作為資訊行業的第三次浪潮,物聯網技術正在改變著世界。然而,回顧2018年的重大物聯網安全事件,攻擊者惡意行為涉及感染物聯網裝置、買賣攻擊服務、肆意發動破壞攻擊,這些行為表明針對物聯網或由物聯網發動的攻擊對各國的關鍵資訊基礎設施安全構成了嚴重的威脅,物聯網安全形勢依然嚴峻。
綠盟科技近日釋出了《2018物聯網安全年報》,該報告延續了2017年物聯網資產在網際網路上的暴露情況的披露。在過去的一年裡,他們又進一步對物聯網資產的暴露情況進行跟蹤,有了新的發現。
一、由於採用動態撥號入網,國內40%的物聯網資產網路地址處於頻繁變化的狀態,對物聯網威脅的朔源帶來挑戰
在綠盟科技釋出的《2018物聯網安全年報》的分析中說明,網際網路上暴露的物聯網資產數量不能體現真實的暴露資產規模,也無助於定位真實的物聯網攻擊源。原因是我們對比每輪掃描後,發現有相當一部分數量物聯網裝置處於不存活或網路地址頻繁變化的狀態中,所以更合理的統計口徑應是在一個給定小範圍時間記憶體活物聯網資產數量,該數字更能體現相對真實的物聯網裝置暴露情況,也可提高類似於攻擊源等物聯網威脅分析的精準度。
先抽取554埠2018年7月到9月內6個掃描輪次的攝像頭資產進行對比,以7月20日這一輪的攝像頭資產暴露數量為基準資料,隨著間隔時間的增長,資產變化情況如圖1所示。根據幾輪的對比資料來看,掃描時長在7天的情況下,國內的544埠攝像頭裝置總量實際大概在44萬左右,而大約存在40%的物聯網資產的網路地址會發生變化,每輪對比中新增和消失的資產持平,總體來說變化量相對穩定,並且變化的資產並沒有隨著時間間隔的增長而大幅度增加。
圖1 554埠攝像頭資產變化情況(掃描時長7天)
二、物聯網裝置網段對映變化不大,為跟蹤朔源提供了新的思路
大量物聯網資產地址變化頻繁,無論是描繪暴露物聯網資產,還是對威脅的跟蹤,考慮資產的變化情況都有著重要的意義。
通過對物聯網資產所對映網段變化分析後,我們發現,從物聯網資產C段對映與網路地址的變化對比來看,物聯網裝置的網段對映變化要比網路地址變化穩定的多,而資產所在B網段對映幾乎沒發生變化。按照之前的推測,如果一個物聯網裝置的網路地址發生變化,其範圍也不會超過運營商DHCP服務的地址空間。由於我國的網路地址較少,所以一個DHCP服務的地址空間幾乎不會超過一個/16的CIDR網路。所以證實了物聯網資產的網路地址是在運營商所分配的網路地址空間範圍內變化的。
圖2 554埠的攝像頭資產B段對映地址變化情況(掃描時長7天)
三、猜想:IPv6的普及會讓物聯網資產暴露數量劇增?
《2018物聯網安全年報》從物聯網資產暴露概況到資產變化分析,再到變化原因分析,一步步佐證了大量暴露的物聯網資產的網路地址一直處於頻繁變化中的推論。資產地址頻繁變化會帶來哪些影響呢?一方面,在物聯網裝置相關的威脅分析中,如果不考慮資產的網路地址變化因素,那麼部分物聯網資產威脅關聯出現錯誤,所以攻擊事件的時間區間與物聯網資產掃描發現的時間區間應互相吻合,或者獲知資產的地址變化範圍,編寫合理的匹配演算法,提高網際網路上暴露資產威脅分析的準確程度。另一方面,全球有上百億個裝置,卻只有40多億個網路地址,中國只分到了3.3億個公網地址,所以運營商提供動態撥號入網並使用NAT等方式,來解決網路地址不足的問題。
2018年國家已經開始大力推進IPv6的建設,這將給當前的網際網路帶來很大的影響。例如使用IPv6後,就不需要使用NAT機制來彌補地址量不足的問題,每臺裝置均有獨立的網路地址,所以物聯網資產的暴露數量可能會劇增,面臨的整體暴露風險加大,但同時資產地址變化的頻率會大大減少,為威脅跟蹤降低了難度。
想了解更多關於物聯網資產的分析,請關注綠盟科技《2018物聯網安全年報》。
http://www.nsfocus.com.cn/upload/contents/2019/03/20190308101905_52741.pdf