我的安全图书阅读之一：《物联网设备安全》

最近在业余时间里阅读了尼特什-汉加尼的《物联网设备安全》，作者分享了自己熟悉的物联网产品所存在的安全设计缺陷问题，并提供了相关攻击代码，数据包，常用工具，实物图片等，对于如何建立安全解决方案，提出了自己的理念和观点，虽然书中的产品示例属于2015年以前的东西，但还是感觉眼界大开，在这里记录一下我的整理和总结。
    (1) 物联网设备的体系结构和设计初期就要考虑安全问题，实施安全策略，实现正确的安全功能，避免后期修补安全问题时所带来的高风险，高复杂性和高成本。
    (2) 一家公司的企业架构存在文化协同效应，相似的安全问题很可能存在于该公司的不同产品中，所以分析一家公司的多个产品安全性是否保持一致也是很重要的。
    (3) 物联网设备供应商必须为消费者提供更加透明、平滑的更新措施，允许安全补丁进行无缝衔接，同时要避免简单的设计失误，如弱密码算法或口令，单因素认证机制，中间人攻击，跨源策略等。
    (4) 安全设计本身应该成为物联网设备的一个明确目标，而不是沦为其可有可无的副产品，其中安全认证，通信安全，设备间互用性安全等问题是需要物联网设备提供商和消费者共同关注思考的。
    (5) 一定要由独立的、经过认证的第三方对产品的体系结构进行检查和评估，产品也要为安全研究人员提供一个清晰明确的通信渠道汇报发现的安全问题，并足够注意和重视，避免由于安全问题引起用户信任缺失或商业利益损害。
    (6) 网络安全的终极目标是使连接技术更加安全，更加迅速，使我们更加安全地享受技术带来的美好生活。