物聯網安全是意識問題不是技術問題

　　物聯網(IoT)這個詞既寬泛又模糊，有一種說法是，它包含了任一一種能作為網絡一部分的“事物”。這個定義顯然不夠精準，事實上，沒哪種定義讓人滿意的。

　　細細琢磨，IoT似乎更多地是個心理范疇的概念，而非技術領域的概念。

　　對“什么是物聯網?”這個問題的回答，人們常常會以舉例子的方式，給出一長串實例。例子列表里可能包括：

　　· 智能家居

　　· SCADA/ICS

　　· 工廠自動化裝配機器人

　　· 自動駕駛汽車或聯網汽車

　　· 無線健身設備和其他可穿戴設備

　　· 聯網醫療機械

　　· 智能手機

　　· 家庭娛樂系統

　　· 計算機

　　這張列表對理解物聯網安全問題有什么幫助嗎?列表包含了那么多種事物和用例，以致很難看出期間有什么共性。其中一些東西在設計時就融合了安全思維，而其他的則完全無視了安全問題。有些是由用戶或管理員主動管理和維護的，其他則是一旦安裝上就拋之腦后再也不管了的。

　　想要圍繞物聯網問題展開有效討論，就得先對“物聯網”的定義達成共識。更具體來講，要討論物聯網安全，我們得定義和確認“有問題的物聯網(PIoT)”這個概念。上面那張列表里列出的東西里，或許有那么幾樣是可以不包含進來的。

　　這些設備的創造者和使用者的心理才是我們應該關注的，倒是它們工作的技術細節或者它們的設計目的反而沒那么重要。

　　桌面計算機位于物聯網設備列表的一端。計算機的創造者和用戶都默認這些機器應該定期更新，不時用殺毒軟件和其他安全工具查一查，理應好好維護機器的環境。計算機就是要有主動的管理才行。計算機安全，雖然遠未解決，卻一直是各方考慮的重點。每個人都清楚，他們重要的數據和資源處于風險之中，對計算機的攻擊行為一直都有。

　　相對比智能烤面包機(一個現實世界中或許尚未真實存在的典型例子)，很有可能無論是烤面包機的創造者還是用戶，都沒對烤面包機被黑的影響加以太多考慮。他們可能沒意識到烤糊了或者沒烤熟的面包也是會產生影響的。當然，安全專家們會將它們視作家庭網絡邊界中的脆弱設備。

　　安全專家知道，這些設備可被用于收集信息，捕獲網絡憑證，發起后續攻擊等等。確實，它們沒有用于管理和查看安全狀態的用戶界面。無論創造者還是用戶都沒期待一個烤面包機還要定期打補丁和更新。對大多數人而言，這種想法簡直太奇怪了。

　　一個相關的想法是：安全可不是設備可感知價值的一部分。用戶對他們的燈泡沒有安全需求，于是，他們不會為燈泡的安全支付額外的費用，創造者們(尤其是初創公司)也就不會在原始設計和架構中引入安全了。

　　而物聯網的麻煩(PIoT)直接誕生于創造者和用戶的思維。他們所做的第一個假設，就是設備不會被攻擊。他們可能會覺得，“不就一個智能燈泡嗎，根本沒有黑的價值啊”。或者，他們會認為，自己的技術都沒接入公共互聯網(比如SCADA設備)，沒有理由會被黑。