頂象全場(chǎng)景IoT安全方案解決物聯(lián)網(wǎng)兩大難題

12月22日，第一屆“物聯(lián)網(wǎng)安全沙龍”在杭州召開。來(lái)自浙江省物聯(lián)網(wǎng)產(chǎn)業(yè)協(xié)會(huì)、中國(guó)移動(dòng)、頂象技術(shù)、瑩石網(wǎng)絡(luò)、鴻泉數(shù)字等機(jī)構(gòu)和企業(yè)的專家、學(xué)者等近百人就物聯(lián)網(wǎng)安全現(xiàn)狀及物聯(lián)網(wǎng)安全案例進(jìn)行了探討。會(huì)上，頂象技術(shù)展示了全場(chǎng)景IoT安全解決方案。

物聯(lián)網(wǎng)威脅層出不窮

2016年10月，半個(gè)北美洲的網(wǎng)站服務(wù)斷線，而黑客發(fā)動(dòng)攻擊的“僵尸網(wǎng)絡(luò)”攻擊的大部分是防護(hù)薄弱的網(wǎng)絡(luò)攝像頭。國(guó)內(nèi)同樣也發(fā)生了類似威脅。2017年上半年，北京、浙江多地爆出家用攝像頭風(fēng)險(xiǎn)，導(dǎo)致攝像頭成為黑客遠(yuǎn)程監(jiān)控家庭的設(shè)備。物聯(lián)網(wǎng)安全受到威脅，損失的可能不僅僅是公民信息資料，更有可能傷害到生命健康或者生產(chǎn)設(shè)備。浙江省物聯(lián)網(wǎng)產(chǎn)業(yè)協(xié)會(huì)秘書長(zhǎng)紀(jì)衛(wèi)平表示：“隨著全聯(lián)接時(shí)代的到來(lái)，物聯(lián)網(wǎng)已經(jīng)廣泛應(yīng)用在各行各業(yè)，也產(chǎn)生了諸多新的問題和安全威脅，因此建設(shè)完善可信的物聯(lián)網(wǎng)安全生態(tài)系統(tǒng)對(duì)物聯(lián)網(wǎng)企業(yè)和用戶都是十分必要的舉措?！表斚蠹夹g(shù)CEO陳樹華表示：“物聯(lián)網(wǎng)任何一個(gè)環(huán)節(jié)出問題都會(huì)造成大面積的影響，可以說物聯(lián)網(wǎng)的威脅會(huì)超出大家的想象”。

2014年，GeekPwn上，安全人員第一次破解了特斯拉汽車的系統(tǒng)。此后，特斯拉成為很多安全研究人員的挖掘漏洞、入侵破解的重要對(duì)象。特斯拉是純電動(dòng)汽車并且有網(wǎng)絡(luò)連接，可以通過網(wǎng)絡(luò)對(duì)汽車進(jìn)行控制，而且特斯拉本身也非常依賴電子控制系統(tǒng)。2016年1月，IBM安全專家遠(yuǎn)程遙控兩公里內(nèi)的無(wú)人機(jī)起飛降落，攻擊者只需要多掌握一點(diǎn)無(wú)線電通信的基礎(chǔ)知識(shí)就能夠完成劫持操作。2016年10月，黑客操控150萬(wàn)個(gè)智能設(shè)備組成的僵尸網(wǎng)絡(luò)爆發(fā)，導(dǎo)致半個(gè)北美洲的網(wǎng)站服務(wù)斷線。2016年12月，澳大利亞的一位安全專家利用日產(chǎn)電動(dòng)車的車載應(yīng)用軟件存在的漏洞，實(shí)現(xiàn)遠(yuǎn)程對(duì)汽車下達(dá)開車、剎車、調(diào)節(jié)座椅、調(diào)節(jié)溫度等指令。2017年6月，央視報(bào)道，大量家庭攝像頭遭入侵，有人攻破攝像頭的IP地址，并將拍攝到的“實(shí)時(shí)影像”出售給偷窺者。2017年11月，阿里巴巴安全研究人員做了遠(yuǎn)程劫持無(wú)人機(jī)的演示，一個(gè)專業(yè)人員無(wú)需軟件漏洞就能Root（獲得管理員權(quán)限）無(wú)人機(jī)。

