【RSA 2017】DAY 3 · 小安观感 | 物联网安全成热点话题

DAY 3

173个议题

17个与物联网相关

不知不觉中

热闹开场的RSA大会已经进入到了第三天

多个热点安全话题、技术趋势

在各会场上相继展开了热烈讨论 !

与往届RSA大会相比，本届大会的主题演讲焦点有些分散。会前各媒体总结出的五大或十大热门议题也不尽相同，但物联网（IoT）安全还是受到了大家的普遍认可。从第三天各会场的主题演讲或小组讨论的议题上看，大咖们都聚焦到了物联网安全这个主题上，也从一定程度上印证了这一点。

2月15日的议题共有173个，其中与物联网安全相关就有17个，差不多每10个议题中就有一个，这个比例不算低。

今天小安就以物联网安全为题为大家描述展会上所看到的前沿趋势。

议 题

保护你所未掌控的东西：Wi-Fi安全现状

演讲者: Pwnie Express 研发总监Rick Farina，aircrack的开发者

目前越来越多的物联网设备（打印机，安全摄像机，IoT传感器...）都自带Wi-Fi功能，包括了直接使用Wi-Fi的和使用桥接方式使用Wi-Fi的设备，但是Wi-Fi协议存在很多安全问题，导致这些物联网设备存在很多安全问题。之前出现的Mirai病毒等就攻击了一些设备，Rick Farina分析了Wi-Fi协议的安全性，并讨论了如何进行防护。

演讲中，Rick Farina以三星 Smartcam iWatch 漏洞为例，揭示物联网隐患。

在去年8月的DEFCON 22安全会议上，黑客博客Exploiteers的成员列出了网络摄像机的漏洞，允许远程摄像机执行，并允许他们更改管理员的密码。三星已修补了这个漏洞，但留下一组脚本：通过相机的“iWatch”网络摄像头监控服务提供固件更新的PHP文件。这些脚本有一个命令注入错误，允许没有管理员权限的用户以root权限远程执行命令。

七大最具危险性的攻击技术，

未来将会如何?

在主题演讲会场上题为“Seven Most Dangerous New Attack Techniques, and What's Coming Next (七大最具危险性的攻击技术，未来将会如何) ?”的小组讨论中，主持人SANS研究所的研究总监、创始人Alan Paller也着重谈到了物联网安全。

其他各个讨论物联网安全的会场

都可以用“人气爆棚”来形容

受篇幅所限

今天会上更多的物联网安全相关的议题

小安在这里就不一一列举了

~ ^.^ ~

小安点评

RSA DAY 3

这些议题所涉及的具体物联网设备各异，入侵手法不尽相同，但总结起来，可以得出一个相对明晰的结论：

随着微型传感器等技术的发展，接入物联网的设备越来越多，物联网正向万物互联网方向发展。与此同时，任何能接入物联网的设备都成为潜在的攻击来源。

在本次会议召开不久之前的2016年秋天，美国东海岸发生大规模DDoS攻击，该攻击占据了Dyn的数据中心，让许多知名网站无法正常使用。这些攻击产生高达1TB以上的峰值流量。

事后经调查，导致如此大规模攻击的元凶居然是毫不起眼的网络摄像头，此次事件正是在本次RSA大会上多个分论坛上都有所提及的Mirai事件，由此也引发了诸多厂商和参会者就这些物联网设备所带来的安全问题展开讨论。或许这也是物联网安全能够成为本届RSA大会热点话题的原因。

在国内，以关键基础设施为代表的物联网领域安全事件频发且逐年大幅度增加，对制造业、能源行业、水处理系统、运输系统、通信医疗设施、核工业、信息技术和政府等行业机构造成巨大影响。

目前大部分行业和机构的基础信息设施处于裸奔状态，时刻受到被泄漏和被攻击的风险。在互联网环境下，针对关键信息基础设施的新型攻击技术手段层出不穷，能源、关键制造、电力等重要行业关键信息基础设施成为了网络攻击的“重灾区”。

对此，安恒信息在2016年11月份推出了关键信息基础设施态势感知监测预警系统方案：

图：工控监测

图：安防监测

建设关键信息系统基础设施安全感知与监测预警系统，全面达到“可检测、可预警、可处置”；构建覆盖关键信息系统基础设施重要网络和信息系统的安全态势感知、监测研判、预警发布、应急处置的监测预警体系；实现行业网络安全整体可视、可知、可管、可防、可控，最终形成“云+平台+端”的立体式解决方案。充分利用云计算、大数据、机器学习等技术解决物联网安全领域普遍面对的“检测难”、“发现难”等问题，这与本届RSA大会上多位业界专家所提出的解决思路高度契合。

在接下来两天的大会议程中

还将有多场与物联网安全相关话题的演讲

对物联网安全感兴趣的同学

小安建议您关注以下议题 ：

2月16日

8:00 am - 8:45 am

Moscone South | 302

Securing the North American Electric Grid

演讲人：Marcus Sachs

9:15 am - 10:00 am

Moscone West | 3014

Meaningful Use or Meltdown: Is Your Electronic Health Record System Secure?

演讲人：Gib Sorebo

1:30 pm - 2:15 pm

Moscone West | 2002

IoT and Data’s Perilous Journey

演讲人：Greg Hoffer

1:30 pm - 2:15 pm

Moscone West | 2005

Securing Medical Devices Using Adaptive Testing Methodologies

演讲人：Daniel Miessler

1:30 pm - 2:15 pm

Marriott Marquis | Yerba Buena 13

Securing the Things with Internet: Law and Technical Issues for IoT

小组讨论

2月17日

8:00 am - 8:45 am

Moscone South | 308

MEDJACK.3: New Research on Attacks on Hospital Medical Devices

演讲人：Anthony James

9:00 am - 9:45 am

Moscone West | 2004

Navigating Cybersecurity in the Connected-Car Revolution

小组讨论

10:15 am - 11:00 am

Moscone West | 2004

Cyber/Physical Security and the IoT: National Security Considerations

小组讨论

10:15 am - 11:00 am

Moscone West | 2002

IoT End of Days

演讲人：Charles Henderson

11:30 am - 12:15 pm

Marriott Marquis | Yerba Buena 5

Life and Death: Security Considerations for Safety-Critical Industries

小组讨论