物聯(lián)網(wǎng)安全成了2018 RSA安全大會的熱門話題

E安全4月21日訊 隨著聯(lián)網(wǎng)設備逐漸走進人們的數(shù)字生活，物聯(lián)網(wǎng)（IoT）安全也就成了2018 RSA安全大會的熱門話題。RSA 2018大會上有很多關于物聯(lián)網(wǎng)漏洞的討論，但似乎并未給出一個明確的解決方案。

賽門鐵克產(chǎn)品管理資深總監(jiān)約翰·庫克表示，如今的大量物聯(lián)網(wǎng)設備的制造商更像是“淘金熱”，每個人都想快速撈金。

IDC 市場研究公司表示，物聯(lián)網(wǎng)智能家居設備市場相當誘人，將成為第四大行業(yè)，預計的消費者物聯(lián)網(wǎng)支出2018年將達到620億美元（約合人民幣3900億元）。盡管如此，大多數(shù)設備的設計并未考慮安全性。

物聯(lián)網(wǎng)存在哪些安全問題？

2016年的 Mirai 僵尸網(wǎng)絡感染了30多萬臺包括網(wǎng)絡攝像頭和路由器在內(nèi)的物聯(lián)網(wǎng)設備，這足以說明物聯(lián)網(wǎng)安全問題帶來的影響巨大。盡管 Mirai 僵尸網(wǎng)絡敲響了警鐘，但聯(lián)網(wǎng)智能家居設備的安全性似乎并未改觀。

普遍的安全問題

ESET 全球安全推廣大使托尼·安斯科姆花費數(shù)月時間測試了12款物聯(lián)網(wǎng)設備，結(jié)果發(fā)現(xiàn)這些設備存在未加密的固件升級問題、未加密的攝像機視頻流、明文通信，密碼存儲未設置保護等安全缺陷。

關注物聯(lián)網(wǎng)設備隱私

物聯(lián)網(wǎng)安全過去幾年一直備受批評，物聯(lián)網(wǎng)設備隱私問題也是此次 RSA 大會頻頻強調(diào)的另一痛點，尤其 Amazon Echo 和 Google Home 這類語音助理設備興起之后更是如此。

安斯科姆指出，這些物聯(lián)網(wǎng)設備普遍存在一個可能與漏洞無關的問題——過度分享數(shù)據(jù)。他以物聯(lián)網(wǎng)體重秤為例，這類體重秤可與 Amazon Alexa 連接，數(shù)據(jù)中會存儲用戶與稱之間的交互，而這正是網(wǎng)絡犯罪夢寐以求的事。

芯片問題與成本

物聯(lián)網(wǎng)存在的各種安全問題需要物聯(lián)網(wǎng)設備制造商和終端用戶聯(lián)合采取措施確保設備安全，他們將安全視為低功耗聯(lián)網(wǎng)設備的昂貴替代品。Fitbit 公司的安全資深總監(jiān)馬克·鮑恩指出，許多聯(lián)網(wǎng)設備制造商愿意使用便宜的低功耗芯片，而非安全性高的芯片。

組件太多，狀況復雜

鮑恩指出 IoT 設備的另一個問題是，物聯(lián)網(wǎng)設備有太多組件，包括處理器、云與Web服務、設備與應用程序，這導致很難兼顧所有這些組件的安全問題。系統(tǒng)的每部分都至關重要，漏洞可能就存在于應用程序、平臺、設備、傳感器和云中。

許多設備制造商升級物聯(lián)網(wǎng)設備安全性的第一個步驟是了解設備的使用方式，并利用對設備的了解創(chuàng)建威脅模型。鮑恩指出，設備制造商有必要創(chuàng)建威脅模型以考慮保護設備的所有情形。

制造商對安全性的重視必須由終端用戶來推動，但消費者強求要求安全性更佳的情況可能還沒有發(fā)生。