“物联网”这个词最近火到爆。凡是任何一家公司,多少都想要和它扯上一点关系,感觉它就是高大上的代名词了。然而,我们有没有冷静想一下,“物联网”其实是一个很空洞的名词。
物联网的新闻无处不在,它想要将一些完全不同的设备连接到一个模式中,并创建一个稳定可靠的环境。问题是如果对所有的设备采用统一尺度的安全策略,这注定是不可行的。所以我们需要从安全的角度分析一下“物联网”到底是一个什么东西。
从安全角度看,“物联网”其实包含了连个东西:“互联网”和“物品”。
关于物品
那些物品构成了“物联网”?对于三星来说,会是冰箱;对于福特公司来说,会是一辆汽车。它们还可能是:瑜伽垫、烤面包机、卫生棉条、狙击步枪和飞机。
如果你有一个好创意,你可能会开始寻找风险投资,然后创作一个原型。最后等到交付都客户手中之后才开始考虑安全设计的问题。这其实是难免的,因为不同产品的安全设计会很不同。就像一个孩子的玩具或者是一辆特斯拉汽车。一个的安全威胁最多是我们孩子的隐私问题,而另一个的安全威胁会涉及到我们的生命。
所以,我们起码需要先对事物做一个分类。比如“工业物联网”和“消费类物联网”。
然后我们可以进一步的划分,如果仅仅是作为记录数据的设备那它的安全威胁是与用户的隐私有关。而如果这个设备是由物理行为的那它却可以对人身造成伤害。所以,冰箱和直升机相比的安全策略有很大的不同。
关于网络
如果我们家里的灯泡也能连接到网络上,它使用什么样的端口?连接到哪个服务器?通讯是否加密?密码是否内置的?只是简单的一句“我们会将它放在互联网上”是没有意义的,细节很重要。
到目前为止,开发web应用安全项目(OWASP)已经为物联网设备的安全测试项目清单做了很多工作。
当你试图保护你的电脑时,或者你有一台在互联网上运行的服务器,那你会比较有优势。你可能会知道你需要在防火墙中打开哪些端口,需要运行哪些服务。对于最便宜的家用路由器也能做一些合理的设置用来保护我们的电脑。
我们的设备与服务器进行通信只是开始,它需要一个可以配置的环境,它的任何服务(所谓的“云”)都会有它的应用界面,并且提供可配置的选项。
大多数的设备都是使用的第三方的云系统,这意味着你的数据公开的范围要比你想象的更多,这些数据通常会通过一些非标准的端口进行传输。设备的固件也需要定期更新,所以这也成了一个很大的攻击点。这些升级的应用当然也会包括在你手机上安装的应用程序。所以需要确保信息的来源是可信任的,应用得到了可靠的安全认证等等。
最后是物联网
所以说“物联网”并没有从一个安全的角度来描述许多有用的东西。一方面,它包括不同类别设备与相应的不同需求的安全性;另一方面,它不能很好的描述或划定范围,还需要用到网络安全。至于关于“物联网安全”到底增加了哪些安全性的东西也说不清,除了警告用户之外,商家可能还会担心有一天那些最终用户又去使用电脑了。
但这个词或许在某些地方是有用的,用它来进行市场营销或者获得风投或许是个好办法。但我们还是需要找到一些描述性和有用的术语来取代“物联网”这个词给用户留下一些印象,可能会更好一些。
比如说“网络连接的关键设备健康监测器”或者是“汽车与wifi的连接”。
.png)
