12月22日，第一屆“物聯(lián)網(wǎng)安全沙龍”在杭州召開。來自浙江省物聯(lián)網(wǎng)產(chǎn)業(yè)協(xié)會、中國移動、頂象技術、瑩石網(wǎng)絡、鴻泉數(shù)字等機構和企業(yè)的專家、學者等近百人就物聯(lián)網(wǎng)安全現(xiàn)狀及物聯(lián)網(wǎng)安全案例進行了探討。會上，頂象技術展示了全場景IoT安全解決方案。

物聯(lián)網(wǎng)威脅層出不窮

2016年10月，半個北美洲的網(wǎng)站服務斷線，而黑客發(fā)動攻擊的“僵尸網(wǎng)絡”攻擊的大部分是防護薄弱的網(wǎng)絡攝像頭。國內(nèi)同樣也發(fā)生了類似威脅。2017年上半年，北京、浙江多地爆出家用攝像頭風險，導致攝像頭成為黑客遠程監(jiān)控家庭的設備。物聯(lián)網(wǎng)安全受到威脅，損失的可能不僅僅是公民信息資料，更有可能傷害到生命健康或者生產(chǎn)設備。浙江省物聯(lián)網(wǎng)產(chǎn)業(yè)協(xié)會秘書長紀衛(wèi)平表示：“隨著全聯(lián)接時代的到來，物聯(lián)網(wǎng)已經(jīng)廣泛應用在各行各業(yè)，也產(chǎn)生了諸多新的問題和安全威脅，因此建設完善可信的物聯(lián)網(wǎng)安全生態(tài)系統(tǒng)對物聯(lián)網(wǎng)企業(yè)和用戶都是十分必要的舉措?！表斚蠹夹gCEO陳樹華表示：“物聯(lián)網(wǎng)任何一個環(huán)節(jié)出問題都會造成大面積的影響，可以說物聯(lián)網(wǎng)的威脅會超出大家的想象”。

2014年，GeekPwn上，安全人員第一次破解了特斯拉汽車的系統(tǒng)。此后，特斯拉成為很多安全研究人員的挖掘漏洞、入侵破解的重要對象。特斯拉是純電動汽車并且有網(wǎng)絡連接，可以通過網(wǎng)絡對汽車進行控制，而且特斯拉本身也非常依賴電子控制系統(tǒng)。2016年1月，IBM安全專家遠程遙控兩公里內(nèi)的無人機起飛降落，攻擊者只需要多掌握一點無線電通信的基礎知識就能夠完成劫持操作。2016年10月，黑客操控150萬個智能設備組成的僵尸網(wǎng)絡爆發(fā)，導致半個北美洲的網(wǎng)站服務斷線。2016年12月，澳大利亞的一位安全專家利用日產(chǎn)電動車的車載應用軟件存在的漏洞，實現(xiàn)遠程對汽車下達開車、剎車、調(diào)節(jié)座椅、調(diào)節(jié)溫度等指令。2017年6月，央視報道，大量家庭攝像頭遭入侵，有人攻破攝像頭的IP地址，并將拍攝到的“實時影像”出售給偷窺者。2017年11月，阿里巴巴安全研究人員做了遠程劫持無人機的演示，一個專業(yè)人員無需軟件漏洞就能Root（獲得管理員權限）無人機。

2017年11月，媒體爆出，韓國某品牌的智能掃地機器人存在安全漏洞，黑客可以遠程操控其在用戶家中自由行動，從而變成監(jiān)控家庭人員和行動的監(jiān)視器。2017年11月，大疆無人機爆出管理漏洞，攻擊者可以從GitHub獲得大疆管理員密碼，從而可以任意下載用戶信息、飛行日志等私密信息等。

頂象全景式IoT安全解決方案

如何實現(xiàn)物聯(lián)網(wǎng)產(chǎn)品的便利性和安全性是每個物聯(lián)網(wǎng)企業(yè)和用戶所關心的。在首屆“物聯(lián)網(wǎng)安全沙龍”現(xiàn)場，頂象技術展示了全場景IoT安全解決方案。該方案在端服務器、移動端和設備端進行防護，通過固件一機一密、數(shù)據(jù)一機一密、業(yè)務風險防控的三重組合提供了全場景的物聯(lián)網(wǎng)安全保障。

虛機源碼保護保障設備固件安全。在設備固件端部署頂象IoT安全編譯器，將源碼編譯生成虛擬加密指令，而且每臺設備均不相同。首先，使用頂象獨創(chuàng)的虛擬CPU直接運行加密的指令，由于完全不同于常見的x86或ARM指令，從而杜絕了逆向工具破解的可能。其次，在原始代碼塊中則隨機插入垃圾指令或隨機插入新的代碼塊，制造虛假的程序控制流，混淆入侵者的選擇。

