通過開發硬件設備及其后端系統的原型，以及銷售物聯網設備，我們了解了很多關于物聯網安全方面的陷阱和問題。

事實證明，幾乎所有的連網設備都容易受到攻擊。研究人員表明，可以遠程控制自動駕駛汽車、操縱植入式醫療設備、破壞投票機，當然還有其他各種“智能”設備，例如門鎖、燈泡、恒溫器等。在奧地利，一家酒店受到黑客威脅，如果酒店不支付比特幣贖金，他們的客人將無法打開房門。

后果是顯而易見的。未經授權的人能夠控制關鍵設備和基礎設施是一場噩夢。很明顯，一些攻擊甚至會造成生命損失——想想汽車剎車失靈或是操縱飛機系統。

但是，除了能夠控制這些設備及其行為的后果之外，這些設備還帶來了更大的威脅：它們是攻擊者侵入同一網絡中其他系統的跳板，這可能更為關鍵。試想一下，一家大公司的文件或郵件服務器因為網絡中有一個不安全的IP攝像頭而遭到黑客攻擊。黑客利用一臺價值50美元的設備作為攻擊媒介，來獲取非常敏感的信息?；蛘呦胂肜帽徊倏v的物聯網設備對域名系統進行的分布式拒絕服務攻擊，這使得Netflix、Yahoo和其他公司的服務在相當長的時間內無法使用。

物聯網易受攻擊的原因

攻擊物聯網設備的吸引力顯著增加，因為這些設備的采用率在過去幾年里增加了很多，而且它們非常容易破解。

另一個因素在于，大多數系統都在統一的軟件堆棧上運行，因此，在攻擊者知道如何接管特定模型或操作平臺的那一刻，他通常能夠都訪問更多具有類似特征的設備。

攻擊這些設備的潛在利益進一步增加，因為這些設備被用于越來越多的關鍵應用，并且通常連接到包含關鍵系統的網絡，這些網絡可以通過這種方式滲透。

因此，在過去的幾年里，攻擊利益發生了很大的變化，有利于攻擊者，并使攻擊它們成為一個很好的生意。

但是，為什么這些設備很容易被攻擊？

▲增加攻擊面

大多數物聯網設備都提供了許多功能，包括存儲和處理能力以及重要的軟件堆棧——通常是功能完善的設備操作系統。系統中軟件和功能的增加會導致更大的攻擊面，從而允許更多的攻擊可能性。

對于互連的異構環境尤其如此，在這種環境中，一個設備中的漏洞可能導致對其他設備的攻擊。日益復雜的互連和訪問可能性使得監測、保護和控制環境變得更加困難。

一個簡單的例子：過去，入侵醫療設備的方法是闖入醫院的機房，然后連接到其串行接口以刷新其固件，但現在黑客可以坐在世界另一端的沙發上，通過使用常規的通信網絡和他的筆記本電腦來攻擊醫療設備。在破壞了這個設備后，他可以檢查網絡的其他部分，尋找其他有希望的目標。

▲供應商沒有建立安全系統的動力

構建硬件是一個復雜的、持久的過程，并且芯片組的價格比較低。此外，物聯網領域的技術發展非常迅速，尤其是在無線通信標準方面。因此，硬件制造商寧愿投資支持新功能和標準的新芯片組，也不愿修復舊芯片組。

物聯網設備本身通常是由第三方硬件和軟件開發商構建，這些供應商沒有建立安全系統的動力，因為其客戶根據功能和定價做出購買決策，而不是根據安全性或工程質量。因此，經常使用過時軟件、固件和硬件（已知存在安全漏洞）來運行設備，因為修復缺陷或使自己的軟件適應已修復的第三方庫意味著大量的工作。有時這甚至是不可能的，因為驅動程序通常只能作為二進制文件使用。

最新的編譯器可以幫助修復軟件中一些最嚴重的安全缺陷，但更糟糕的是，開發環境通常也完全過時了。

甚至這些設備的運營商有時也沒有解決問題的真正動力，因為設備通常僅被視為銷售其他服務的媒介。

▲運營自有物聯網設備的公司缺少專業知識

銷售和運營自有物聯網設備的公司通常不將硬件或軟件開發視為其核心能力，因此缺乏有關如何構建安全設備和服務的專業知識。

看看物聯網設備的生態系統就能明白這一點。鎖、加熱器、冰箱和汽車制造商現在正在生產其IT產品——他們很難雇傭到必要的人才來生產開發的產品，甚至很難有效地協調服務合作伙伴。

為什么修復起來這么困難？

過去，我們關注的是我們必須保護服務器和客戶端計算機。在90年代經歷慘痛教訓后，我們在保持系統安全方面做得更好了。不是因為我們修復了軟件的開發過程，從而避免了錯誤，而是，我們通過推出自動更新和快速修復關鍵錯誤而變得非常擅長修復問題，而無需用戶交互。智能手機也是如此。

