作为信息技术时代的新兴产物,IoT以迅猛的发展速度正悄然地走进千门万户,据Gartner统计,预计到2020年IoT的设备数量规模将增至约208亿,而IoT在互联网传输的数据将超过20ZB。对于如此庞大的数量级,智能设备将面对巨大的网络安全危机,而智能硬件厂商也会面临空前挑战。

业务场景

对消费者而言,IoT无处不在

家庭:越来越多的人已经开始习惯智能家居为生活带来的便利,如智能电视有丰富的个性化体现和视频资源;智能冰箱可以对饮食进行合理化管理;智能电饭煲的远程煮饭等。

个人:健康始终是人们追求的永恒话题,智能手表、智能手环等产品的出现时刻关注广大消费者的真正关心的问题。

移动:智能汽车的出现打破了人们对传统交通领域的概念,更安全的驾驶模式、更便捷的导航系统为生活增添色彩。

在企业运作中,IoT的出现起到了重要作用,也引领着技术发展潮流

传统工业:在水利系统、发电系统、运输系统等传统工业领域中,IoT的出现帮助他们掌握精确数据,优化企业运作。

农业:现代农业领域中,IoT应用在对农作物的智能灌溉、传感器驱虫,实时监控作物生长状态等。

第三产业:IoT在第三产业更是得到全面应用,形成了诸如互联网金融、互联网交通、互联网医疗、互联网教育等新业态。

IoT风险

IoT的出现为人们的生活、生产提供大量的便利,但也给安全研究者提供了新的土壤。近年来,越来越多的IoT安全问题也暴露出来,主要体现在以下几个方面:

硬件问题:大量设备会保留硬件调试接口,便于生产时程序的烧录,以及售后的问题诊断,这很容易被攻击者利用。

固件问题:固件中经常会保留调试的隐藏命令,固件的升级和信息泄露也是攻击者的重点目标。

应用问题:传统的应用安全同样危害着IoT的云端接口。如XSS,代码注入,越权,文件上传下载等漏洞依旧可见。

传输问题:智能设备更加依赖于无线传输方式,wifi、蓝牙、GNSS、Zigbee等协议的应用将大大拓展了IoT的攻击面。

数据问题:个人信息(电话、邮箱、ID、健康状况等)和企业资产信息的泄露。

业务问题:安全功能的防护已无法保障整个产品的安全性,越来越多在业务面的攻击冲击着企业安全的底线。如:业务上产品的数据窃取;O2O业务交易的信息的泄露;DDoS攻击造成的设备瘫痪等等。

解决方案 打造全新物联网安全解决方案,提供端到端一站式安全服务,帮助智能硬件厂商建立更安全的物联网环境。

1、自由专家团队+可信众测结合的安全测试模式

漏洞盒子的专家来自国内知名企业,并长期奋斗在安全一线,丰富的实战经验保证着测试服务的输出质量;在线注册签约白帽子3w余名,核心白帽子5k余名;与国内优秀测试团队保持长期合作关系。

2、传统安全技术与业务的结合

IoT风险

IoT的整个价值链是以传感器为基础的智能系统,以有线和无线组成的网络构建出一个生态系统。漏洞盒子打破传统测试模式,关注IoT生态系统内的组件访问控制安全,在业务中寻求技术突破。

服务范围:组件间的隐式信任、注册安全、退役系统、没有访问控制程序等

端口/接口安全

漏洞盒子长期致力于硬件安全领域,通过物理调试进行安全检测。

服务范围:逻辑端口、服务安全、API接口安全、物理接口安全(JTAG、SWID、UART等)

应用安全

应用安全是安全领域的重灾区,漏洞盒子通过系统的分析及专业的渗透技术保证产品在应用领域的安全性。

服务范围:OWASP TOP10、CWE TOP25、设备/云隐式信任、用户名枚举、账户锁定、已知默认的凭证、弱密码、不安全数据存储、传输层加密、不安全密码恢复机制、双因素认证

固件安全

漏洞盒子采用逆向渗透方式,深入了解系统内部结构,试图发现后门账户,注射缺陷,缓冲区溢位,格式字符串,和其他漏洞。

服务范围:硬编码凭证、敏感信息泄露、敏感URL泄露、加密密钥、加密算法(对称,非对称)、固件版本显示,最新更新日期、后门账号、有漏洞的服务 (web, ssh, tftp, etc.)、安全相关的函数API暴露、固件降级等。

通信安全

漏洞盒子采用渗透加fuzzing的测试方式,探知IoT通信协议健壮性。

服务范围:局域网安全、局域网到互联网、短距离通信、不标准应用、无线机制 (WiFi, Z-wave, Zigbee, Bluetooth)、协议模糊性测试

业务安全

IoT各种业务场景带来不同的风险,如:信息采集过程中的泄露等。

服务范围:智能穿戴场景、开放式考勤系统、资产管理系统、智能家电、智慧城市、智能汽车等

3、有效的风控机制

建立统一的渗透测试流程;与企业确认测试边界,签订保密协议;VPN、堡垒机进行流量控制;测试人员实名制等。

4、透明、高效的管理

提供项目管理平台,企业用户实时查看测试动态,掌握第一手项目进度。

此外,漏洞盒子为了更切实解决企业安全问题,提升服务质量,为企业提供个性化、定制化服务内容,匹配不同客户需求。漏洞盒子因此重新定义安全服务,为企业提供安全咨询、源码审计、渗透测试、安全加固、安全培训 、安全预警、应急响应等一系列端到端一站式安全服务。