聚焦物聯(lián)網(wǎng)資產(chǎn)安全治理 | 綠盟科技應(yīng)邀出席全球IPv6下一代互聯(lián)網(wǎng)峰會(huì)

IPv6可以有效改善網(wǎng)絡(luò)服務(wù)水平,提升服務(wù)體驗(yàn)和應(yīng)用價(jià)值。特別是在物聯(lián)網(wǎng)場(chǎng)景,通過(guò)與5G 技術(shù)的結(jié)合,純IPv6將極大降低網(wǎng)絡(luò)部署及運(yùn)維成本,并借由一物一址標(biāo)識(shí)、身份溯源等技術(shù),極大程度提升網(wǎng)絡(luò)安全能力的同時(shí),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的精準(zhǔn)管理。

如果我們從更加純粹的網(wǎng)絡(luò)安全角度出發(fā),在IPv6規(guī)模部署甚至是純 IPv6的趨勢(shì)下,物聯(lián)網(wǎng)資產(chǎn)將面臨哪些安全挑戰(zhàn)?

7月31日下午,綠盟科技應(yīng)邀參與了由全球 IPv6論壇(IPv6 Forum)主辦,下一代互聯(lián)網(wǎng)國(guó)家工程中心、澳門(mén)科技大學(xué)承辦,為期兩天主題為“邁向網(wǎng)絡(luò)新紀(jì)元,助力數(shù)字新基建”的“2020全球 IPv6 下一代互聯(lián)網(wǎng)峰會(huì)”,并由綠盟科技創(chuàng)新中心總監(jiān)劉文懋博士,帶來(lái)了來(lái)自綠盟科技格物實(shí)驗(yàn)室的主題分享《IPv6趨勢(shì)下的物聯(lián)網(wǎng)資產(chǎn)安全治理的機(jī)遇與挑戰(zhàn)》

聚焦物聯(lián)網(wǎng)資產(chǎn)安全治理

綠盟科技創(chuàng)新中心總監(jiān) 劉文懋

物聯(lián)網(wǎng)資產(chǎn)安全治理迫在眉睫

2016年,由物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò) Mirai發(fā)動(dòng)的大規(guī)模 DDoS 攻擊,讓人們對(duì)物聯(lián)網(wǎng)資產(chǎn)的潛在風(fēng)險(xiǎn)和實(shí)際威脅第一次有了感知。2019年,日本等國(guó)已經(jīng)開(kāi)始通過(guò)頒布相應(yīng)法令來(lái)推進(jìn)物聯(lián)網(wǎng)終端的安全治理??梢哉f(shuō),物聯(lián)網(wǎng)的安全治理迫在眉睫。

2016年起,綠盟科技格物實(shí)驗(yàn)室已連續(xù)4年通過(guò)專題報(bào)告的形式對(duì)外發(fā)布在物聯(lián)網(wǎng)安全領(lǐng)域的研究成果。綠盟科技認(rèn)為,物聯(lián)網(wǎng)資產(chǎn)安全治理的關(guān)鍵和首要階段,在于資產(chǎn)的發(fā)現(xiàn)和識(shí)別。特別在 IPv4地址空間即將耗盡,IPv6 規(guī)模部署的全球趨勢(shì)下,物聯(lián)網(wǎng)資產(chǎn)的發(fā)現(xiàn)識(shí)別,更是面臨諸多挑戰(zhàn),困難重重。

聚焦物聯(lián)網(wǎng)資產(chǎn)安全治理

劉文懋博士表示,因?yàn)镮Pv6龐大地址空間的特性,以及全網(wǎng)持續(xù)推進(jìn)的趨勢(shì),讓通過(guò)遍歷的方式進(jìn)行物聯(lián)網(wǎng)資產(chǎn)的識(shí)別發(fā)現(xiàn)基本不可能。雖然目前使用IPv6地址的實(shí)際數(shù)量還較少,但地址分布的隨機(jī)性很強(qiáng),所以全網(wǎng)遍歷從時(shí)間和資源上都不切實(shí)際。

