深圳市物联网产业协会承办的“星火沙龙”精彩回顾 | 物联网设备安全风险及应对,物联网人必须重视!
10月28日下午,由深圳市科学技术协会主办,深圳市物联网产业协会承办的以“物联网设备安全风险及应对”为主题的《自主创新大讲堂---星火沙龙之物联网产业大讲堂系列活动(10场)》,在深圳市东方科技大厦成功开讲,现场共吸引了20多位物联网领域专业的技术研发人员前来交流学习。
本期讲座主讲嘉宾文黎力,是 CSA云安全联盟物联网安全工作组成员,参与编写了物联网设计指南,拥有多年IOT及安全行业经验,曾在国内广电新媒体领域及云计算行业就职,参与IPTV、智慧家庭等IOT领域应用系统及安全设计、咨询与项目管理工作。
在讲座中,文老师结合针对性防御机制介绍物联网设备安全内生设计思路,从物联网安全风险分析入手,从物联网云平台、设备内生安全层面出发,通过分析代表性事件阐释物联网常见的漏洞,揭示当前物联网安全面临的风险,并从防御实践的角度分享并帮助各企业建立起物联网安全防御基础概念。
文老师以物联网(IoT: Internet of Things)安全的背景为引子,介绍了“全球超过6000万物联网设备暴露于互联网,路由器、视频监控设备占比超过20%;物联网僵尸网络已成为网络黑产重要手段,全球IOT僵尸网络的设备数超过400万;中国物联网形势极为严峻,设备暴露、入侵等问题位于世界前列”的物联网安全现状整体态势;介绍了“2008年波兰罗兹市电车被黑客通过物联网设备入侵并发生脱轨事故;2015年黑客通过SkyJack技术入侵无人机系统并通过智能手机组建‘僵尸机队’;2016年美国东海岸因物联网僵尸网络发起的DDOS攻击导致的断网事件;2017年智利知名智能玩具Spiral Toys的云端服务泄露200万个人信息;2017年恶意软件BrickerBot造成数百万物联网设备永久失效;2018年台积电工业安全事件”等物联网典型安全事件;分享了“弱密码、不安全网络服务、隐私保护不足、缺乏设备管理”等物联网典型安全漏洞造成的“利用物联网云平台漏洞获取敏感信息,非法控制设备;利用APP漏洞实现非法控制设备”等物联网安全危害,由此强调物联网从业者必须要意识到物联网安全防护的重要性及必要性。
紧接着,文老师结合国内外对物联网安全的标准从通用要求、扩展要求等方面,向大家介绍了包括“物理环境、通信网络、区域边界、计算环境、运维管理”等内容的物联网系统等级保护基本要求框架,同时还深度解析了“#Op_Tibet#事件、Mirai 蠕虫病毒”等物联网终端引发的风险事件,让大家进一步认识到物联网设备安全风险无处不在,且让文老师的“要对物联网设备做好安全防御”的观点进一步深入人心。
随后,文老师结合典型的实践案例,分别从“做好原生漏洞防御、通信安全防护、安全与性能、设备嵌入式系统安全防护”几方面分享了安全防御过程中需要考虑及注意的维度。
讲座的精彩之处除了老师的理论结合实践的知识分享之外,还有探讨环节的针对轨道交通、智能家居、立体停车等场景中在安全防御方面的相关痛难点,交流分享着可采用的最佳解决方案。
回顾整场讲座,大部分参与人员表示受益良多,并希望以后有更多机会参加此类活动。