到所有端口,二个是网络类型蜜罐banner中有很多物联网设备的Server和Title指纹识别,三个是一些蜜罐的IP地址部署在公共云中。
统计发觉物联网蜜罐的地理分布情况,如图3所显示。从统计数据来说,物联网蜜罐在中国配置的数量最多,其次是美国和日本。推测可能有两个原因。另一方面,由于近两年国内物联网蜜罐和威胁的研究关注度高,另一方面国内物联网攻击事件频繁,物联网安全研究者有配置倾向,蜜罐能够捕获更多有价值的信息。资产识别似乎是昨天应该解决的问题,但由于物联网产品的迅速更新和碎片化严重,资产识别是进行时的问题,需要持续关注和投入。另外,伪装成物联网设备的蜂蜜罐的数量也不容忽视,所以报告从资产的角度描绘的物联网蜂蜜罐的分布状况,当然我们发觉的蜂蜜罐的种类也只有冰山的一角,系统研究蜂蜜罐的种类的话,也许需要交流,也许需要深入分析蜂蜜罐开源项目的源代码。