那么,如何在 IPv6的背景下,進(jìn)行合理、有效的物聯(lián)網(wǎng)資產(chǎn)識(shí)別?格物實(shí)驗(yàn)室給出了三個(gè)方向的探索成果:

1 通過(guò)種子 IPv6地址集合尋找物聯(lián)網(wǎng)資產(chǎn)(基于概率生成預(yù)測(cè)地址集,并通過(guò)掃描HITList中地址資產(chǎn)是否開(kāi)啟 IPv4常用端口進(jìn)一步確認(rèn)。)

2 利用UPnP雙棧等物聯(lián)網(wǎng)協(xié)議特性幫助發(fā)現(xiàn)資產(chǎn)

3 尋找IPv6地址的分布特征,以及通過(guò)Scan6等新型軟件的掃描實(shí)踐

盡管以上三個(gè)方向都是一些有益的嘗試,但總體來(lái)看,現(xiàn)階段的技術(shù)手段遠(yuǎn)未成熟。在IPv6環(huán)境中,我們發(fā)現(xiàn)同樣存在大量網(wǎng)絡(luò)地址轉(zhuǎn)換和動(dòng)態(tài)地址分配的應(yīng)用,無(wú)論是攻擊者還是企業(yè),完全掌握物聯(lián)網(wǎng)資產(chǎn)都比較困難。所以,安全風(fēng)險(xiǎn)方面,綠盟科技認(rèn)為,內(nèi)網(wǎng)部署的物聯(lián)網(wǎng)設(shè)備的暴露風(fēng)險(xiǎn)并沒(méi)有明顯增加,但始終會(huì)客觀存在。

雖然當(dāng)下還沒(méi)有令人滿意的IPv6物聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)方法,但物聯(lián)網(wǎng)資產(chǎn)的安全治理卻已刻不容緩。從被動(dòng)流量進(jìn)行識(shí)別分析,可能將是未來(lái)數(shù)年內(nèi)有前景的物聯(lián)網(wǎng)安全治理主要手段。以 DDoS 攻擊為主,通過(guò)被動(dòng)異常流量檢測(cè)結(jié)合 IPv6威脅情報(bào)的手段,可實(shí)時(shí)發(fā)現(xiàn)脆弱的IPv6資產(chǎn),并借助云地人機(jī)融合的能力,對(duì)惡意的DDoS流量進(jìn)行立體、靈活的緩解,這種技術(shù)手段將是IPv6網(wǎng)絡(luò)中DDoS緩解的主要防護(hù)思路。

聚焦物聯(lián)網(wǎng)資產(chǎn)安全治理

總體來(lái)看,IPv6將是支撐我國(guó)新基建戰(zhàn)略的關(guān)鍵網(wǎng)絡(luò)通信技術(shù)之一,特別是在URLLC、mMTC的5G場(chǎng)景下,海量物聯(lián)網(wǎng)終端必然會(huì)采用IPv6技術(shù)組網(wǎng),因而,保護(hù)IPv6的物聯(lián)網(wǎng)安全,就是保護(hù)下一代關(guān)鍵基礎(chǔ)設(shè)施的整體安全??梢哉f(shuō),IPv6物聯(lián)網(wǎng)安全治理應(yīng)當(dāng)先行,刻不容緩。

綠盟科技格物實(shí)驗(yàn)室連續(xù)4年在物聯(lián)網(wǎng)安全治理領(lǐng)域進(jìn)行深入研究,擁有豐富的研究成果和能力積累。無(wú)論是IPv6的物聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)識(shí)別,還是在IPv6的物聯(lián)網(wǎng)威脅情報(bào),配合全網(wǎng)的安全態(tài)勢(shì)感知方案,將有助于更好的保障IPv6技術(shù)推進(jìn)過(guò)程中的互聯(lián)網(wǎng)上的關(guān)鍵基礎(chǔ)設(shè)施安全。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )