IPv6可以有效改善網(wǎng)絡(luò )服務(wù)水平,提升服務(wù)體驗和應用價(jià)值。特別是在物聯(lián)網(wǎng)場(chǎng)景,通過(guò)與5G 技術(shù)的結合,純IPv6將極大降低網(wǎng)絡(luò )部署及運維成本,并借由一物一址標識、身份溯源等技術(shù),極大程度提升網(wǎng)絡(luò )安全能力的同時(shí),實(shí)現對網(wǎng)絡(luò )的精準管理。
如果我們從更加純粹的網(wǎng)絡(luò )安全角度出發(fā),在IPv6規模部署甚至是純 IPv6的趨勢下,物聯(lián)網(wǎng)資產(chǎn)將面臨哪些安全挑戰?
7月31日下午,綠盟科技應邀參與了由全球 IPv6論壇(IPv6 Forum)主辦,下一代互聯(lián)網(wǎng)國家工程中心、澳門(mén)科技大學(xué)承辦,為期兩天主題為“邁向網(wǎng)絡(luò )新紀元,助力數字新基建”的“2020全球 IPv6 下一代互聯(lián)網(wǎng)峰會(huì )”,并由綠盟科技創(chuàng )新中心總監劉文懋博士,帶來(lái)了來(lái)自綠盟科技格物實(shí)驗室的主題分享《IPv6趨勢下的物聯(lián)網(wǎng)資產(chǎn)安全治理的機遇與挑戰》。
2016年,由物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò ) Mirai發(fā)動(dòng)的大規模 DDoS 攻擊,讓人們對物聯(lián)網(wǎng)資產(chǎn)的潛在風(fēng)險和實(shí)際威脅第一次有了感知。2019年,日本等國已經(jīng)開(kāi)始通過(guò)頒布相應法令來(lái)推進(jìn)物聯(lián)網(wǎng)終端的安全治理?梢哉f(shuō),物聯(lián)網(wǎng)的安全治理迫在眉睫。
2016年起,綠盟科技格物實(shí)驗室已連續4年通過(guò)專(zhuān)題報告的形式對外發(fā)布在物聯(lián)網(wǎng)安全領(lǐng)域的研究成果。綠盟科技認為,物聯(lián)網(wǎng)資產(chǎn)安全治理的關(guān)鍵和首要階段,在于資產(chǎn)的發(fā)現和識別。特別在 IPv4地址空間即將耗盡,IPv6 規模部署的全球趨勢下,物聯(lián)網(wǎng)資產(chǎn)的發(fā)現識別,更是面臨諸多挑戰,困難重重。
劉文懋博士表示,因為IPv6龐大地址空間的特性,以及全網(wǎng)持續推進(jìn)的趨勢,讓通過(guò)遍歷的方式進(jìn)行物聯(lián)網(wǎng)資產(chǎn)的識別發(fā)現基本不可能。雖然目前使用IPv6地址的實(shí)際數量還較少,但地址分布的隨機性很強,所以全網(wǎng)遍歷從時(shí)間和資源上都不切實(shí)際。
那么,如何在 IPv6的背景下,進(jìn)行合理、有效的物聯(lián)網(wǎng)資產(chǎn)識別?格物實(shí)驗室給出了三個(gè)方向的探索成果:
1 通過(guò)種子 IPv6地址集合尋找物聯(lián)網(wǎng)資產(chǎn)(基于概率生成預測地址集,并通過(guò)掃描HITList中地址資產(chǎn)是否開(kāi)啟 IPv4常用端口進(jìn)一步確認。)
2 利用UPnP雙棧等物聯(lián)網(wǎng)協(xié)議特性幫助發(fā)現資產(chǎn)
3 尋找IPv6地址的分布特征,以及通過(guò)Scan6等新型軟件的掃描實(shí)踐
盡管以上三個(gè)方向都是一些有益的嘗試,但總體來(lái)看,現階段的技術(shù)手段遠未成熟。在IPv6環(huán)境中,我們發(fā)現同樣存在大量網(wǎng)絡(luò )地址轉換和動(dòng)態(tài)地址分配的應用,無(wú)論是攻擊者還是企業(yè),完全掌握物聯(lián)網(wǎng)資產(chǎn)都比較困難。所以,安全風(fēng)險方面,綠盟科技認為,內網(wǎng)部署的物聯(lián)網(wǎng)設備的暴露風(fēng)險并沒(méi)有明顯增加,但始終會(huì )客觀(guān)存在。
雖然當下還沒(méi)有令人滿(mǎn)意的IPv6物聯(lián)網(wǎng)資產(chǎn)發(fā)現方法,但物聯(lián)網(wǎng)資產(chǎn)的安全治理卻已刻不容緩。從被動(dòng)流量進(jìn)行識別分析,可能將是未來(lái)數年內有前景的物聯(lián)網(wǎng)安全治理主要手段。以 DDoS 攻擊為主,通過(guò)被動(dòng)異常流量檢測結合 IPv6威脅情報的手段,可實(shí)時(shí)發(fā)現脆弱的IPv6資產(chǎn),并借助云地人機融合的能力,對惡意的DDoS流量進(jìn)行立體、靈活的緩解,這種技術(shù)手段將是IPv6網(wǎng)絡(luò )中DDoS緩解的主要防護思路。
總體來(lái)看,IPv6將是支撐我國新基建戰略的關(guān)鍵網(wǎng)絡(luò )通信技術(shù)之一,特別是在URLLC、mMTC的5G場(chǎng)景下,海量物聯(lián)網(wǎng)終端必然會(huì )采用IPv6技術(shù)組網(wǎng),因而,保護IPv6的物聯(lián)網(wǎng)安全,就是保護下一代關(guān)鍵基礎設施的整體安全?梢哉f(shuō),IPv6物聯(lián)網(wǎng)安全治理應當先行,刻不容緩。
綠盟科技格物實(shí)驗室連續4年在物聯(lián)網(wǎng)安全治理領(lǐng)域進(jìn)行深入研究,擁有豐富的研究成果和能力積累。無(wú)論是IPv6的物聯(lián)網(wǎng)資產(chǎn)發(fā)現識別,還是在IPv6的物聯(lián)網(wǎng)威脅情報,配合全網(wǎng)的安全態(tài)勢感知方案,將有助于更好的保障IPv6技術(shù)推進(jìn)過(guò)程中的互聯(lián)網(wǎng)上的關(guān)鍵基礎設施安全。
版權聲明: