物聯(lián)網(wǎng)安全是意識問(wèn)題不是技術(shù)問(wèn)題

　　物聯(lián)網(wǎng)(IoT)這個(gè)詞既寬泛又模糊，有一種說(shuō)法是，它包含了任一一種能作為網(wǎng)絡(luò )一部分的“事物”。這個(gè)定義顯然不夠精準，事實(shí)上，沒(méi)哪種定義讓人滿(mǎn)意的。

　　細細琢磨，IoT似乎更多地是個(gè)心理范疇的概念，而非技術(shù)領(lǐng)域的概念。

　　對“什么是物聯(lián)網(wǎng)?”這個(gè)問(wèn)題的回答，人們常常會(huì )以舉例子的方式，給出一長(cháng)串實(shí)例。例子列表里可能包括：

　　· 智能家居

　　· SCADA/ICS

　　· 工廠(chǎng)自動(dòng)化裝配機器人

　　· 自動(dòng)駕駛汽車(chē)或聯(lián)網(wǎng)汽車(chē)

　　· 無(wú)線(xiàn)健身設備和其他可穿戴設備

　　· 聯(lián)網(wǎng)醫療機械

　　· 智能手機

　　· 家庭娛樂(lè )系統

　　· 計算機

　　這張列表對理解物聯(lián)網(wǎng)安全問(wèn)題有什么幫助嗎?列表包含了那么多種事物和用例，以致很難看出期間有什么共性。其中一些東西在設計時(shí)就融合了安全思維，而其他的則完全無(wú)視了安全問(wèn)題。有些是由用戶(hù)或管理員主動(dòng)管理和維護的，其他則是一旦安裝上就拋之腦后再也不管了的。

　　想要圍繞物聯(lián)網(wǎng)問(wèn)題展開(kāi)有效討論，就得先對“物聯(lián)網(wǎng)”的定義達成共識。更具體來(lái)講，要討論物聯(lián)網(wǎng)安全，我們得定義和確認“有問(wèn)題的物聯(lián)網(wǎng)(PIoT)”這個(gè)概念。上面那張列表里列出的東西里，或許有那么幾樣是可以不包含進(jìn)來(lái)的。

　　這些設備的創(chuàng )造者和使用者的心理才是我們應該關(guān)注的，倒是它們工作的技術(shù)細節或者它們的設計目的反而沒(méi)那么重要。

　　桌面計算機位于物聯(lián)網(wǎng)設備列表的一端。計算機的創(chuàng )造者和用戶(hù)都默認這些機器應該定期更新，不時(shí)用殺毒軟件和其他安全工具查一查，理應好好維護機器的環(huán)境。計算機就是要有主動(dòng)的管理才行。計算機安全，雖然遠未解決，卻一直是各方考慮的重點(diǎn)。每個(gè)人都清楚，他們重要的數據和資源處于風(fēng)險之中，對計算機的攻擊行為一直都有。

　　相對比智能烤面包機(一個(gè)現實(shí)世界中或許尚未真實(shí)存在的典型例子)，很有可能無(wú)論是烤面包機的創(chuàng )造者還是用戶(hù)，都沒(méi)對烤面包機被黑的影響加以太多考慮。他們可能沒(méi)意識到烤糊了或者沒(méi)烤熟的面包也是會(huì )產(chǎn)生影響的。當然，安全專(zhuān)家們會(huì )將它們視作家庭網(wǎng)絡(luò )邊界中的脆弱設備。

　　安全專(zhuān)家知道，這些設備可被用于收集信息，捕獲網(wǎng)絡(luò )憑證，發(fā)起后續攻擊等等。確實(shí)，它們沒(méi)有用于管理和查看安全狀態(tài)的用戶(hù)界面。無(wú)論創(chuàng )造者還是用戶(hù)都沒(méi)期待一個(gè)烤面包機還要定期打補丁和更新。對大多數人而言，這種想法簡(jiǎn)直太奇怪了。

　　一個(gè)相關(guān)的想法是：安全可不是設備可感知價(jià)值的一部分。用戶(hù)對他們的燈泡沒(méi)有安全需求，于是，他們不會(huì )為燈泡的安全支付額外的費用，創(chuàng )造者們(尤其是初創(chuàng )公司)也就不會(huì )在原始設計和架構中引入安全了。

　　而物聯(lián)網(wǎng)的麻煩(PIoT)直接誕生于創(chuàng )造者和用戶(hù)的思維。他們所做的第一個(gè)假設，就是設備不會(huì )被攻擊。他們可能會(huì )覺(jué)得，“不就一個(gè)智能燈泡嗎，根本沒(méi)有黑的價(jià)值啊”?；蛘?，他們會(huì )認為，自己的技術(shù)都沒(méi)接入公共互聯(lián)網(wǎng)(比如SCADA設備)，沒(méi)有理由會(huì )被黑。