IPv6的普及会让物联网资产暴露数量剧增 是忽悠还是事实
作为信息行业的第三次浪潮,物联网技术正在改变着世界。然而,回顾2018年的重大物联网安全事件,攻击者恶意行为涉及感染物联网设备、买卖攻击服务、肆意发动破坏攻击,这些行为表明针对物联网或由物联网发动的攻击对各国的关键信息基础设施安全构成了严重的威胁,物联网安全形势依然严峻。
绿盟 科技 近日发布了《2018物联网安全年报》,该报告延续了2017年物联网资产在 互联网 上的暴露情况的披露。在过去的一年里,他们又进一步对物联网资产的暴露情况进行跟踪,有了新的发现。
一、由于采用动态拨号入网,国内40%的物联网资产网络地址处于频繁变化的状态,对物联网威胁的朔源带来挑战
在绿盟科技发布的《2018物联网安全年报》的分析中说明,互联网上暴露的物联网资产数量不能体现真实的暴露资产规模,也无助于定位真实的物联网攻击源。原因是我们对比每轮扫描后,发现有相当一部分数量物联网设备处于不存活或网络地址频繁变化的状态中,所以更合理的统计口径应是在一个给定小范围时间内存活物联网资产数量,该数字更能体现相对真实的物联网设备暴露情况,也可提高类似于攻击源等物联网威胁分析的精准度。
先抽取554端口2018年7月到9月内6个扫描轮次的摄像头资产进行对比,以7月20日这一轮的摄像头资产暴露数量为基准数据,随着间隔时间的增长,资产变化情况如图1所示。根据几轮的对比数据来看,扫描时长在7天的情况下,国内的544端口摄像头设备总量实际大概在44万左右,而大约存在40%的物联网资产的网络地址会发生变化,每轮对比中新增和消失的资产持平,总体来说变化量相对稳定,并且变化的资产并没有随着时间间隔的增长而大幅度增加。
图1:554端口摄像头资产变化情况(扫描时长7天)
二、物联网设备网段映射变化不大,为跟踪朔源提供了新的思路
观点1:大量物联网资产地址变化频繁,无论是描绘暴露物联网资产,还是对威胁的跟踪,考虑资产的变化情况都有着重要的意义。
通过对物联网资产所映射网段变化分析后,我们发现,从物联网资产C段映射与网络地址的变化对比来看,物联网设备的网段映射变化要比网络地址变化稳定的多,而资产所在B网段映射几乎没发生变化。按照之前的推测,如果一个物联网设备的网络地址发生变化,其范围也不会超过运营商DHCP服务的地址空间。由于我国的网络地址较少,所以一个DHCP服务的地址空间几乎不会超过一个/16的CIDR网络。所以证实了物联网资产的网络地址是在运营商所分配的网络地址空间范围内变化的。
图2:554端口的摄像头资产B段映射地址变化情况(扫描时长7天)
三、猜想:IPv6的普及会让物联网资产暴露数量剧增?
《2018物联网安全年报》从物联网资产暴露概况到资产变化分析,再到变化原因分析,一步步佐证了大量暴露的物联网资产的网络地址一直处于频繁变化中的推论。资产地址频繁变化会带来哪些影响呢?一方面,在物联网设备相关的威胁分析中,如果不考虑资产的网络地址变化因素,那么部分物联网资产威胁关联出现错误,所以攻击事件的时间区间与物联网资产扫描发现的时间区间应互相吻合,或者获知资产的地址变化范围,编写合理的匹配算法,提高互联网上暴露资产威胁分析的准确程度。另一方面,全球有上百亿个设备,却只有40多亿个网络地址,中国只分到了3.3亿个公网地址,所以运营商提供动态拨号入网并使用NAT等方式,来解决网络地址不足的问题。
2018年国家已经开始大力推进IPv6的建设,这将给当前的互联网带来很大的影响。例如使用IPv6后,就不需要使用NAT机制来弥补地址量不足的问题,每台设备均有独立的网络地址,所以物联网资产的暴露数量可能会剧增,面临的整体暴露风险加大,但同时资产地址变化的频率会大大减少,为威胁跟踪降低了难度。
想了解更多关于物联网资产的分析,请关注绿盟科技《2018物联网安全年报》。