酷应用

【沙龙实录】企业IoT安全的“攻与防”|京东安全X FreeBuf 京麒安全沙龙第二期，圆满收官！

百家作者：京东安全应急响应中心 2020-07-06 18:09:02

物联网可以说是近年来最火也最接地气的新兴科技概念之一，当人们身边出现越来越多可以智能交互的连网设备，物联网时代似乎也离我们越来越近了。但随着这些物联网设备的逐渐普及，却引发了业内安全人士的普遍担忧。

第二期京麒安全沙龙主要围绕企业IoT安全建设展开话题，来自小米，GeekPwn，京东的三位嘉宾通过自身对IoT安全领域丰富的经验，为大家带来多场景下企业IoT平台安全相关的精彩分享与解读。

就让我们一起来回顾一下整场直播的热门看点吧！

IoT 平台安全体系建设杂谈分享

小米AIoT安全实验室负责人孟卓

“万事开头难”，孟卓用这句话开头，分享了他对于IoT 平台安全体系建设的一些心得。

安全没有银弹，漏洞不会成0。在孟卓看来，技术解决不了所有的问题，如果只是秉持着“挖完所有的漏洞，产品就是安全的”这一观点，显然不行。一方面，以小米为代表的企业发力IoT产品，业务快速发展，多条产品线、上百个产品并行，企业技术人员面临的是时间、精力有限的问题。另一方面，企业往往还面临漏洞管理问题，技术团队和业务团队对于产品安全问题是否站在统一阵线，能不能共同推进产品安全的落地成为一大痛点。

不能依靠技术使“蛮力”，企业建设IoT平台安全体系需要一定的方法论。

首先，明确保护对象。一般安全团队更多关注的是面临数据风险的对象，比如设备控制权、数字版权、算法、AI模型、通讯密钥、金融数据等。而孟卓在数字风险的基础上提出了硬件风险，比如人身伤害（产品存在造成人身伤害的风险）、大功率过载（火灾隐患）、箱内破坏、抄袭山寨等，对保护对象做了一个更全面的阐述。

其次，安全要抓重点。在企业已有的安全人员精力难以处理超载的企业安全事件/安全漏洞的情况下，需要把有限的精力放在高安全要求的产品上。

1、基于企业业务的具体情况，进行产品的安全等级划分；

2、梳理流程。比如企业漏洞管理就是一项持续性的工作，需要进行生命周期管理，并协调企业内部多个部分进行协作。因此，梳理标准流程（漏洞发现、漏洞评级、漏洞处置、监控与报告）对于安全工作的推进有着重要作用；

3、提升安全团队能力。即提升安全人员的技术深度，并辅以IoT自动化检测工具，将安全人员从重复的安全漏洞中解放出来；

4、寻找技术团队与业务团队的平衡点。尤其是面临硬件安全问题，往往涉及业务成本甚至供应链问题，因此，技术需要与业务达成一定的平衡点；

5、结果指标化。可以将漏洞修复时间明确，并且由安全团队基于漏洞修复推进结果给业务团队打分，推动安全的切实落地。

最后，“对于现在的IoT安全建设，最难的不是60到80分，而是0到60分。”只有真正地将安全融入IoT产品设计、业务运营，将信息安全管理流程体系做好，才能在坚实的基线上真正落实安全。

IoT的漏洞和威胁分享

GeekPwn实验室的高级研究员宋宇昊

虽然物联网正在飞速发展，在5G商业落地的背景下，IoT设备更是一度迎来全面开花，但很多进入IoT赛道的厂商却忽略了设备安全，从而带来无数攻击面隐患。

目前，IoT设备的两大痛点依然没有解决：一是漏洞数量多，二是漏洞危害大。面对物联网安全不容乐观的现状。宋宇昊分享了其在GeekPwn看到的大量IoT设备面临的漏洞威胁。

1、通用型漏洞：

常见的通用攻击手段主要是溢出和注入、越权、弱加密等问题。一方面，由于loT设备的需要，如部分产品需要自备电池，而比较复杂的加密会影响续航和算力，因此厂商会为了性能会舍弃一定的安全，采用弱加密；另一方面，loT设备更加依赖于无线传输方式，wifi、蓝牙、GNSS、Zigbee等协议的应用大大拓展了IoT的攻击面，同时，设备之间互联使用开放的协议，标准不统一，极其容易被破解。

此外，受到成本的限制，部分loT厂商会进行部分生成外包，也造成了一定的安全隐患。

2、IoT特有漏洞：

除了通用攻击，loT领域还存在特有漏洞。比如通过不同的场景，利用突破生物特征验证，后门和容错，硬件拆解，信号中继等漏洞达到攻击的目的。

以生物特征验证为例，越来越多的loT设备应用了这种“通过个体特征或行为特征对个体身份进行识别的认证技术”，比如指纹解锁、人脸识别等。而攻击者可以用较低的成本方式，比如通过屏下指纹、指纹复制、虹膜复制等手段，从而进行设备解锁。对于企业来说，需要采取活体验证等技术手段以提高攻击者的复制成本，从而提高安全保障。

