五年前，我在紐約市第一次參加物聯(lián)網(wǎng)(IoT)會議，當(dāng)時“數(shù)字轉(zhuǎn)型”(digital transformation)一詞剛剛開始成為一個熱門詞匯，物聯(lián)網(wǎng)設(shè)備正隨處可見。就在那時，我意識到所有這些相互關(guān)聯(lián)的“東西”對網(wǎng)絡(luò)安全的影響。

如果沒有物聯(lián)網(wǎng)，設(shè)備僅僅是一件設(shè)備。他們運(yùn)行代碼，并被用來達(dá)到某一個特定的目的。它可以是你的恒溫器，車庫開門器，或心電圖機(jī)的程序。現(xiàn)在，在物聯(lián)網(wǎng)的世界所有這些設(shè)備都是相互連接的?？梢院芊奖愕淖屇愕暮銣仄髯兣?。我們所有的設(shè)備都可以方便地連接在一起，并且可以通過中央控制系統(tǒng)或某些消費(fèi)設(shè)備(如手機(jī)或平板電腦)相互通信。今天天氣太熱了? 讓你的恒溫器關(guān)閉你的百葉窗。或者，對著你的手機(jī)說話，讓你的前門打開。如果你的洗衣機(jī)需要檢查， 它可以通過API調(diào)用自己請求服務(wù)。

現(xiàn)代消費(fèi)者便利性

當(dāng)然，我們稱之為現(xiàn)代消費(fèi)者便利性，但它也非常方便攻擊者。隨著越來越多的設(shè)備連接在一起，攻擊面會無限增加，因此，脆弱性潛力也會增加。

一些消費(fèi)者可能并不擔(dān)心這一點(diǎn)?！暗降资裁词枪?”他們可能會問。制造商可能更關(guān)心把產(chǎn)品推出市場，而不是考慮他們產(chǎn)品的潛在漏洞。為什么有人會想要弄亂你的恒溫器，你的窗簾，或閱讀你的心電圖? 當(dāng)我們開始聽到有人侵入我們的設(shè)備意味著什么時——也許是你的嬰兒監(jiān)護(hù)儀用奇怪的噪音和威脅恐嚇你的家人，或者是有人侵入并關(guān)閉了你的起搏器——我們就會意識到它的危險性。

為什么保護(hù)物聯(lián)網(wǎng)設(shè)備如此不同?

那么，保護(hù)這些設(shè)備與保護(hù)其他設(shè)備(如桌面、服務(wù)器和手機(jī))有什么不同呢?攻擊者攻擊帶有易受攻擊代碼的設(shè)備并不新鮮。那么，物聯(lián)網(wǎng)有什么不同之處?為什么很難保護(hù)這些設(shè)備?

這里有很多因素在起作用，讓我們看看其中的一些：

1. 沒有完全理解風(fēng)險

制造商總是希望率先上市，推出最新的設(shè)備，但不了解這些設(shè)備可能存在的真正安全風(fēng)險。這意味著在功能競爭中，可能會忽略一些安全缺陷。消費(fèi)者往往不了解這些設(shè)備的安全風(fēng)險，因此不認(rèn)為制造商應(yīng)對這些風(fēng)險負(fù)責(zé)。我曾聽一個個人心電圖設(shè)備制造商說過“我認(rèn)為沒有人會愿意破解我們的設(shè)備”，而一些潛在的消費(fèi)者也同樣支持他們。

當(dāng)“事物”受到攻擊時，很難檢測到攻擊，并最終將責(zé)任推給制造商。畢竟，如果Windows系統(tǒng)崩潰，導(dǎo)致一天的工作損失，人們很容易將其歸咎于微軟。然而，如果攻擊者正在使用Wi-Fi路由器來挖掘比特幣，那么它可能需要更多的電力，但消費(fèi)者可能不會察覺。

2. 易于設(shè)置和身份驗(yàn)證

物聯(lián)網(wǎng)設(shè)備的部署也繼承了安全缺陷。通常，通過設(shè)置安全密碼或安裝通信安全密鑰來鎖定設(shè)備需要使用者方面的一些工作。然而，這些設(shè)備被設(shè)計為盡可能容易地安裝，幾乎沒有配置。不幸的是，這意味著默認(rèn)密碼被硬編碼到設(shè)備中，使用不安全的通信協(xié)議，并且選擇最寬松的權(quán)限。

3. 缺少補(bǔ)丁管理

最后，當(dāng)在服務(wù)器、桌面或手機(jī)中發(fā)現(xiàn)漏洞時，它們會被修補(bǔ)。補(bǔ)丁被分發(fā)并安裝在受影響的系統(tǒng)上。然而，補(bǔ)丁管理在嵌入式設(shè)備中變得更加困難。在這里，補(bǔ)丁機(jī)制要么不存在，要么實(shí)現(xiàn)得很糟糕。有時修補(bǔ)甚至是不可能的。雖然您可以在重新啟動時用一些停機(jī)時間來更新Windows機(jī)器，但是重新啟動起搏器可能不是用戶最感興趣的。

4. 致力于更安全的物聯(lián)網(wǎng)設(shè)備

這些原因是物聯(lián)網(wǎng)世界中最緊迫的問題，對攻擊者來說是有利可圖的，對安全從業(yè)者來說是困難的。然而，這并不意味著我們應(yīng)該放棄。有很多方法可以讓物聯(lián)網(wǎng)設(shè)備既方便消費(fèi)者，又不受攻擊。這只是需要一點(diǎn)努力和嚴(yán)謹(jǐn)。