2017年11月，媒體爆出，韓國(guó)某品牌的智能掃地機(jī)器人存在安全漏洞，黑客可以遠(yuǎn)程操控其在用戶家中自由行動(dòng)，從而變成監(jiān)控家庭人員和行動(dòng)的監(jiān)視器。2017年11月，大疆無(wú)人機(jī)爆出管理漏洞，攻擊者可以從GitHub獲得大疆管理員密碼，從而可以任意下載用戶信息、飛行日志等私密信息等。

頂象全景式IoT安全解決方案

如何實(shí)現(xiàn)物聯(lián)網(wǎng)產(chǎn)品的便利性和安全性是每個(gè)物聯(lián)網(wǎng)企業(yè)和用戶所關(guān)心的。在首屆“物聯(lián)網(wǎng)安全沙龍”現(xiàn)場(chǎng)，頂象技術(shù)展示了全場(chǎng)景IoT安全解決方案。該方案在端服務(wù)器、移動(dòng)端和設(shè)備端進(jìn)行防護(hù)，通過固件一機(jī)一密、數(shù)據(jù)一機(jī)一密、業(yè)務(wù)風(fēng)險(xiǎn)防控的三重組合提供了全場(chǎng)景的物聯(lián)網(wǎng)安全保障。

虛機(jī)源碼保護(hù)保障設(shè)備固件安全。在設(shè)備固件端部署頂象IoT安全編譯器，將源碼編譯生成虛擬加密指令，而且每臺(tái)設(shè)備均不相同。首先，使用頂象獨(dú)創(chuàng)的虛擬CPU直接運(yùn)行加密的指令，由于完全不同于常見的x86或ARM指令，從而杜絕了逆向工具破解的可能。其次，在原始代碼塊中則隨機(jī)插入垃圾指令或隨機(jī)插入新的代碼塊，制造虛假的程序控制流，混淆入侵者的選擇。

另外，在保證不改變?cè)创a功能的前提下，將源代碼中的條件（IF）、循環(huán)（WHILE/FOR/ DO）等控制語(yǔ)句轉(zhuǎn)化為調(diào)度器統(tǒng)一調(diào)用，從而隱藏原始執(zhí)行流程。頂象IoT安全編譯器兼容各種處理器和操作系統(tǒng)，能夠無(wú)縫集成GCC/CLANG/KEIL/IAR等主流IoT開發(fā)平臺(tái)，不改變?nèi)魏维F(xiàn)有開發(fā)流程。

安全SDK保障物聯(lián)網(wǎng)數(shù)據(jù)安全。在移動(dòng)端和服務(wù)器端部署頂象安全SDK，保障數(shù)據(jù)和傳輸?shù)陌踩?。首先，設(shè)備固件中不再內(nèi)置統(tǒng)一密鑰，而是通過身份認(rèn)證后從KeyCenter獲取。其次，加密數(shù)據(jù)與設(shè)備綁定，實(shí)現(xiàn)一機(jī)一密的超高安全性，無(wú)法脫機(jī)解密。再有，密鑰加解密過程運(yùn)行于安全環(huán)境中，因此外界無(wú)法逆向破解算法邏輯。最后，結(jié)合設(shè)備認(rèn)證的數(shù)據(jù)鏈路保護(hù)，保證數(shù)據(jù)傳輸?shù)谋Ｃ堋⒉豢纱鄹摹?/p>

頂象安全SDK的數(shù)據(jù)加密支持普通AES、白盒AES、SHA1哈希、SHA256哈希、PC4、XXTEA、MD5哈希、國(guó)密SM3、國(guó)密SM4等算法的加密、解密、加簽、驗(yàn)簽等國(guó)內(nèi)外主流加密算法。

IoT業(yè)務(wù)風(fēng)險(xiǎn)防控及時(shí)發(fā)現(xiàn)攻擊者。在服務(wù)器端部署頂象IoT業(yè)務(wù)風(fēng)險(xiǎn)防控技術(shù)，及時(shí)發(fā)現(xiàn)非法訪問和攻擊。頂象IoT業(yè)務(wù)風(fēng)險(xiǎn)防控能夠有效識(shí)別設(shè)備上報(bào)的非正常數(shù)據(jù)和App發(fā)起的惡意指令，拒絕攻擊者對(duì)服務(wù)器端數(shù)據(jù)的扒取，從而有效防護(hù)對(duì)業(yè)務(wù)系統(tǒng)的訪問。

陳樹華表示：“物聯(lián)網(wǎng)具有設(shè)備多樣性、操作系統(tǒng)多樣性、業(yè)務(wù)形態(tài)多性等特點(diǎn)，而且產(chǎn)生了巨量的數(shù)據(jù)，頂象全場(chǎng)景IoT安全解決方案良好解決了物聯(lián)網(wǎng)威脅多樣性和大數(shù)據(jù)安全的兩大難題”。

萬(wàn)億級(jí)物聯(lián)網(wǎng)市場(chǎng)亟待護(hù)航

統(tǒng)計(jì)顯示，全球物聯(lián)網(wǎng)連接設(shè)備數(shù)量在2015年約為100億臺(tái)，預(yù)計(jì)2020年將達(dá)300億臺(tái)。

麥肯錫全球研究院最新預(yù)測(cè)，到2025年物聯(lián)網(wǎng)的經(jīng)濟(jì)影響價(jià)值將達(dá)3.9萬(wàn)億美元至11.1萬(wàn)億美元。而埃森哲聯(lián)合Frontier Economics，預(yù)估了物聯(lián)網(wǎng)對(duì)中國(guó)12個(gè)產(chǎn)業(yè)的累計(jì)GDP影響：未來(lái)15年，僅在制造業(yè)，物聯(lián)網(wǎng)就可創(chuàng)造1960億美元的累計(jì)GDP增長(zhǎng)，進(jìn)一步擴(kuò)大物聯(lián)網(wǎng)的影響，物聯(lián)網(wǎng)創(chuàng)造的經(jīng)濟(jì)價(jià)值將從1960億美元躍升至7360億美元，增加276%。

關(guān)于頂象技術(shù)

頂象技術(shù)是互聯(lián)網(wǎng)業(yè)務(wù)安全的專家，致力于打造零風(fēng)險(xiǎn)的數(shù)字世界，成立于2017年4月，紅杉資本中國(guó)基金成員企業(yè)。頂象技術(shù)擁有領(lǐng)先的風(fēng)控技術(shù)和智能終端安全技術(shù)，其首創(chuàng)的“共享安全”理念已成為新一代安全產(chǎn)品的標(biāo)準(zhǔn)架構(gòu)。

通過全景式業(yè)務(wù)安全風(fēng)控體系、無(wú)感驗(yàn)證、虛機(jī)源碼保護(hù)、安全SDK等方案和產(chǎn)品，賦予電商、金融、IoT、航空、游戲、社交等企業(yè)提供BAT級(jí)的業(yè)務(wù)安全能力，讓平臺(tái)和用戶免受“薅羊毛”、交易欺詐、賬號(hào)盜用、內(nèi)容被竊取、系統(tǒng)和App遭破解等風(fēng)險(xiǎn)威脅。

截至目前，頂象技術(shù)累計(jì)攔截惡意請(qǐng)求和攻擊過億次，監(jiān)測(cè)到風(fēng)險(xiǎn)設(shè)備超百萬(wàn)，有效識(shí)別95%以上的威脅，為餓了么、Momenta、億聯(lián)位置、泰隆銀行、千尋位置、迅蟻網(wǎng)絡(luò)等近千家企業(yè)和網(wǎng)絡(luò)平臺(tái)提供業(yè)務(wù)安全保障。endprint