随着网络设备逐渐进入人们的数字生活,物联网(IoT)安全已成为2018年RSA安全大会的热门话题。在RSA2018上有很多关于物联网漏洞的讨论,但似乎没有一个明确的解决方案。赛门铁克产品管理高级总监约翰库克表示,如今的物联网设备制造商更像是“淘金热”,每个人都想赚快钱。据IDC市场研究公司预测,物联网智能家居设备市场极具吸引力,将成为第四大产业,预计2018年消费者物联网支出将达到620亿美元(约合人民币3900亿元)。尽管因此,大多数设备在设计时都没有考虑到安全性。物联网中存在哪些安全问题?2016年的Mirai僵尸网络感染了包括网络摄像头和路由器在内的超过30万台物联网设备,足以说明物联网安全问题的巨大影响。尽管Mirai僵尸网络敲响了警钟,但互联智能家居设备的安全性似乎并没有得到改善。ESET全球安全大使TonyAnscombe花费数月时间测试了12款物联网设备,发现它们存在未加密的固件升级、未加密的摄像头视频流、明文通信和未受保护的密码存储等安全漏洞。物联网安全在过去几年一直饱受诟病,物联网设备的隐私是RSA大会上强调的另一个痛点,尤其是随着亚马逊Echo和谷歌Home等语音助手设备的兴起。Anscomb指出这些物联网设备的一个常见问题可能与漏洞无关——过度共享数据。他引用了物联网秤的例子,它连接到亚马逊Alexa并存储用户与网络犯罪分子垂涎的数据中的秤的交互。IoT的各种安全问题需要IoT设备制造商和最终用户采取联合措施来保护设备,他们将安全视为低功耗连接设备的昂贵替代方案。Fitbit的高级安全主管马克鲍文指出,许多连接设备制造商更喜欢使用便宜、低功耗的芯片,而不是更安全的芯片。Bowen指出,物联网设备的另一个问题是物联网设备的组件太多,包括处理器、云和网络服务、设备和应用程序,这使得很难考虑所有这些组件的安全问题。系统的每个部分都很关键,漏洞可能存在于应用程序、平台、设备、传感器和云中。许多设备制造商升级物联网设备安全性的第一步是了解设备的使用方式,并利用这些知识创建威胁模型。Bowen指出,设备制造商有必要创建考虑所有场景的威胁模型来保护设备。库克表示,制造商对安全性的重视必须由最终用户推动,但消费者可能还没有要求更好的安全性。
