360 天御物联网安全解决方案

行业现状

随着物联网(Internet of things,IoT)的兴起和发展,传统设备正在逐步智能化,以传感器、芯片为主体的各类联网智能设备(以下简称“智能设备”或“IoT 设备”)正融入日常生活。智能设备的大规模普及给人们的生活带来了便利,同时也给用户个人资产安全和隐私保护带来了极大的冲击和挑战。

用于安防的摄像头被控制后,摇身一变成了泄露隐私的工具;路由器被攻击者盯上,轻则被“蹭网”重则泄露隐私信息。智能门锁也不能掉以轻心,一旦被破解,攻击者进出居民家就如入“无人之境”。智能设备引发的安全事件其影响范围已不再局限于虚拟世界,而是已经慢慢触及到真实的物理世界,甚至可能直接威胁到现实世界的人身安全。

解决方案

360天御团队面向智能终端、智能家居、智能穿戴、智能安防等多个领域,提供集IoT安全渗透服务、安全加固、密钥白盒、态势感知于一体,覆盖IoT系统“云、管、边、端”的全面专业安全解决方案。

360天御物联网安全解决方案
1. IoT安全渗透服务

IoT安全渗透服务对物联网云端、智能设备终端、管控端、通信链路进行全方位渗透,挖掘物理、固件、通信、APP、服务端等多方面的漏洞,帮助IoT客户在系统上线前进行漏洞发现和修复。

通过自动化检测平台与人工相结合,对IoT系统硬件、固件、应用、通信以及服务端进行深度安全渗透,提供定制化安全分析报告以及专业化建议。具有检测快速、覆盖全面、可定制等特点。

2. IoT安全加固

IoT安全加固可为IoT系统提供包括代码保护、固件加固、密钥防护、身份识别、数据加密、通信安全等多种安全组件,为客户的IoT系统提供全方位的安全防护。安全加固全面兼容当前主流的安卓、Linux、RTOS等系统。

提供完整安全套件,包括代码级、固件级以及应用级的安全加固服务,保护核心代码和核心函数的运行逻辑不被发现,降低后续高级攻击风险;
提供数据加密与身份认证组件,以软件形态解决不安全环境中密钥安全存储的问题,提供完整密钥安全解决方案;
提供通信协议加密保护工具,通过应用层的身份认证和加密,提供适配多种协议,多种场景的统一化通信安全方法。
3. 密钥白盒

密钥白盒是基于白盒密码技术研发的,针对目前物联网安全需求的新一代密钥安全和电子认证产品。

使用国产密码算法,实现用户敏感信息数据的加密和签名运算,以客户端SDK形式向移动互联网和云计算业务,提供统一友好的身份认证服务和数据加密服务,提升业务鉴权的合法性和安全性。

4. IoT态势感知

IoT态势感知是针对IoT系统上线后安全管控和运行打造的下一代IoT安全防控系统。通过植入天御态势感知SDK,360天御态势感知系统可以对所有管控范围内的IoT设备的运行状态、进程状态、网络状态等进行实时监控,及时发现攻击和异常。同时天御态势感知系统还可以通过中央平台向各IoT设备终端下发安全策略、版本更新、漏洞修复等,实现OTA升级,全面保护IoT系统的运行安全。

针对当前主流智能IoT设备版本(安卓,Linux)提供功能强大的SDK,实现IoT终端上的信息采集、漏洞发现、威胁防护以及软件更新等功能。同时基于大数据、机器学习、人工智能技术,对感知SDK上报的信息进行快速分析和响应,并可以通过SDK对于IoT设备在平台上进行集中管控。

方案价值

IoT终端设备安全上线

通过对IoT终端的安全渗透服务,挖掘系统内存在的漏洞风险,对可能存在的攻击方式进行模拟,同时给出对应解决方案,帮助修补漏洞;同时通过360天御安全加固产品,保护IoT各关键环节的安全,确保上线后安全。

提升业务鉴权的合法性和安全性

360密钥白盒解决方案的价值主要体现在移动金融领域、电子商务、电子政务三个场景的应用中。对银行、第三方支付等对安全要求较高的行业,在手机银行、手机支付等业务使用360天密密钥,有效保证交易数据安全。借助360天密密钥的公开密码运算服务,为各级网络电子商务服务系统提供用户身份认证、交易签名、订单交易确认等安全认证功能。360天密密钥应用在用户身份认证、文件数据保护以及公文流转、审批、网上办事大厅等环节,保证移动电子政务数据的可信、完整和可用。

城市级IoT整体安全管控
通过整体对城市内IoT设备进行状态监控、网络状态监控、进程状态监控等,实现对辖区内IoT设备的全面安全感知;
通过对IoT终端的有效安全策略下发、漏洞修复和组件更新,对城市内IoT设备提供及时的安全相应和防护;
通过对接大数据可视化系统,对于城市内所有IoT的安全状况一目了然,有效降低万物互联场景下城市内IoT设备被入侵、篡改、利用的风险,为智慧城市等建设提供有效的安全保障。

典型案例

IOT安全渗透
360集团IOT业务线智能终端全生命周期的安全渗透,在产品上线前及时发现产品潜在风险,进一步提升产品的安全性。
AI智能音箱安全评测
对市面上十余款主流智能音箱进行评测,发现隐私泄露、远程代码执行漏洞等高危风险。
某智慧园区安全防护项目
实时监控园区智能设备,发现异常随时上报;
及时下发控制策略,如对异常门禁下发锁死指令;
系统在线更新,实时修复安全风险。
某蓝牙Mesh网关、灯泡安全渗透
通过提取固件、逆向密码校验逻辑、破解密码算法、定位调试接口最终获取到系统root权限,利用手机越权漏洞可绑定任意用户的设备,从而实现了远程批量控制的攻击效果。
某智能穿戴公司通讯防护项目
IOT设备的数据传输和加密是整个IOT安全的关键因素,360密钥白盒方案为智能穿戴设备提供基于多种算法的白盒方案,解决了IoT设备的核心数据在前端的加解密痛点。