RSA2018安全大会热议物联网设备安全

随着联网设备逐渐走进人们的数字生活，物联网（IoT）安全也就成了2018 RSA安全大会的热门话题。RSA 2018大会上有很多关于物联网漏洞的讨论，但似乎并未给出一个明确的解决方案。

赛门铁克产品管理资深总监约翰•库克表示，如今的大量物联网设备的制造商更像是“淘金热”，每个人都想快速捞金。

IDC 市场研究公司表示，物联网智能家居设备市场相当诱人，将成为第四大行业，预计的消费者物联网支出2018年将达到620亿美元（约合人民币3900亿元）。尽管如此，大多数设备的设计并未考虑安全性。

物联网存在哪些安全问题？

2016年的 Mirai 僵尸网络感染了30多万台包括网络摄像头和路由器在内的物联网设备，这足以说明物联网安全问题带来的影响巨大。尽管 Mirai 僵尸网络敲响了警钟，但联网智能家居设备的安全性似乎并未改观。

ESET 全球安全推广大使托尼•安斯科姆花费数月时间测试了12款物联网设备，结果发现这些设备存在未加密的固件升级问题、未加密的摄像机视频流、明文通信，密码存储未设置保护等安全缺陷。

物联网安全过去几年一直备受批评，物联网设备隐私问题也是此次 RSA 大会频频强调的另一痛点，尤其 Amazon Echo 和 Google Home 这类语音助理设备兴起之后更是如此。

安斯科姆指出，这些物联网设备普遍存在一个可能与漏洞无关的问题——过度分享数据。他以物联网体重秤为例，这类体重秤可与Amazon Alexa 连接，数据中会存储用户与称之间的交互，而这正是网络犯罪梦寐以求的事。

物联网存在的各种安全问题需要物联网设备制造商和终端用户联合采取措施确保设备安全，他们将安全视为低功耗联网设备的昂贵替代品。Fitbit 公司的安全资深总监马克• 鲍恩指出，许多联网设备制造商愿意使用便宜的低功耗芯片，而非安全性高的芯片。鲍恩指出IoT设备的另一个问题是，物联网设备有太多组件，包括处理器、云与Web服务、设备与应用程序，这导致很难兼顾所有这些组件的安全问题。系统的每部分都至关重要，漏洞可能就存在于应用程序、平台、设备、传感器和云中。

许多设备制造商升级物联网设备安全性的第一个步骤是了解设备的使用方式，并利用对设备的了解创建威胁模型。鲍恩指出，设备制造商有必要创建威胁模型以考虑保护设备的所有情形。

库克表示，制造商对安全性的重视必须由终端用户来推动，但消费者强求要求安全性更佳的情况可能还没有发生。