RSA2018安全大(dà)會熱議物(wù)聯網設備安全

随着聯網設備逐漸走進人們的數字生(shēng)活，物(wù)聯網(IoT)安全也就成了2018 RSA安全大(dà)會的熱門話(huà)題。RSA 2018大(dà)會上有很多關于物(wù)聯網漏洞的讨論，但似乎并未給出一(yī)個明确的解決方案。

賽門鐵克産品管理資(zī)深總監約翰·庫克表示，如今的大(dà)量物(wù)聯網設備的制造商(shāng)更像是“淘金熱”，每個人都想快速撈金。

IDC 市場研究公司表示，物(wù)聯網智能家居設備市場相當誘人，将成爲第四大(dà)行業，預計的消費(fèi)者物(wù)聯網支出2018年将達到620億美元(約合人民币3900億元)。盡管如此，大(dà)多數設備的設計并未考慮安全性。

物(wù)聯網存在哪些安全問題?

2016年的 Mirai 僵屍網絡感染了30多萬台包括網絡攝像頭和路由器在内的物(wù)聯網設備，這足以說明物(wù)聯網安全問題帶來的影響巨大(dà)。盡管 Mirai 僵屍網絡敲響了警鍾，但聯網智能家居設備的安全性似乎并未改觀。

ESET 全球安全推廣大(dà)使托尼·安斯科姆花費(fèi)數月時間測試了12款物(wù)聯網設備，結果發現這些設備存在未加密的固件升級問題、未加密的攝像機視頻(pín)流、明文通信，密碼存儲未設置保護等安全缺陷。

物(wù)聯網安全過去(qù)幾年一(yī)直備受批評，物(wù)聯網設備隐私問題也是此次 RSA 大(dà)會頻(pín)頻(pín)強調的另一(yī)痛點，尤其 Amazon Echo 和 Google Home 這類語音助理設備興起之後更是如此。

安斯科姆指出，這些物(wù)聯網設備普遍存在一(yī)個可能與漏洞無關的問題——過度分(fēn)享數據。他以物(wù)聯網體(tǐ)重秤爲例，這類體(tǐ)重秤可與Amazon Alexa 連接，數據中(zhōng)會存儲用戶與稱之間的交互，而這正是網絡犯罪夢寐以求的事。

物(wù)聯網存在的各種安全問題需要物(wù)聯網設備制造商(shāng)和終端用戶聯合采取措施确保設備安全，他們将安全視爲低功耗聯網設備的昂貴替代品。Fitbit 公司的安全資(zī)深總監馬克· 鮑恩指出，許多聯網設備制造商(shāng)願意使用便宜的低功耗芯片，而非安全性高的芯片。鮑恩指出IoT設備的另一(yī)個問題是，物(wù)聯網設備有太多組件，包括處理器、雲與Web服務、設備與應用程序，這導緻很難兼顧所有這些組件的安全問題。系統的每部分(fēn)都至關重要，漏洞可能就存在于應用程序、平台、設備、傳感器和雲中(zhōng)。

許多設備制造商(shāng)升級物(wù)聯網設備安全性的第一(yī)個步驟是了解設備的使用方式，并利用對設備的了解創建威脅模型。鮑恩指出，設備制造商(shāng)有必要創建威脅模型以考慮保護設備的所有情形。

庫克表示，制造商(shāng)對安全性的重視必須由終端用戶來推動，但消費(fèi)者強求要求安全性更佳的情況可能還沒有發生(shēng)。