而后门和容错，一般来说是厂商人为留下的风险，从功能上来说，是为了便于售后维护，提升易用性，但对于攻击者来说是一个可突破的口子。因此，建议厂商进行有效验证以此阻止未授权访问。

从丰富的案例中可以发现，针对loT的特有攻击角度多样，手段频出，对于企业安全防御也提出了很大的考验，需要企业根据产品使用场景的变化、技术的演进，对loT产品的限制规则进行调整，避免攻击者利用规则钻空子，带来新的安全风险。

最后，未知攻，焉知防，相信通过对IoT的漏洞类型的了解，能够帮助企业进一步优化防御。

多业务场景下IoT安全风险治理分享

京东IoT安全技术负责人杜凡

IoT风口上，大批企业玩家拓展IoT相关业务，与此同时，需要落地安全风险治理同样要从业务的角度开展。

基于多业务场景，杜凡分享了IoT安全治理思路的四个维度：业务特点、安全框架、安全规范、业务诉求。

面对不同的业务场景，首先要明确业务特点。以京东的主要业务为例。外采（线下门店）的特点就是硬件不可控、注重业务功能、重视成本及迭代周期长，自研产品（无人机、无人车等）的特点则是硬件可选、系统底层改动少、迭代快等，而软件服务的特点则是只提供软件、硬件适配能力、对接服务方等。

针对业务特点，京东研发了“可信loT安全框架”，一款针对loT场景的全链路安全框架。通过将loT领域拆解为“可信”和“零信任”环境，从而进行分层安全管理。

- 可信环境：实现芯片级加密。

- 零信任环境：固件加密、安全检测、隐私保护、传输加密、反劫持、云上加解密，实施云、管、端·一体化安全方案。

如果说“可信loT安全框架”是一个框架基础，那么企业还需要业务切实落地安全规范，来推动安全风险的消除，根据企业具体的业务场景设定安全规范，并且结合业务诉求，如安全事件驱动、外部合作资质要求等契机，推动业务重视安全，加入安全治理闭环。

在具体落地上，杜凡则提出了风险治理流程标准，一般来说分为三个阶段：

1、业务梳理：将业务涉及的设备资产进行整体梳理，并做风险评估。

2、业务改造说明：将梳理好的设备风险和业务方进行说明，并给出治理方案。

3、风险工单跟进：通过明确级别修复标准和修复时间，推动业务方修复。

最后，在FreeBuf技术咨询负责人杜南的主持下，三位老师又重新回到直播间开启了圆桌讨论的环节。

在孟卓看来，IoT安全最特殊的地方在于信任边界的缺失，其产品是在一个完全未知不可控的环境运行，因此可能的攻击面也会更大、威胁更多。此外，IoT设备的发展将原本虚假世界的攻击衍伸到了现实世界，比如智能汽车的一个漏洞，带来的不仅是设备风险，还可能直接造成现实的人身伤害。

而宋宇昊则从威胁的角度分享了其对于loT安全的看法，即loT的应用场景是未知的、不可控的，而loT安全的威胁后果也远大于传统安全，与个人的隐私、资产、安全都息息相关。

随着5G 成为我国的新基础设施，AIoT的发展迎来新契机，各个互联网企业的AIoT业务发展迅速，如何让快速增长的业务需求和避免安全风险两者之间达到平衡呢？杜凡认为，以前，由于业务快速增长，业务团队人力有限，由此业务团队对于高危漏洞的响应会更及时。但是随着国内安全意识的提升，企业和网民对安全、对隐私越来越重视，业务部门也在主动地联合安全团队，进行“业务+安全”赋能。业务和安全应该是相辅相成，互相成就的，这是一个必然的趋势。

对此，孟卓也表示，平衡并不是某一方要一味地退让，而是要找到一个业务方能够接受的点，同时能够满足安全团队的需求。

在三位老师的分享及讨论中，能够深切地体会到安全绝不是一个独立的模块，而是一个属性。只有让安全属性融入到loT设备的每个环节中，最后企业带来的产品才能真正具有安全属性。

通过近三小时的探讨和分享，很多带着问题来的小伙伴们都得到了相应的解答，对IoT安全也有了更加深入的了解。除了这些，直播期间还有有小米，GeekPwn以及京东周边礼物抽奖，最后让我们感受一下直播间小伙伴的热情吧！

关于「京麒社区」

“京麒”是由京东安全联合业界和互联网公司发起的甲方企业安全社区，聚焦企业安全建设的热点话题、技术突破、运营管理、标准规范建设等，致力于促进互联网企业的安全建设交流与合作、共建互联网安全生态。未来“京麒”社区，还将携手更多的圈内合作伙伴，举办“京麒安全峰会”以及多种形式的线上线下活动与合作，围绕前沿、热点安全技术及话题进行深入探讨，持续为安全圈贡献力量。