50萬個業界未識別物聯網資產被發現，如何打好DDoS阻擊預備戰？

摘要

回顧2020年安全事件可以發現，網際網路上大量暴露的物聯網裝置和服務，已成為攻擊者發動大規模DDoS攻擊的首選。目前，細粒度地識別物聯網裝置能夠為進一步對裝置的屬性研究及安全分析提供資料支撐，本文主要觀點摘錄於綠盟科技釋出的《2020物聯網安全年報》，聚焦指紋識別、暴露情況和蜜罐發現三方面，以期為加強物聯網裝置的安全防護和修補提供有益思路。

一、指紋識別

觀點1：物聯網的資產變化快、種類碎片化，導致物聯網資產識別邊際成本極高，從而給物聯網安全治理帶來困難。我們透過人工智慧與專家標記相結合的方法對國內全部的HTTP（s）資料進行處理，發現了約50萬個業界未識別的物聯網資產，是原有標記數量的2倍，要達到高覆蓋、準識別仍需要不斷持續運營。

報告中提出了一種基於機器學習和人工相結合的物聯網資產標記方法，標記效果及趨勢如圖1所示，從標記數量折線來看，發現的物聯網資產數量增速隨著標記輪次逐漸變緩，隨著標記輪次的增加發現的物聯網裝置數量也趨於平穩，近似等於目標資料集中存在的物聯網裝置數量。透過該方法標記的物聯網資產是原有標記數量的兩倍。由此可見，基於資產聚類和人工標記相結合的方法可以儘可能的發現目標資料集中所有的物聯網資產，在識別覆蓋度方面有較好的效果。

圖1 基於機器學習的物聯網資產標記趨勢（國內）

二、暴露情況 

考慮到網路地址變化因素，為保證資產的準確性，所以我們以2020年11月的國內全部網段測繪1輪作為今年的資產暴露情況展示資料。結合前述新發現的物聯網資產指紋，共發現186萬個物聯網資產，具體的裝置型別分佈情況如圖2。其中，攝像頭、路由器、VoIP電話數量分別位列前三，這和往年的分佈是一樣的，但是新增了安全裝置和網路儲存器、網路安全裝置主要是指防火牆、WAF等安全產品。

圖2 國內物聯網資產型別分佈情況

三、蜜罐發現

觀點2：物聯網蜜罐會影響物聯網資產識別和安全治理，所以未來物聯網安全中蜜罐識別具有重要意義。我們發現物聯網蜜罐有三個特點，其一是開放10個上至全部埠；其二是Web型別蜜罐banner中有大量物聯網裝置的Server和Title指紋；其三是一些蜜罐的IP地址部署在公有云。

物聯網蜜罐地理分佈情況

對發現物聯網蜜罐的地理分佈情況進行統計，如圖3。從統計資料來看，物聯網蜜罐部署在中國的數量最多，其次是美國和日本。猜測可能有兩個原因，一方面是近兩年國內物聯網蜜罐與威脅的研究關注度比較高，另一方面是國內物聯網攻擊事件頻繁，所以物聯網安全研究人員有部署傾向，這樣蜜罐可以捕獲更多有價值資訊。

圖3 物聯網蜜罐部署國家分佈情況

四、小結

資產識別貌似是一個“昨天”就應該解決的問題，但因為物聯網產品的快速出新，以及碎片化嚴重，所以確切地說資產識別是進行時的問題，需要持續關注和標記投入。此外，偽裝成物聯網裝置的蜜罐數量也不容忽視，因此報告從資產的角度描繪的物聯網蜜罐的分佈情況，當然我們發現的蜜罐種類也僅僅是冰山一角，如果想要系統的研究蜜罐種類，可能還需要對互動，甚至對某些蜜罐開源專案的原始碼進行深入分析。