另外，在保證不改變源代碼功能的前提下，將源代碼中的條件（IF）、循環(huán)（WHILE/FOR/ DO）等控制語句轉(zhuǎn)化為調(diào)度器統(tǒng)一調(diào)用，從而隱藏原始執(zhí)行流程。頂象IoT安全編譯器兼容各種處理器和操作系統(tǒng)，能夠無縫集成GCC/CLANG/KEIL/IAR等主流IoT開發(fā)平臺，不改變?nèi)魏维F(xiàn)有開發(fā)流程。

安全SDK保障物聯(lián)網(wǎng)數(shù)據(jù)安全。在移動端和服務器端部署頂象安全SDK，保障數(shù)據(jù)和傳輸?shù)陌踩?。首先，設備固件中不再內(nèi)置統(tǒng)一密鑰，而是通過身份認證后從KeyCenter獲取。其次，加密數(shù)據(jù)與設備綁定，實現(xiàn)一機一密的超高安全性，無法脫機解密。再有，密鑰加解密過程運行于安全環(huán)境中，因此外界無法逆向破解算法邏輯。最后，結(jié)合設備認證的數(shù)據(jù)鏈路保護，保證數(shù)據(jù)傳輸?shù)谋Ｃ?、不可篡改?/p>

頂象安全SDK的數(shù)據(jù)加密支持普通AES、白盒AES、SHA1哈希、SHA256哈希、PC4、XXTEA、MD5哈希、國密SM3、國密SM4等算法的加密、解密、加簽、驗簽等國內(nèi)外主流加密算法。

IoT業(yè)務風險防控及時發(fā)現(xiàn)攻擊者。在服務器端部署頂象IoT業(yè)務風險防控技術，及時發(fā)現(xiàn)非法訪問和攻擊。頂象IoT業(yè)務風險防控能夠有效識別設備上報的非正常數(shù)據(jù)和App發(fā)起的惡意指令，拒絕攻擊者對服務器端數(shù)據(jù)的扒取，從而有效防護對業(yè)務系統(tǒng)的訪問。

陳樹華表示：“物聯(lián)網(wǎng)具有設備多樣性、操作系統(tǒng)多樣性、業(yè)務形態(tài)多性等特點，而且產(chǎn)生了巨量的數(shù)據(jù)，頂象全場景IoT安全解決方案良好解決了物聯(lián)網(wǎng)威脅多樣性和大數(shù)據(jù)安全的兩大難題”。

萬億級物聯(lián)網(wǎng)市場亟待護航

統(tǒng)計顯示，全球物聯(lián)網(wǎng)連接設備數(shù)量在2015年約為100億臺，預計2020年將達300億臺。

麥肯錫全球研究院最新預測，到2025年物聯(lián)網(wǎng)的經(jīng)濟影響價值將達3.9萬億美元至11.1萬億美元。而埃森哲聯(lián)合Frontier Economics，預估了物聯(lián)網(wǎng)對中國12個產(chǎn)業(yè)的累計GDP影響：未來15年，僅在制造業(yè)，物聯(lián)網(wǎng)就可創(chuàng)造1960億美元的累計GDP增長，進一步擴大物聯(lián)網(wǎng)的影響，物聯(lián)網(wǎng)創(chuàng)造的經(jīng)濟價值將從1960億美元躍升至7360億美元，增加276%。

關于頂象技術

頂象技術是互聯(lián)網(wǎng)業(yè)務安全的專家，致力于打造零風險的數(shù)字世界，成立于2017年4月，紅杉資本中國基金成員企業(yè)。頂象技術擁有領先的風控技術和智能終端安全技術，其首創(chuàng)的“共享安全”理念已成為新一代安全產(chǎn)品的標準架構。

通過全景式業(yè)務安全風控體系、無感驗證、虛機源碼保護、安全SDK等方案和產(chǎn)品，賦予電商、金融、IoT、航空、游戲、社交等企業(yè)提供BAT級的業(yè)務安全能力，讓平臺和用戶免受“薅羊毛”、交易欺詐、賬號盜用、內(nèi)容被竊取、系統(tǒng)和App遭破解等風險威脅。

截至目前，頂象技術累計攔截惡意請求和攻擊過億次，監(jiān)測到風險設備超百萬，有效識別95%以上的威脅，為餓了么、Momenta、億聯(lián)位置、泰隆銀行、千尋位置、迅蟻網(wǎng)絡等近千家企業(yè)和網(wǎng)絡平臺提供業(yè)務安全保障。endprint