我們有數十億這樣的設備，但奇怪的是，到目前為止，我們還沒有遇到全球安全問題，這是因為一旦發現缺陷，制造商就會提供軟件更新來相對快速地解決安全問題。

但是，物聯網的情況有所不同。

▲無法解決更新問題

通常不可能通過軟件更新來解決安全問題，因為大多數物聯網設備的存儲、網絡帶寬有限。有時有可能安裝更新，但安裝過程非常繁瑣且有風險。一些物聯網設備的產品使用壽命很長，這使得這個問題更加嚴重。因此，有可能發生的情況是，一臺易受攻擊的冰箱保持在線25年而沒有得到修復。

▲自主操作

即使可以進行更新，用戶也不會定期進行檢查。因此，不必要的、過時的或行為異常的設備常常不被注意。通常情況下，設備只需要設置一次，就可以自主運行，但是幾乎沒有設備支持自動更新。更糟糕的是，設備始終處于聯機狀態，并且通常留有默認密碼和配置。

▲對軟件缺陷造成的損害不承擔賠償責任

軟件許可通常排除了所有損害賠償責任。因此，物聯網設備的運營商沒有動力修復其產品中的缺陷，或確保指導其硬件和軟件服務提供商謹慎地構建安全可靠的產品。取而代之的是，他們將損害成本外部化。

如何修復物聯網

物聯網設備安全性不足，會因缺少適當的開發投資而造成他人損失，從而造成外部效應。這些外部性的例子是，在DDOS攻擊中，設計不良的物聯網設備使第三方服務變得不可用，或者不安全的自動駕駛汽車撞倒行人。

空氣污染也是類似的情況。一家不使用過濾器來清潔廢氣的公司會產生外部效應，因為污染的成本會強加給其他人，比如被污染的空氣會給生活在城市中人們帶來嚴重的健康問題。

在某些時候，政府采取了避免這些外部效應的措施，并頒布了過濾廢氣的法規。另一種將外部問題內部化的方法是二氧化碳排放證書，這種方法試圖使公司的成本與它們施加給外部的影響相匹配。

在物聯網時代，外部效應日益嚴重，這就是為什么我們呼吁把安全從作為一種保護性手段轉變為保護他人免受傷害手段的原因所在。

因此，我們認為就物聯網而言，在法規方面也需要采取類似防止空氣污染的監管方法。

已經有一些法規影響了一些物聯網設備，如主要針對電磁干擾的強制性FCC或CE認證，以及旨在保護用戶數據的一般數據保護規范（GDPR）。

監管有時不夠靈活，限制了創新，并增加了企業的運營成本，而且只覆蓋最基本的東西。但這是可以改變的。

就像安全資深人士布魯斯·施耐爾（Bruce Schneier）所說的那樣：“我們需要重建對集體治理機構的信心。法律和政策可能看起來沒有數字技術那么酷，但它們也是關鍵的創新領域。”

激勵措施

無論生產過程中涉及的各方以及運營物聯網設備的方式如何，都必須有效地激勵他們生產和銷售安全的產品，并激勵最終客戶正確安裝這些設備。

朝著這個方向邁出的關鍵一步是讓各方對不符合法律要求的設備造成的損害承擔責任。由于生產完全安全的設備既不可能，也不符合經濟利益，因此應強制規定適當的保險。這樣，保險費就可以作為額外的靈活可能性來激勵適當的設計和安裝。

為此，需要一種有效的方法來評估設備的安全性。擴展的CE或FCC認證可以作為等式的一部分，而可靠、高效和及時的軟件安全評估可能是迄今為止難以實現的另一部分。

到目前為止，軟件認證提供商鼓勵開發滿足最低要求的軟件，但那些制造更安全產品的公司卻得不到獎勵。此外，營利性組織通常不公開其測試程序，這使它們在許多專家看來都不可信。除此之外，他們的獨立性經常受到質疑。

強制更新功能

除了從一開始就鼓勵構建安全的產品外，軟件驅動的產品必須經常更新。

即使制造商有足夠的動力去投資適當的設計，也無法從技術上或經濟上評估物聯網設備在其生命周期中可能面臨的所有威脅和問題。（來源物聯之家）因此，做出反應和推出更新對于維護設備安全至關重要，并且對于所有物聯網產品都是強制性的。

降低復雜性

一些物聯網設備的使用案例（例如，在線烤面包機）會因法規和保險費而變得過于昂貴。這也許是個好主意，因為我們真的必須降低我們構建的系統的復雜性。

這可以通過以下兩種方法來實現：要么不將它們互連，因為與日益增加的復雜性可能造成的損害相比，附加值太小了，要么通過鎖定這些設備來實現。這意味著將它們放在安全的子網絡中，以確保網絡參與者不會影響它們。

總結

如果我們不改變我們開發和使用物聯網設備的方法，我們將面臨嚴重的麻煩。一般來說，政府只有在許多人受到傷害、公眾輿論要求承擔后果后才會采取行動。

我們必須預見這種發展，并減少在此過程中造成的損害。否則，我們將不得不迅速解決問題，而倉促行事通常不是采取立法行動的最佳因素。

責任編輯：lq