RSA2018安全大會熱議物聯網設備安全

隨著聯網設備逐漸走進人們的數字生活，物聯網（IoT）安全也就成了2018 RSA安全大會的熱門話題。RSA 2018大會上有很多關于物聯網漏洞的討論，但似乎并未給出一個明確的解決方案。

賽門鐵克產品管理資深總監約翰?庫克表示，如今的大量物聯網設備的制造商更像是“淘金熱”，每個人都想快速撈金。

IDC 市場研究公司表示，物聯網智能家居設備市場相當誘人，將成為第四大行業，預計的消費者物聯網支出2018年將達到620億美元（約合人民幣3900億元）。盡管如此，大多數設備的設計并未考慮安全性。

物聯網存在哪些安全問題？

2016年的 Mirai 僵尸網絡感染了30多萬臺包括網絡攝像頭和路由器在內的物聯網設備，這足以說明物聯網安全問題帶來的影響巨大。盡管 Mirai 僵尸網絡敲響了警鐘，但聯網智能家居設備的安全性似乎并未改觀。

ESET 全球安全推廣大使托尼?安斯科姆花費數月時間測試了12款物聯網設備，結果發現這些設備存在未加密的固件升級問題、未加密的攝像機視頻流、明文通信，密碼存儲未設置保護等安全缺陷。

物聯網安全過去幾年一直備受批評，物聯網設備隱私問題也是此次 RSA 大會頻頻強調的另一痛點，尤其 Amazon Echo 和 Google Home 這類語音助理設備興起之后更是如此。

安斯科姆指出，這些物聯網設備普遍存在一個可能與漏洞無關的問題——過度分享數據。他以物聯網體重秤為例，這類體重秤可與Amazon Alexa 連接，數據中會存儲用戶與稱之間的交互，而這正是網絡犯罪夢寐以求的事。

物聯網存在的各種安全問題需要物聯網設備制造商和終端用戶聯合采取措施確保設備安全，他們將安全視為低功耗聯網設備的昂貴替代品。Fitbit 公司的安全資深總監馬克? 鮑恩指出，許多聯網設備制造商愿意使用便宜的低功耗芯片，而非安全性高的芯片。鮑恩指出IoT設備的另一個問題是，物聯網設備有太多組件，包括處理器、云與Web服務、設備與應用程序，這導致很難兼顧所有這些組件的安全問題。系統的每部分都至關重要，漏洞可能就存在于應用程序、平臺、設備、傳感器和云中。

許多設備制造商升級物聯網設備安全性的第一個步驟是了解設備的使用方式，并利用對設備的了解創建威脅模型。鮑恩指出，設備制造商有必要創建威脅模型以考慮保護設備的所有情形。

庫克表示，制造商對安全性的重視必須由終端用戶來推動，但消費者強求要求安全性更佳的情況可能還沒有發生。