五年前，我在紐約市第一次參加物聯(lián)網(wǎng)(IoT)會(huì)議，當(dāng)時(shí)“數(shù)字轉(zhuǎn)型”(digital transformation)一詞剛剛開(kāi)始成為一個(gè)熱門詞匯，物聯(lián)網(wǎng)設(shè)備正隨處可見(jiàn)。就在那時(shí)，我意識(shí)到所有這些相互關(guān)聯(lián)的“東西”對(duì)網(wǎng)絡(luò)安全的影響。

如果沒(méi)有物聯(lián)網(wǎng)，設(shè)備僅僅是一件設(shè)備。他們運(yùn)行代碼，并被用來(lái)達(dá)到某一個(gè)特定的目的。它可以是你的恒溫器，車庫(kù)開(kāi)門器，或心電圖機(jī)的程序?，F(xiàn)在，在物聯(lián)網(wǎng)的世界所有這些設(shè)備都是相互連接的。可以很方便的讓你的恒溫器變暖。我們所有的設(shè)備都可以方便地連接在一起，并且可以通過(guò)中央控制系統(tǒng)或某些消費(fèi)設(shè)備(如手機(jī)或平板電腦)相互通信。今天天氣太熱了? 讓你的恒溫器關(guān)閉你的百葉窗?；蛘撸瑢?duì)著你的手機(jī)說(shuō)話，讓你的前門打開(kāi)。如果你的洗衣機(jī)需要檢查， 它可以通過(guò)API調(diào)用自己請(qǐng)求服務(wù)。

[[232529]]

現(xiàn)代消費(fèi)者便利性

當(dāng)然，我們稱之為現(xiàn)代消費(fèi)者便利性，但它也非常方便攻擊者。隨著越來(lái)越多的設(shè)備連接在一起，攻擊面會(huì)無(wú)限增加，因此，脆弱性潛力也會(huì)增加。

一些消費(fèi)者可能并不擔(dān)心這一點(diǎn)。“到底什么是攻擊?”他們可能會(huì)問(wèn)。制造商可能更關(guān)心把產(chǎn)品推出市場(chǎng)，而不是考慮他們產(chǎn)品的潛在漏洞。為什么有人會(huì)想要弄亂你的恒溫器，你的窗簾，或閱讀你的心電圖? 當(dāng)我們開(kāi)始聽(tīng)到有人侵入我們的設(shè)備意味著什么時(shí)——也許是你的嬰兒監(jiān)護(hù)儀用奇怪的噪音和威脅恐嚇你的家人，或者是有人侵入并關(guān)閉了你的起搏器——我們就會(huì)意識(shí)到它的危險(xiǎn)性。

為什么保護(hù)物聯(lián)網(wǎng)設(shè)備如此不同?

那么，保護(hù)這些設(shè)備與保護(hù)其他設(shè)備(如桌面、服務(wù)器和手機(jī))有什么不同呢?攻擊者攻擊帶有易受攻擊代碼的設(shè)備并不新鮮。那么，物聯(lián)網(wǎng)有什么不同之處?為什么很難保護(hù)這些設(shè)備?

這里有很多因素在起作用，讓我們看看其中的一些：

1. 沒(méi)有完全理解風(fēng)險(xiǎn)

制造商總是希望率先上市，推出最新的設(shè)備，但不了解這些設(shè)備可能存在的真正安全風(fēng)險(xiǎn)。這意味著在功能競(jìng)爭(zhēng)中，可能會(huì)忽略一些安全缺陷。消費(fèi)者往往不了解這些設(shè)備的安全風(fēng)險(xiǎn)，因此不認(rèn)為制造商應(yīng)對(duì)這些風(fēng)險(xiǎn)負(fù)責(zé)。我曾聽(tīng)一個(gè)個(gè)人心電圖設(shè)備制造商說(shuō)過(guò)“我認(rèn)為沒(méi)有人會(huì)愿意破解我們的設(shè)備”，而一些潛在的消費(fèi)者也同樣支持他們。

當(dāng)“事物”受到攻擊時(shí)，很難檢測(cè)到攻擊，并最終將責(zé)任推給制造商。畢竟，如果Windows系統(tǒng)崩潰，導(dǎo)致一天的工作損失，人們很容易將其歸咎于微軟。然而，如果攻擊者正在使用Wi-Fi路由器來(lái)挖掘比特幣，那么它可能需要更多的電力，但消費(fèi)者可能不會(huì)察覺(jué)。

2. 易于設(shè)置和身份驗(yàn)證

物聯(lián)網(wǎng)設(shè)備的部署也繼承了安全缺陷。通常，通過(guò)設(shè)置安全密碼或安裝通信安全密鑰來(lái)鎖定設(shè)備需要使用者方面的一些工作。然而，這些設(shè)備被設(shè)計(jì)為盡可能容易地安裝，幾乎沒(méi)有配置。不幸的是，這意味著默認(rèn)密碼被硬編碼到設(shè)備中，使用不安全的通信協(xié)議，并且選擇最寬松的權(quán)限。

3. 缺少補(bǔ)丁管理

最后，當(dāng)在服務(wù)器、桌面或手機(jī)中發(fā)現(xiàn)漏洞時(shí)，它們會(huì)被修補(bǔ)。補(bǔ)丁被分發(fā)并安裝在受影響的系統(tǒng)上。然而，補(bǔ)丁管理在嵌入式設(shè)備中變得更加困難。在這里，補(bǔ)丁機(jī)制要么不存在，要么實(shí)現(xiàn)得很糟糕。有時(shí)修補(bǔ)甚至是不可能的。雖然您可以在重新啟動(dòng)時(shí)用一些停機(jī)時(shí)間來(lái)更新Windows機(jī)器，但是重新啟動(dòng)起搏器可能不是用戶最感興趣的。

4. 致力于更安全的物聯(lián)網(wǎng)設(shè)備

這些原因是物聯(lián)網(wǎng)世界中最緊迫的問(wèn)題，對(duì)攻擊者來(lái)說(shuō)是有利可圖的，對(duì)安全從業(yè)者來(lái)說(shuō)是困難的。然而，這并不意味著我們應(yīng)該放棄。有很多方法可以讓物聯(lián)網(wǎng)設(shè)備既方便消費(fèi)者，又不受攻擊。這只是需要一點(diǎn)努力和嚴(yán)謹(jǐn)。