11月17日，由幾維安全和看雪學院聯合主辦的“2018物聯網安全行業論壇”在北京舉行。幾維安全CEO範俊偉在論壇上表示，由於攻擊者可直接購買、拆解物聯網終端，一旦獲取其程式碼，分析程式碼漏洞，就可進行攻擊。如果對程式碼進行加密，即使攻擊者拿到程式碼，也難以分析業務漏洞並實施攻擊。

幾維安全CEO範俊偉

範俊偉在分享中指出，據Gartner預測，到2020年物聯網將連結全球40億的使用者、250億以上的終端裝置，在此過程中將會有2500萬的應用App被開發出來，沉澱出超過50萬億GB的資料，同時創造出4萬億美金的收入機會。同時，不同於傳統裝置和應用場景的差異化安全需求凸顯。

範俊偉表示，傳統模式下，大多數業務邏輯放在伺服器上，其所面臨的威脅多是針對伺服器的攻擊，而在物聯網環境下，隨著數字資產的產生和業務場景的變化，大量智慧終端將出現在人們身邊，此時，智慧終端受到惡意利用和攻擊將給人帶來直接的安全威脅，造成資訊洩露、經濟受損甚至是人身安全，比如對智慧汽車、智慧家居產品的攻擊帶來的危害。

“物聯網終端的安全和Web（網站）伺服器的安全是不一樣的。”範俊偉指出，訪問Web網頁，使用者接觸不到伺服器，難以獲知伺服器中的業務漏洞。

而物聯網終端不同，其軟體部分以韌體的形式存在，其中的程式碼等內容是所有漏洞挖掘和軟體攻擊的基礎，由於物聯網終端裝置直接發到使用者手裡，黑灰產等攻擊者也可以購買裝置，然後進行拆解、提取程式碼、分析業務漏洞，進而實施攻擊。

有什麼方法能增加攻擊者獲取並分析程式碼的難度嗎？範俊偉指出，安全永遠都是一個對抗攻防的過程，更安全的體系構建和關鍵點保護能從空間上和時間上延緩攻擊、提高攻擊者的成本，導致其最終放棄攻擊。

傳統的保護方法只能增加獲取程式碼的難度，並不能增加分析程式碼的難度，比如在App上加一層“保護殼”，攻擊者一旦破解“保護殼”，將直接獲取程式碼，分析業務漏洞。而如果在開發過程中就加入加密機制，把安全技術下沉到程式碼層，不干預程式碼正常的業務邏輯，這樣一來，即使攻擊者拿到應用或終端，也難以分析業務邏輯和漏洞。

（文/南都個人資訊保護研究中心研究員 尤一煒）