绿盟科技物联网安全实验室研究员张星说,近年来许多新型智能设备接入互联网,但安全风险仍然集中在相对传统、应用比较成熟的设备上,它们也是感染恶意代码的主要物联网设备。
《年报》还监测到,一些数量较少的物联网设备也存在安全隐患。比如,商用车的远程通信统一网关、网络恒温器等可能面临远程登录无密码保护、设备停产缺乏安全维护等风险。不单是硬件,《年报》指出,物联网一些常用的操作系统同样存在不同程度的安全问题。
很多物联网设备通过云端连通,而长时间连接云服务,安全隐患将会增加。
“现实中,很多物联网设备工作场景不得不长期和‘云’连接。伴随着物联网应用的深入,云服务将更加普遍。我们监测到,一些攻击者已经把目光从网页和邮件等传统服务转向新兴的物联网服务。” 绿盟科技首席架构师杨传安说,大数据时代,网络攻击的目的性更强,攻击的技术手段增多、技术更高、更隐蔽,黑客可能为了利益,而对物联网云服务实施攻击。
杨传安认为,物联网由多种设备组成,互联互通的环境使得安全风险快速扩散和传播。因此,要从整体全局考虑安全防护。某个物联网设备存在安全隐患,并不只影响单个设备,还可能引发系统性的安全事件。
比如,某些设备中存在的弱口令、已知漏洞等风险,可能被恶意代码感染成为“僵尸主机”。一方面,这些被感染的设备会“传染”其他设备,组成大规模的物联网“僵尸网络”;另一方面,它们接受并执行来自控制服务器的指令后,一旦发动大规模DDoS(分布式拒绝服务)攻击,将会对互联网基础设施造成严重的破坏。
对物联网安全重视不够
