IPv6可以有效改善网络服务水平,提升服务体验和应用价值。特别是在物联网场景,通过与5G 技术的结合,纯IPv6将极大降低网络部署及运维成本,并借由一物一址标识、身份溯源等技术,极大程度提升网络安全能力的同时,实现对网络的精准管理。
如果我们从更加纯粹的网络安全角度出发,在IPv6规模部署甚至是纯 IPv6的趋势下,物联网资产将面临哪些安全挑战?
7月31日下午,绿盟科技应邀参与了由全球 IPv6论坛(IPv6 Forum)主办,下一代互联网国家工程中心、澳门科技大学承办,为期两天主题为“迈向网络新纪元,助力数字新基建”的“2020全球 IPv6 下一代互联网峰会”,并由绿盟科技创新中心总监刘文懋博士,带来了来自绿盟科技格物实验室的主题分享《IPv6趋势下的物联网资产安全治理的机遇与挑战》 。
绿盟科技创新中心总监 刘文懋
物联网资产安全治理迫在眉睫
2016年,由物联网僵尸网络 Mirai发动的大规模 DDoS 攻击,让人们对物联网资产的潜在风险和实际威胁第一次有了感知。2019年,日本等国已经开始通过颁布相应法令来推进物联网终端的安全治理。可以说,物联网的安全治理迫在眉睫。
2016年起,绿盟科技格物实验室已连续4年通过专题报告的形式对外发布在物联网安全领域的研究成果。绿盟科技认为,物联网资产安全治理的关键和首要阶段,在于资产的发现和识别。特别在 IPv4地址空间即将耗尽,IPv6 规模部署的全球趋势下,物联网资产的发现识别,更是面临诸多挑战,困难重重。
刘文懋博士表示,因为IPv6庞大地址空间的特性,以及全网持续推进的趋势,让通过遍历的方式进行物联网资产的识别发现基本不可能。虽然目前使用IPv6地址的实际数量还较少,但地址分布的随机性很强,所以全网遍历从时间和资源上都不切实际。
那么,如何在 IPv6的背景下,进行合理、有效的物联网资产识别?格物实验室给出了三个方向的探索成果:
1 通过种子 IPv6地址集合寻找物联网资产(基于概率生成预测地址集,并通过扫描HITList中地址资产是否开启 IPv4常用端口进一步确认。)
2 利用UPnP双栈等物联网协议特性帮助发现资产
3 寻找IPv6地址的分布特征,以及通过Scan6等新型软件的扫描实践
尽管以上三个方向都是一些有益的尝试,但总体来看,现阶段的技术手段远未成熟。在IPv6环境中,我们发现同样存在大量网络地址转换和动态地址分配的应用,无论是攻击者还是企业,完全掌握物联网资产都比较困难。所以,安全风险方面,绿盟科技认为,内网部署的物联网设备的暴露风险并没有明显增加,但始终会客观存在。
虽然当下还没有令人满意的IPv6物联网资产发现方法,但物联网资产的安全治理却已刻不容缓。从被动流量进行识别分析,可能将是未来数年内有前景的物联网安全治理主要手段。以 DDoS 攻击为主,通过被动异常流量检测结合 IPv6威胁情报的手段,可实时发现脆弱的IPv6资产,并借助云地人机融合的能力,对恶意的DDoS流量进行立体、灵活的缓解,这种技术手段将是IPv6网络中DDoS缓解的主要防护思路。
总体来看,IPv6将是支撑我国新基建战略的关键网络通信技术之一,特别是在URLLC、mMTC的5G场景下,海量物联网终端必然会采用IPv6技术组网,因而,保护IPv6的物联网安全,就是保护下一代关键基础设施的整体安全。可以说,IPv6物联网安全治理应当先行,刻不容缓。
绿盟科技格物实验室连续4年在物联网安全治理领域进行深入研究,拥有丰富的研究成果和能力积累。无论是IPv6的物联网资产发现识别,还是在IPv6的物联网威胁情报,配合全网的安全态势感知方案,将有助于更好的保障IPv6技术推进过程中的互联网上的关键基础设施安全。