国内物联网
资产暴露情况分析考虑到网络地址变化因素 [7],为保证资产的准确性,所以我们对 2020 年 11 月的国内全部网段测绘 一轮作为今年的资产暴露情况展示数据。结合前述新发现的物联网资产指纹,共发现 186 万个物联网 资产,具体的设备类型分布情况如图 2.4。其中,摄像头、路由器、VoIP电话数量分别位列前三,这和 往年的分布是一样的,但是新增了安全设备和网络存储器;网络安全设备主要是指防火墙、WAF等安 全产品;网络存储器(NAS)是一种专用数据存储服务器,将存储设备与服务器彻底分离,集中管理数 据,从而释放带宽,降低成本。近年来,国内的 NAS服务器遭勒索病毒攻击事件频发,暴露互联网上 的存储设备,更应该保障其安全性。
图 2.4 国内物联网资产类型分布情况
物联网资产的地域分布情况如图 2.5 所示,数量最多的是台湾和香港,这主要是因为这两个地区的 IP 地址数量分配较多,很多物联网设备直接使用互联网 IP 进行部署,所以使得大量的物联网设备和服 务暴露。其他地区的物联网资产分布则与经济发展程度和人口数量正相关,这也和我们以往发布的年报 保持一致 [7]。
图 2.5 国内物联网资产省份分布情况
物联网蜜罐暴露情况分析
随着互联网、物联网技术的发展,我们的生活逐渐进入万物互联的时代,但与之而来网络攻击数量 和手段也日益增多。传统的安全产品如:防火墙、WAF、IPS等安全产品在网络攻击对抗中相对比较被动, 然而蜜罐技术主动防御的特性恰好能弥补这一点,可以更好地捕获、理解和防护物联网设备所遇到的威 胁,从而在与黑客的对抗中获得主动权。从资产识别角度,蜜罐会混淆资产数据,不利于对资产识别工 作,所以有效的识别伪装成物联网设备的蜜罐,可以高对物联网资产识别的准确性。接下来本节就介 绍几款我们发现的物联网蜜罐的特征以及分布情况。
蜜罐简介
蜜罐本质上对攻击者的一种欺骗技术,通过部署一些脆弱的主机、服务或者刻意暴露信息,诱导攻 击者对其攻击。通过捕获和分析攻击行为,就可以了解攻击者所使用的工具或方法,推测攻击意图和动 机,这样防御方更清楚地了解所面对的安全威胁,并及时做出应对策略,极大程度上减少被攻击的风险 和损失。
物联网蜜罐特征情况
2.3.2.1 端口开放
观点 3:物联网蜜罐会影响物联网资产识别和安全治理,所以未来物联网安全中蜜罐识别具有重要意义。 我们发现物联网蜜罐有三个特点,其一是开放 10 个上至全部端口;其二是 Web 类型蜜罐 banner 中有 大量的物联网设备的 Server 和 Title 指纹;其三是一些蜜罐的 IP地址部署在公有云。
为了描述方便,下面直接用“蜜罐 + 数字”表示我们发现的蜜罐类别。使用 Nmap 探测常用的 1000 个端口开放情况,蜜罐的结果如图 2.6 ,可以看出蜜罐开放的端口数量远多于传统服务应用,甚 至有的开放了全部端口(虽然我们只是抽样对开放 1000 个端口的蜜罐进行端口扫描,但这些蜜罐实际 上几乎全都开放了 65535 个端口)。原因是部署者希望在资源有限的情况下尽可能多地捕获攻击行为, 所以尽可能开放多个端口。此外,考虑到蜜罐开发者会在互联网上部署多个蜜罐,所以可以根绝端口的 开放数量和组合情况对蜜罐进行分类。比如蜜罐 1、蜜罐 4 和蜜罐 5,开放的端口数量和端口组合都是 相同的。
图 2.6 部分蜜罐开放的端口数量情况
2.3.2.2 ASN 分布 抽取某个类别的蜜罐 IP 的 ASN信息进行统计,分布情况如图 2.7 所示。ASN 占比排序依次是阿里 云(中国)、瑞士电信、阿里云(美国)、罗马尼亚电信运营商、华为云。从占比情况来看,大部分都 分布在公有云。正常情况,物联网设备不会部署在公有云,如果一个设备的 IP 出现在某个公有云地址 区间,那么大概率就是物联网蜜罐。 图 2.7 蜜罐 4 的 ASN分布情况2.3.2.3 设备指纹分布 我们已经发现物联网蜜罐页面中有大量的设备指纹来欺骗攻击者,图 2.8 TML内容, 其中就有大量的路由器和 DVR的指纹。有 web 的物联网蜜罐的页面,包含物联网指纹的主要字段包括: Server、Title、Text、设备信息、系统命令等。
图 2.8 蜜罐页面中的物联网指纹
对物联网蜜罐的 HTML页面含有的物联网指纹类型进行统计,具体分布情况如图 2.9 。访问正常的 设备,Server 字段在 HTTP协议的头部,不会出现在页面中。此外,HTML页面同样不会有多个 Title类型, 所以通过这两个字段在 Banner 中出现的次数,可以用来识别某个 IP 是否为蜜罐。
图 2.9 蜜罐中的物联网指纹分布情况
物联网蜜罐地理分布情况
对发现物联网蜜罐的地理分布情况进行统计,如图 2.10 。从统计数据来看,物联网蜜罐部署在中 国的数量最多,其次是美国和日本。猜测可能有两个原因,一方面因为国内这两年物联网蜜罐与威胁的 研究关注度比较高,另一方面因为国内的物联网攻击事件频繁,所以物联网安全研究人员有部署倾向, 这样蜜罐可以捕获更多有价值信息。
图 2.10 物联网蜜罐部署国家分布情况
小结
资产识别貌似是一个“昨天”就应该解决的问题,但因为物联网产品的快速出新,以及碎片化严重, 所以确切地说资产识别是进行时的问题,需要持续关注和标记投入。此外,伪装成物联网设备的蜜罐的 数量也不容忽视,所以本章从资产的角度描绘的物联网蜜罐的分布情况,当然我们发现的蜜罐种类也仅 仅是冰山一角,如果想要系统的研究蜜罐种类,可能还需要对交互,甚至对某些蜜罐开源项目的源码进 行深入分析。