IPv6可以有效改善網路服務水平,提升服務體驗和應用價值。特別是在物聯網場景,透過與5G 技術的結合,純IPv6將極大降低網路部署及運維成本,並藉由一物一址標識、身份溯源等技術,極大程度提升網路安全能力的同時,實現對網路的精準管理。
如果我們從更加純粹的網路安全形度出發,在IPv6規模部署甚至是純 IPv6的趨勢下,物聯網資產將面臨哪些安全挑戰?
7月31日下午,綠盟科技應邀參與了由全球 IPv6論壇(IPv6 Forum)主辦,下一代網際網路國家工程中心、澳門科技大學承辦,為期兩天主題為“邁向網路新紀元,助力數字新基建”的“2020全球 IPv6 下一代網際網路峰會”,並由綠盟科技創新中心總監劉文懋博士,帶來了來自綠盟科技格物實驗室的主題分享《IPv6趨勢下的物聯網資產安全治理的機遇與挑戰》。
綠盟科技創新中心總監 劉文懋
物聯網資產安全治理迫在眉睫
2016年,由物聯網殭屍網路 Mirai發動的大規模 DDoS 攻擊,讓人們對物聯網資產的潛在風險和實際威脅第一次有了感知。2019年,日本等國已經開始透過頒佈相應法令來推進物聯網終端的安全治理。可以說,物聯網的安全治理迫在眉睫。
2016年起,綠盟科技格物實驗室已連續4年透過專題報告的形式對外發布在物聯網安全領域的研究成果。綠盟科技認為,物聯網資產安全治理的關鍵和首要階段,在於資產的發現和識別。特別在 IPv4地址空間即將耗盡,IPv6 規模部署的全球趨勢下,物聯網資產的發現識別,更是面臨諸多挑戰,困難重重。
劉文懋博士表示,因為IPv6龐大地址空間的特性,以及全網持續推進的趨勢,讓透過遍歷的方式進行物聯網資產的識別發現基本不可能。雖然目前使用IPv6地址的實際數量還較少,但地址分佈的隨機性很強,所以全網遍歷從時間和資源上都不切實際。
那麼,如何在 IPv6的背景下,進行合理、有效的物聯網資產識別?格物實驗室給出了三個方向的探索成果:
1、透過種子 IPv6地址集合尋找物聯網資產(基於機率生成預測地址集,並透過掃描HITList中地址資產是否開啟 IPv4常用埠進一步確認。)
2、使用用UPnP雙棧等物聯網協議特性幫助發現資產
3、尋找IPv6地址的分佈特徵,以及透過Scan6等新型軟體的掃描實踐
儘管以上三個方向都是一些有益的嘗試,但總體來看,現階段的技術手段遠未成熟。在IPv6環境中,我們發現同樣存在大量網路地址轉換和動態地址分配的應用,無論是攻擊者還是企業,完全掌握物聯網資產都比較困難。所以,安全風險方面,綠盟科技認為,內網部署的物聯網裝置的暴露風險並沒有明顯增加,但始終會客觀存在。
雖然當下還沒有令人滿意的IPv6物聯網資產發現方法,但物聯網資產的安全治理卻已刻不容緩。從被動流量進行識別分析,可能將是未來數年內有前景的物聯網安全治理主要手段。以 DDoS 攻擊為主,透過被動異常流量檢測結合 IPv6威脅情報的手段,可實時發現脆弱的IPv6資產,並藉助雲地人機融合的能力,對惡意的DDoS流量進行立體、靈活的緩解,這種技術手段將是IPv6網路中DDoS緩解的主要防護思路。
總體來看,IPv6將是支撐我國新基建戰略的關鍵網路通訊技術之一,特別是在URLLC、mMTC的5G場景下,海量物聯網終端必然會採用IPv6技術組網,因而,保護IPv6的物聯網安全,就是保護下一代關鍵基礎設施的整體安全。可以說,IPv6物聯網安全治理應當先行,刻不容緩。
綠盟科技格物實驗室連續4年在物聯網安全治理領域進行深入研究,擁有豐富的研究成果和能力積累。無論是IPv6的物聯網資產發現識別,還是在IPv6的物聯網威脅情報,配合全網的安全態勢感知方案,將有助於更好的保障IPv6技術推進過程中的網際網路上的關鍵基礎設施安全。