物聯(lián)網(wǎng)安全成了2018 RSA安全大會(huì)的熱門話題

E安全4月21日訊 隨著聯(lián)網(wǎng)設(shè)備逐漸走進(jìn)人們的數(shù)字生活，物聯(lián)網(wǎng)（IoT）安全也就成了2018 RSA安全大會(huì)的熱門話題。RSA 2018大會(huì)上有很多關(guān)于物聯(lián)網(wǎng)漏洞的討論，但似乎并未給出一個(gè)明確的解決方案。

賽門鐵克產(chǎn)品管理資深總監(jiān)約翰·庫(kù)克表示，如今的大量物聯(lián)網(wǎng)設(shè)備的制造商更像是“淘金熱”，每個(gè)人都想快速撈金。

IDC 市場(chǎng)研究公司表示，物聯(lián)網(wǎng)智能家居設(shè)備市場(chǎng)相當(dāng)誘人，將成為第四大行業(yè)，預(yù)計(jì)的消費(fèi)者物聯(lián)網(wǎng)支出2018年將達(dá)到620億美元（約合人民幣3900億元）。盡管如此，大多數(shù)設(shè)備的設(shè)計(jì)并未考慮安全性。

物聯(lián)網(wǎng)存在哪些安全問(wèn)題？

2016年的 Mirai 僵尸網(wǎng)絡(luò)感染了30多萬(wàn)臺(tái)包括網(wǎng)絡(luò)攝像頭和路由器在內(nèi)的物聯(lián)網(wǎng)設(shè)備，這足以說(shuō)明物聯(lián)網(wǎng)安全問(wèn)題帶來(lái)的影響巨大。盡管 Mirai 僵尸網(wǎng)絡(luò)敲響了警鐘，但聯(lián)網(wǎng)智能家居設(shè)備的安全性似乎并未改觀。

普遍的安全問(wèn)題

ESET 全球安全推廣大使托尼·安斯科姆花費(fèi)數(shù)月時(shí)間測(cè)試了12款物聯(lián)網(wǎng)設(shè)備，結(jié)果發(fā)現(xiàn)這些設(shè)備存在未加密的固件升級(jí)問(wèn)題、未加密的攝像機(jī)視頻流、明文通信，密碼存儲(chǔ)未設(shè)置保護(hù)等安全缺陷。

關(guān)注物聯(lián)網(wǎng)設(shè)備隱私

物聯(lián)網(wǎng)安全過(guò)去幾年一直備受批評(píng)，物聯(lián)網(wǎng)設(shè)備隱私問(wèn)題也是此次 RSA 大會(huì)頻頻強(qiáng)調(diào)的另一痛點(diǎn)，尤其 Amazon Echo 和 Google Home 這類語(yǔ)音助理設(shè)備興起之后更是如此。

安斯科姆指出，這些物聯(lián)網(wǎng)設(shè)備普遍存在一個(gè)可能與漏洞無(wú)關(guān)的問(wèn)題——過(guò)度分享數(shù)據(jù)。他以物聯(lián)網(wǎng)體重秤為例，這類體重秤可與 Amazon Alexa 連接，數(shù)據(jù)中會(huì)存儲(chǔ)用戶與稱之間的交互，而這正是網(wǎng)絡(luò)犯罪夢(mèng)寐以求的事。

芯片問(wèn)題與成本

物聯(lián)網(wǎng)存在的各種安全問(wèn)題需要物聯(lián)網(wǎng)設(shè)備制造商和終端用戶聯(lián)合采取措施確保設(shè)備安全，他們將安全視為低功耗聯(lián)網(wǎng)設(shè)備的昂貴替代品。Fitbit 公司的安全資深總監(jiān)馬克·鮑恩指出，許多聯(lián)網(wǎng)設(shè)備制造商愿意使用便宜的低功耗芯片，而非安全性高的芯片。

組件太多，狀況復(fù)雜

鮑恩指出 IoT 設(shè)備的另一個(gè)問(wèn)題是，物聯(lián)網(wǎng)設(shè)備有太多組件，包括處理器、云與Web服務(wù)、設(shè)備與應(yīng)用程序，這導(dǎo)致很難兼顧所有這些組件的安全問(wèn)題。系統(tǒng)的每部分都至關(guān)重要，漏洞可能就存在于應(yīng)用程序、平臺(tái)、設(shè)備、傳感器和云中。

許多設(shè)備制造商升級(jí)物聯(lián)網(wǎng)設(shè)備安全性的第一個(gè)步驟是了解設(shè)備的使用方式，并利用對(duì)設(shè)備的了解創(chuàng)建威脅模型。鮑恩指出，設(shè)備制造商有必要?jiǎng)?chuàng)建威脅模型以考慮保護(hù)設(shè)備的所有情形。

制造商對(duì)安全性的重視必須由終端用戶來(lái)推動(dòng)，但消費(fèi)者強(qiáng)求要求安全性更佳的情況可能還沒(méi)有發(fā)生。