物联网威胁情报研究

由于网络攻防不对等,网络攻击者越来越聪明,攻击能力也与日俱增,通过威胁情报可以缩小这个差距。随着物联网面临的威胁日益严峻,有必要对物联网威胁情报机制进行研究,分析威胁情报在物联网中的应用模式。本文对物联网威胁情报进行了分析,之后,以某省的物联网资产和UPnP协议的暴露情况为例,分析了如何使用物联网威胁情报。

[[256579]]

物联网威胁情报分析

我们将物联网威胁情报分为四层,分别是资产情报、脆弱性情报、威胁情报和业务情报,其数量依次越来越少,但是价值越来越高。

图1 物联网威胁情报框架

资产情报:大量互联网上暴露的物联网资产(即物联网设备与服务)成为攻击者发动大规模DDoS攻击的首选,对于物联网资产的识别,构成了物联网资产情报。只有分析清楚了哪些物联网资产暴露在互联网上,才能够更好地提供防护措施。这部分的研究成果我们发布在了绿盟科技《2017物联网安全年报》上。

脆弱性情报:脆弱性情报主要针对的是各类物联网设备的漏洞,如弱口令、信息泄露、未授权访问等。当知晓物联网设备的厂商、产品、型号、版本等信息时,可以关联脆弱性情报,及时发现其潜在的问题。

威胁情报:这部分主要来自于物联网蜜网系统和物联网僵尸网络监控系统,通过这两个系统的构建可以及时发现当前网络中的攻击活动及攻击趋势、捕获新的恶意样本等。

业务情报:这部分针对的是物联网特定应用场景的情报,也是客户最为关注的,这部分情报的应用将可以有效减少客户的损失。以物联卡为例,存在恶意行为的物联卡可以构成物联卡威胁情报,这些卡有可能被用于“薅羊毛”,比如电商网站在推广阶段,邀请用户注册可以得到一定的收益,这些卡可能被用于批量注册账号,使得电商网站看似新注册用户很多,但是并未得到有效的用户。而通过使用物联卡威胁情报,就可以及时发现恶意的用户注册行为。

其他行业/垂直领域情报:借助其他行业/垂直领域的情报也可以发现物联网设备存在的威胁。比如通过将物联网设备对外访问的域名、IP与区块链情报(矿池域名、IP)相关联,可以发现物联网设备的挖矿行为。

物联网威胁情报的应用

下面我们将借助威胁情报,分别对某省的物联网资产和UPnP协议的暴露情况进行分析。

1. 某省物联网资产暴露情况分析

借助资产情报,我们可以看到某省的物联网资产暴露情况(图2),更进一步,我们还可以分别对不同类型的设备的地理分布、厂商分布、端口分布等进行分析。由于这些信息比较敏感,所以不在这里进行展示,如果你对这方面感兴趣的话,可以给我们留言。

图2 某省物联网资产暴露情况

借助威胁情报(TI)中的IP信誉,我们可以看到视频监控设备异常行为类型的分布情况(图3)。运营商可以借助这样的分析,重点关注存在风险的IP的流量,由于关注范围缩小,可以更容易地发现潜在的风险并做出应对处理。

图3 视频监控设备异常行为类型的分布情况

2. UPnP协议暴露情况分析

UPnP是一种用于 PC 机和智能设备(或仪器)的常见对等网络连接的体系结构。UPnP 以 Internet 标准和技术(例如 TCP/IP、HTTP 和 XML)为基础,使这样的设备彼此可自动连接和协同工作,从而使网络(尤其是家庭网络)对更多的人成为可能。简单来说,以家庭环境为例,若我们要使用一台新买的网络打印机,我们无需对打印机进行繁琐的配置只需将打印机插上网线即可,基于UPnP技术,从打印机使用DHCP获取IP,到电脑自动发现打印机,搜索其相关服务,最后调用相关服务供我们打印文档,每一步都是UPnP中的一个组成部分。因此,很多路由器都开放了UPnP服务。但是,本来仅用于局域网的UPnP服务,却有很多暴露在了互联网上。我们按照UPnP服务的SDK类型和版本号进行了统计,如表1所示。从中可以看到,Portable SDK for UPnP devices、IGD、MiniUPnPd这三类SDK出现最多。

以Portable SDK for UPnP devices为例,在其版本更新日志中可以看到,当前的最新版为1.6.23,在表1中出现数量最多的版本1.6.6是2008年推出的,即便是1.6.19,也是在2013年就已经推出。这也从侧面说明,当前大多暴露在互联网中的设备所采用的UPnP服务的SDK版本比较老,而且并未采用自动升级机制。

表1 UPnP服务SDK类型和版本号分布情况

通过与脆弱性情报相关联,甚至不需要进行漏洞的验证,就可以说明漏洞在全球的影响情况。例如Portable SDK for UPnP devices在2012年的这几个漏洞,CVE-2012-5958、CVE-2012-5959、CVE-2012-5960、CVE-2012-5961、CVE-2012-5962、CVE-2012-5963、CVE-2012-5964、CVE-2012-5965,漏洞影响1.6.18之前的版本。只需要通过关联资产情报和脆弱性情报,即可说明漏洞的影响范围。

【本文是IDC.NET专栏作者“绿盟科技博客”的原创稿件,转载请通过IDC.NET联系原作者获取授权】

戳这里,看该作者更多好文

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/148864.html<

(0)
管理的头像管理
上一篇2025-03-12 08:39
下一篇 2025-03-12 08:40

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注