作为信息产业的第三次浪潮,物联网技术正在改变世界。然而,回顾2018年重大物联网安全事件,攻击者的恶意行为,如感染物联网设备、攻击服务、破坏攻击等,使得物联网的攻击对各国关键信息基础设施的安全构成严重威胁,物联网安全环境依然严峻。绿色联盟技术公司今天发布了《2018年物联网安全年度报告》,该报告继续披露2017年互联网上的物联网资产风险。在过去的一年中,他们跟踪了物联网资产的曝光情况,并做出了新的发现。随着动态拨号接入的使用,全国40%的物联网资产网络地址处于频繁变化的状态,这给物联网威胁来源带来了挑战。在绿色联盟科技发布的《2018年物联网安全年度报告》分析中,暴露在互联网上的物联网资产数量不能反映真实暴露的资产规模,也无助于确定真实的物联网攻击源的位置。原因是,在对每一轮扫描进行比较后,我们发现相当数量的物联网设备没有存活,或者处于网络地址频繁更改的状态,因此更合理的统计口径应该是在给定的狭窄时间内存活的物联网资产数量。该数字反映了相对真实的物联网设备暴露情况,并可以提高物联网威胁分析的准确性,例如攻击源。首先,我们提取了2018年7月至9月6轮扫描的554端口摄像机资产,并将7月20日这轮摄像机资产曝光数作为基线数据进行比较,随着间隔时间的延长,资产的变化如图1所示。根据几轮比较数据,扫描时间较长7天,国内544端口摄像设备总计实际约44万台,约40%的物联网资产网络地址发生变化,每轮新增资产和消失资产的对比持平,整体变化量相对稳定。资产的变化并没有随着时间间隔的增长而显著增加。

图1554端口摄像机资产变化状态扫描时间长7天2.物联网设备网段映射变化不大,为追踪朔源提供了一个新的思路1.海量物联网资产地址频繁变化,描绘暴露的物联网资产,甚至是追踪威胁。考虑资产的变化情况,具有重要的意义。通过分析映射到物联网资产的网段变化,我们将物联网资产的C段映射与网络地址的变化进行比较,发现物联网设备网段映射的变化比网络地址的变化稳定得多,资产所在的B段映射几乎没有变化。根据之前的猜测,如果物联网设备的网络地址发生变化,其范围不会超过运营商DHCP服务的地址空间。由于中国的网络地址较少,DHCP服务的地址空间很少超过1/16CIDR网络。结果证实,物联网资产的网络地址在运营商分配的网络地址空间内发生变化。

图2:554端口摄像头资产B段映射地址变化(扫描时间为7天)3、猜测:IPv6的普及会不会大大增加物联网资产的曝光量?《2018年物联网安全年度报告》逐步证实了这样一个推论,即大量暴露的物联网资产的网络地址经常发生变化,从物联网资产的暴露概况到资产变化分析,再到变化原因分析。资产频繁变动的影响是什么?另一方面,在与物联网设备相关的威胁分析中,如果不考虑资产的网络地址变化因素,一些物联网资产的威胁关联可能是错误的,因此攻击事件的时间间隔与物联网资产扫描发现的时间间隔相匹配,或者知道资产的地址变化范围,创建合理的匹配算法。我们需要提高对暴露在互联网上的资产进行威胁分析的准确性。另一方面,世界上有数十亿台设备,但网络地址超过40亿,而中国只有3.3亿个公共地址,因此运营商提供动态拨号接入,并采用NAT等方式解决网络地址短缺问题。2018年,中国将开始大力推进IPv6建设,这将对当前的互联网产生重大影响。例如,使用IPv6后,不需要使用NAT机制来弥补地址稀缺的问题,由于每台设备都有一个独立的网络地址,物联网资产的暴露量可能会激增,整体暴露风险也会增加,但同时资产地址变更的频率也会大大降低,威胁追踪的难度也会降低。有关物联网资产分析的更多信息,请参阅Green League Technologies的2018年物联网安全年度报告。