物联网安全是意识问题不是技术问题

物联网安全是意识问题不是技术问题,第1张

  物联网IoT)这个词既宽泛又模糊,有一种说法是,它包含了任一一种能作为网络一部分的“事物”。这个定义显然不够精准,事实上,没哪种定义让人满意的。

  细细琢磨,IoT似乎更多地是个心理范畴的概念,而非技术领域的概念。

  对“什么是物联网?”这个问题的回答,人们常常会以举例子的方式,给出一长串实例。例子列表里可能包括:

  · 智能家居

  · SCADA/ICS

  · 工厂自动化装配机器人

  · 自动驾驶汽车或联网汽车

  · 无线健身设备和其他可穿戴设备

  · 联网医疗机械

  · 智能手机

  · 家庭娱乐系统

  · 计算机

  这张列表对理解物联网安全问题有什么帮助吗?列表包含了那么多种事物和用例,以致很难看出期间有什么共性。其中一些东西在设计时就融合了安全思维,而其他的则完全无视了安全问题。有些是由用户或管理员主动管理和维护的,其他则是一旦安装上就抛之脑后再也不管了的。

  想要围绕物联网问题展开有效讨论,就得先对“物联网”的定义达成共识。更具体来讲,要讨论物联网安全,我们得定义和确认“有问题的物联网(PIoT)”这个概念。上面那张列表里列出的东西里,或许有那么几样是可以不包含进来的。

  这些设备的创造者和使用者的心理才是我们应该关注的,倒是它们工作的技术细节或者它们的设计目的反而没那么重要。

  桌面计算机位于物联网设备列表的一端。计算机的创造者和用户都默认这些机器应该定期更新,不时用杀毒软件和其他安全工具查一查,理应好好维护机器的环境。计算机就是要有主动的管理才行。计算机安全,虽然远未解决,却一直是各方考虑的重点。每个人都清楚,他们重要的数据和资源处于风险之中,对计算机的攻击行为一直都有。

  相对比智能烤面包机(一个现实世界中或许尚未真实存在的典型例子),很有可能无论是烤面包机的创造者还是用户,都没对烤面包机被黑的影响加以太多考虑。他们可能没意识到烤糊了或者没烤熟的面包也是会产生影响的。当然,安全专家们会将它们视作家庭网络边界中的脆弱设备。

  安全专家知道,这些设备可被用于收集信息,捕获网络凭证,发起后续攻击等等。确实,它们没有用于管理和查看安全状态的用户界面。无论创造者还是用户都没期待一个烤面包机还要定期打补丁和更新。对大多数人而言,这种想法简直太奇怪了。

  一个相关的想法是:安全可不是设备可感知价值的一部分。用户对他们的灯泡没有安全需求,于是,他们不会为灯泡的安全支付额外的费用,创造者们(尤其是初创公司)也就不会在原始设计和架构中引入安全了。

  而物联网的麻烦(PIoT)直接诞生于创造者和用户的思维。他们所做的第一个假设,就是设备不会被攻击。他们可能会觉得,“不就一个智能灯泡吗,根本没有黑的价值啊”。或者,他们会认为,自己的技术都没接入公共互联网(比如SCADA设备),没有理由会被黑。

  创造者和用户经常默认这些设备不会、不能也不必要被好好维护。他们对用户不可见,也不提供接口或界面来进行管理。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/dianzi/2550839.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-08-05
下一篇 2022-08-05

发表评论

登录后才能评论

评论列表(0条)

保存