IPv6可以有效改善網(wǎng)絡(luò)服務(wù)水平,提升服務(wù)體驗(yàn)和應(yīng)用價(jià)值。特別是在物聯(lián)網(wǎng)場景,通過與5G 技術(shù)的結(jié)合,純IPv6將極大降低網(wǎng)絡(luò)部署及運(yùn)維成本,并借由一物一址標(biāo)識(shí)、身份溯源等技術(shù),極大程度提升網(wǎng)絡(luò)安全能力的同時(shí),實(shí)現(xiàn)對網(wǎng)絡(luò)的精準(zhǔn)管理。
如果我們從更加純粹的網(wǎng)絡(luò)安全角度出發(fā),在IPv6規(guī)模部署甚至是純 IPv6的趨勢下,物聯(lián)網(wǎng)資產(chǎn)將面臨哪些安全挑戰(zhàn)?
7月31日下午,綠盟科技應(yīng)邀參與了由全球 IPv6論壇(IPv6 Forum)主辦,下一代互聯(lián)網(wǎng)國家工程中心、澳門科技大學(xué)承辦,為期兩天主題為“邁向網(wǎng)絡(luò)新紀(jì)元,助力數(shù)字新基建”的“2020全球 IPv6 下一代互聯(lián)網(wǎng)峰會(huì)”,并由綠盟科技創(chuàng)新中心總監(jiān)劉文懋博士,帶來了來自綠盟科技格物實(shí)驗(yàn)室的主題分享《IPv6趨勢下的物聯(lián)網(wǎng)資產(chǎn)安全治理的機(jī)遇與挑戰(zhàn)》 。
綠盟科技創(chuàng)新中心總監(jiān) 劉文懋
物聯(lián)網(wǎng)資產(chǎn)安全治理迫在眉睫
2016年,由物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò) Mirai發(fā)動(dòng)的大規(guī)模 DDoS 攻擊,讓人們對物聯(lián)網(wǎng)資產(chǎn)的潛在風(fēng)險(xiǎn)和實(shí)際威脅第一次有了感知。2019年,日本等國已經(jīng)開始通過頒布相應(yīng)法令來推進(jìn)物聯(lián)網(wǎng)終端的安全治理??梢哉f,物聯(lián)網(wǎng)的安全治理迫在眉睫。
2016年起,綠盟科技格物實(shí)驗(yàn)室已連續(xù)4年通過專題報(bào)告的形式對外發(fā)布在物聯(lián)網(wǎng)安全領(lǐng)域的研究成果。綠盟科技認(rèn)為,物聯(lián)網(wǎng)資產(chǎn)安全治理的關(guān)鍵和首要階段,在于資產(chǎn)的發(fā)現(xiàn)和識(shí)別。特別在 IPv4地址空間即將耗盡,IPv6 規(guī)模部署的全球趨勢下,物聯(lián)網(wǎng)資產(chǎn)的發(fā)現(xiàn)識(shí)別,更是面臨諸多挑戰(zhàn),困難重重。
劉文懋博士表示,因?yàn)镮Pv6龐大地址空間的特性,以及全網(wǎng)持續(xù)推進(jìn)的趨勢,讓通過遍歷的方式進(jìn)行物聯(lián)網(wǎng)資產(chǎn)的識(shí)別發(fā)現(xiàn)基本不可能。雖然目前使用IPv6地址的實(shí)際數(shù)量還較少,但地址分布的隨機(jī)性很強(qiáng),所以全網(wǎng)遍歷從時(shí)間和資源上都不切實(shí)際。
那么,如何在 IPv6的背景下,進(jìn)行合理、有效的物聯(lián)網(wǎng)資產(chǎn)識(shí)別?格物實(shí)驗(yàn)室給出了三個(gè)方向的探索成果:
1 通過種子 IPv6地址集合尋找物聯(lián)網(wǎng)資產(chǎn)(基于概率生成預(yù)測地址集,并通過掃描HITList中地址資產(chǎn)是否開啟 IPv4常用端口進(jìn)一步確認(rèn)。)
2 利用UPnP雙棧等物聯(lián)網(wǎng)協(xié)議特性幫助發(fā)現(xiàn)資產(chǎn)
3 尋找IPv6地址的分布特征,以及通過Scan6等新型軟件的掃描實(shí)踐
盡管以上三個(gè)方向都是一些有益的嘗試,但總體來看,現(xiàn)階段的技術(shù)手段遠(yuǎn)未成熟。在IPv6環(huán)境中,我們發(fā)現(xiàn)同樣存在大量網(wǎng)絡(luò)地址轉(zhuǎn)換和動(dòng)態(tài)地址分配的應(yīng)用,無論是攻擊者還是企業(yè),完全掌握物聯(lián)網(wǎng)資產(chǎn)都比較困難。所以,安全風(fēng)險(xiǎn)方面,綠盟科技認(rèn)為,內(nèi)網(wǎng)部署的物聯(lián)網(wǎng)設(shè)備的暴露風(fēng)險(xiǎn)并沒有明顯增加,但始終會(huì)客觀存在。
雖然當(dāng)下還沒有令人滿意的IPv6物聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)方法,但物聯(lián)網(wǎng)資產(chǎn)的安全治理卻已刻不容緩。從被動(dòng)流量進(jìn)行識(shí)別分析,可能將是未來數(shù)年內(nèi)有前景的物聯(lián)網(wǎng)安全治理主要手段。以 DDoS 攻擊為主,通過被動(dòng)異常流量檢測結(jié)合 IPv6威脅情報(bào)的手段,可實(shí)時(shí)發(fā)現(xiàn)脆弱的IPv6資產(chǎn),并借助云地人機(jī)融合的能力,對惡意的DDoS流量進(jìn)行立體、靈活的緩解,這種技術(shù)手段將是IPv6網(wǎng)絡(luò)中DDoS緩解的主要防護(hù)思路。
總體來看,IPv6將是支撐我國新基建戰(zhàn)略的關(guān)鍵網(wǎng)絡(luò)通信技術(shù)之一,特別是在URLLC、mMTC的5G場景下,海量物聯(lián)網(wǎng)終端必然會(huì)采用IPv6技術(shù)組網(wǎng),因而,保護(hù)IPv6的物聯(lián)網(wǎng)安全,就是保護(hù)下一代關(guān)鍵基礎(chǔ)設(shè)施的整體安全??梢哉f,IPv6物聯(lián)網(wǎng)安全治理應(yīng)當(dāng)先行,刻不容緩。
綠盟科技格物實(shí)驗(yàn)室連續(xù)4年在物聯(lián)網(wǎng)安全治理領(lǐng)域進(jìn)行深入研究,擁有豐富的研究成果和能力積累。無論是IPv6的物聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)識(shí)別,還是在IPv6的物聯(lián)網(wǎng)威脅情報(bào),配合全網(wǎng)的安全態(tài)勢感知方案,將有助于更好的保障IPv6技術(shù)推進(jìn)過程中的互聯(lián)網(wǎng)上的關(guān)鍵基礎(chǔ)設(shè)施安全。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!