編者按：本文作者 Min-Pyo Hong 是舊金山一家移動端安全解決方案公司的創(chuàng)始人兼 CEO，他在文章中表示物聯(lián)網(wǎng)行業(yè)之所以不安全的源頭是硅谷的文化。

　　最近幾年來，“物聯(lián)網(wǎng)” 一詞在硅谷一直是一個熱詞，因此當(dāng)我們在一些科技類新聞中讀到物聯(lián)網(wǎng)黑客時，會覺得有種諷刺的意味。最近幾個月，VentureBeat 曾發(fā)表過幾篇文章 “FBI 警告汽車制造商和用戶，車輛具有被黑客襲擊的風(fēng)險”“物聯(lián)網(wǎng)設(shè)備可能是特洛伊木馬”。

　　很多從事科技行業(yè)的人都有較深的黑客和惡意軟件意識，常常認(rèn)為這只是新平臺成長的煩惱。但是對于廣大消費(fèi)者來說，這是非常嚴(yán)重的威脅，不僅對設(shè)備和個人數(shù)據(jù)來說是一種威脅，同時對自己的身體健康和家人的身心安全也是一種威脅。隨著設(shè)備的不斷增多，Google 最新發(fā)布的智能家具等新設(shè)備加劇了它的脆弱性，該行業(yè)整體上處于危險之中。

　　我們該怎么解決這個問題呢?為了全面抓住這個問題，我們需要從基礎(chǔ)層面了解一下為什么會有很多物聯(lián)網(wǎng)黑客的問題，以及現(xiàn)在科技行業(yè)必須做什么才能解決這個問題。

　　硅谷的文化使得物聯(lián)網(wǎng)不安全

　　隨著移動 App 的快速發(fā)展，很多 PC 時代優(yōu)秀的開發(fā)實踐無法應(yīng)用到物聯(lián)網(wǎng)開發(fā)中。物聯(lián)網(wǎng)設(shè)備使用的代碼庫與創(chuàng)建網(wǎng)站、App 或者 PC 軟件使用的語言并沒有發(fā)生根本性的改變。雖然事實如此，但是我常常在物聯(lián)網(wǎng)產(chǎn)品中發(fā)現(xiàn)十幾年前就已經(jīng)知道的脆弱性，即使大公司的產(chǎn)品也有此類的問題。發(fā)布一款設(shè)備，但是客戶的軟件缺乏足夠的保護(hù)措施，或者發(fā)布一款服務(wù)器間的加密交流設(shè)備，但是卻無法確保設(shè)備的互聯(lián)網(wǎng)聯(lián)通協(xié)議安全。

　　再次重申一下，這種失敗并不是因為物聯(lián)網(wǎng)是一種前沿科技，開發(fā)者們還在學(xué)習(xí)如何使用;而是因為人們忽視了長期建立起來的關(guān)于安全代碼的傳統(tǒng)意識，這將直接導(dǎo)致非常危險的事情，對消費(fèi)者的安全造成了嚴(yán)重的危險。拿最近的一個案例來說，我們知道黑客經(jīng)常攻擊通過 Wi-Fi 連接的嬰兒監(jiān)控器，但是人們很少知道之所以可以進(jìn)行攻擊，是因為設(shè)備會發(fā)送、存儲敏感的數(shù)據(jù)，包括證書和純文本。

　　這里的罪魁禍?zhǔn)撞皇谴a，而是文化。在硅谷，人們最關(guān)注的是成為最新的平臺，快速搶占市場。我們好像都患有失憶癥。我們在移動生態(tài)圈里一遍又一遍地看到安全問題，因為經(jīng)驗不足的團(tuán)隊會匆忙地將自己的 App 放到市場上，使得很多產(chǎn)品都可以被攻擊。重復(fù)這種模式，我們經(jīng)常也會看到制造物聯(lián)網(wǎng)設(shè)備的人具有很少或沒有硬件經(jīng)驗，缺乏了解硬件、中間設(shè)備、軟件之間相互關(guān)系的背景。

　　開發(fā)新產(chǎn)品的市場

　　所有這些文化的缺陷是連接設(shè)備的快速發(fā)展的結(jié)果。IDG 預(yù)測到 2020年 物聯(lián)網(wǎng)市場將到達(dá) 17000 億，Gartner 估計物聯(lián)網(wǎng)的黑市交易到 2020年 將會超過 50 億美元。誠然，物聯(lián)網(wǎng)設(shè)備的惡意軟件已經(jīng)成為一個繁榮的行業(yè)，而且通過各種各樣的攻擊途徑，它日漸變得越來越復(fù)雜。所有連接網(wǎng)絡(luò)的設(shè)備都會受到惡意軟件的影響，這意味著一個惡意軟件可以影響連接的所有設(shè)備。由于系統(tǒng)的復(fù)雜性，很難確定問題的源頭。

　　我們該怎么辦?

　　基于以上列出的原因，科技公司工程師團(tuán)隊可能無法從內(nèi)部進(jìn)行改革，即使他們內(nèi)心深處希望進(jìn)行改變。但是，我認(rèn)為解決問題的重任應(yīng)該交給公司的領(lǐng)導(dǎo)以及投資人，他們可以施加壓力，從現(xiàn)在開始改變。

　　進(jìn)行更多的審計：據(jù) AT&T 在物聯(lián)網(wǎng)方面的報告表示，開發(fā)產(chǎn)品的公司中每天檢查一次或多次安全日志和警告的公司不到一半，檢查安全日志和警告是當(dāng)風(fēng)險預(yù)測提高時必須的要做的一個步驟。更糟糕的是，在被調(diào)查的公司中，只有 14%的公司設(shè)置了正式的審計過程，幫助用戶了解他們的設(shè)備是否安全;只有 17%的公司在做決策時會圍繞物聯(lián)網(wǎng)的安全問題進(jìn)行討論。

　　不斷監(jiān)測并將安全過程自動化：公司需要對自己的設(shè)備情況更加透明。他們需要記錄所有的設(shè)備活動，分類并立刻關(guān)閉可疑的活動和差異。由于連接端點(diǎn)在大量增加，物聯(lián)網(wǎng)設(shè)備產(chǎn)生的數(shù)據(jù)量也在大幅度增減，在理想情況下，數(shù)據(jù)監(jiān)測、危險監(jiān)測和保護(hù)的整個過程都應(yīng)該實現(xiàn)自動化。

 1/2    1 2 下一頁 尾頁