近日，在《預測2017年：安全和技術問題將遲滯物聯網的發展》報告中，Forrester調研公司預測2017年可能出現大規模物聯網安全漏洞，黑客將繼續利用物聯網設備大肆實施分布式拒絕服務(DDoS)攻擊。

　　隨著智能手機、可穿戴設備、活動追蹤器、無線網絡、智能汽車、智能家居等終端設備和網絡設備的迅速發展和普及利用，針對物聯網設備的網絡攻擊事件比例呈上升趨勢，攻擊者利用物聯網設備漏洞可入侵設備，獲取設備控制權，通過控制大量物聯網設備，黑客可以發起分布式拒絕服務網絡攻擊(DDoS)，或竊取用戶信息和其他黑客地下產業交易。

　　2016年10月份在美國發生的大規模斷網事件，就是大量物聯網設備在被黑客植入Mirai病毒后參與的一種分布式拒絕服務網絡攻擊(DDoS)的結果。

　　匡恩網絡安全研究院研究分析后認為：現在的物聯網設備所傳輸的數據基本都是在“裸奔”。當前的物聯網設備廠商很多，但真正關注并引入安全控制的廠商很少。并且，物聯網設備的用戶也普遍缺乏安全意識，其安全狀況的慘淡就可想而知了。

　　目前，黑客發展已呈現國際化，組織化的趨勢。2016年8月，以網絡攻擊著稱的美國NSA方程式組織Equation Group也被入侵，大量黑客工具被一個自稱為“ The Shadow Brokers ”(影子經紀人)的黑客團伙所盜竊，并在網上售賣一百萬比特幣。簡單來說，一百萬比特幣價值大約為五億六千八百萬美金。我們對盜取的公開部分的黑客工具進行了初步分析，確定這類工具利用了系統的一些0-day漏洞，形成有效的攻擊。

　　方程式黑客組織既然擁有那么多的攻擊工具，一定對自己的系統實施了有效的防護措施，為什么還能被其他黑客入侵呢?這件事也說明另外一個問題：系統漏洞是挖不完的，也是補不完的。有時候因為彌補已知漏洞，可能會引入新的系統漏洞，物聯網安全漏洞也是如此。

　　值得注意的是，PC和移動端的設備漏洞，最多也就是謀財。但是物聯網的漏洞，真是可能害命的。例如，安全研究人員演示了如何通過攻擊軟件，使高速行駛的汽車突然剎車、黑客侵入監控設備，擾亂社會治安等。因此在物聯網系統安全方面需要多方面、多維度的保護。

　　系統漏洞挖掘有技術，匡恩碩果累累

　　系統漏洞是攻擊者入侵的入口，及時發現漏洞并彌補，對物聯網系統安全保護是至關重要的。

　　匡恩網絡的研發團隊針對工業物聯網系統進行了全面的漏洞挖掘工作，對工業控制系統上已經公布的工控系統漏洞進行了分析，并形成了漏洞檢測、驗證腳本。也可以應客戶需求進行定制化滲透測試工具的研發。已經發現了西門子、施耐德、艾默生、力控等多個不同廠商多款不同型號的DCS、PLC和上位機組態軟件的數十個漏洞。包括ICS-CERT上的漏洞，及一些未公布的工控漏洞。

　　提高了漏洞挖掘效率，才能更好的做出預防。基于這些漏洞的發現，匡恩網絡研發了工業物聯網協議的模糊測試工具，生成高效的模糊測試樣本，顯著的提高了漏洞挖掘效率。匡恩網絡還基于谷歌安卓平臺研發了K-AVDT移動安全漏洞檢測工具，用于物聯網智能終端的安全檢測。

　　匡恩網絡已經針對工業物聯網系統研發了系統滲透測試工具、網絡滲透測試工具和終端設備安全檢測工具。獲得多項CNVD和CNNVD頒發的原創漏洞證書，并在G20安保活動中，被公安部特聘成為“安全保衛工作技術支持單位”。

　　物聯網系統漏洞是整個行業健康發展之痛，希望匡恩網絡帶領更多的安全企業，為物聯網行業發展，筑起安全之墻。