黑客傀儡危机！谁能为物联网设备安全买单？

物联网设备危险四伏

• 2015年12月23日，乌克兰电力系统遭到攻击 造成伊万诺-弗兰科夫斯克地区大面积停电，约140万人受到影响。

• 2016年10月21日，黑客利用全球十多万台智能设备，对美国进行了史上最大规模的DDoS（ 拒绝访问服务）攻击，导致美国东海岸出现大面积断网，主要公共服务、社交平台、民众网络服务几乎处于瘫痪状态。

近年来，物联网产业发展势头迅猛。工信部副部长罗文在9月召开的2017世界物联网无锡峰会上透露，中国的物联网产业规模已从2009年的1700亿元跃升至2016年的超过9300亿元，年复合增长率超过25%。有预测称，到2018年，全球物联网市场规模将超过千亿美元，年均复合增长率保持在31%以上。

与此同时，物联网设备的数量也在成倍增长。市场研究机构Gartner预测，2017年全球物联网设备数量将达到84亿台，2020年这一数字将增至208亿台，复合增速高达34%。

随之而来的是越来越棘手的安全问题。以往出现在科幻片中的场景，在当下正在一步步成为现实。

一种打补丁式的存在

物联网安全的棘手不仅在于“大”，还在于“多”和“杂”，从个人、家庭、社会到国家，层出不穷。

市场调研公司Forrester（弗雷斯特）对全球组织的一项调查表明，47%使用或计划使用物联网的商业组织在行业应用中曾遇到过安全问题。

西班牙国家数字安全中心统计数据显示，2014年仅西班牙的核心基础设施就被攻击了63次，2016年增加到479次，两年内上升了7倍，2017年一季度更是高达247次，使相关设施出现700余次事故。

 “物联网将许多原本与网络隔离的设备连接到网络中，为生活提供了便利，但也大大增加了设备遭受攻击的风险。因为不同类型的物与物之间是可能存在联系的，攻击某一节点，就会殃及另一个节点，将影响转移、扩大。”北京神州绿盟信息安全科技股份有限公司资深安全专家指出，目前我国还没有爆发过类似于美国和乌克兰的大规模物联网安全事件，因为现阶段我国核心基础设施的可开放接口较少，安全性相对有保障，但是随着未来广泛物联的发展，接口也将被逐步开放。“要防患于未然，就要了解物与物之间的潜在联系，分析各个节点所承载的内容、存在的安全问题，以及会造成的影响。”他认为物联网时代，人们的思考方式将不再是头对头、脚对脚的单点式，而是系统地由点到面地看问题。

与备受黑客青睐不同，安全在行业内的身份却显得有些尴尬，中国科学院信息工程研究所信息安全国家重点实验室副主任徐震将其形容为“一种打补丁式的存在”。“我上学的时候，老师告诉我们，安全就像五星级饭店里的马桶，不急的时候是不会有人想起它的。”在徐震看来，十几年过去了，安全的这一状态依然没有发生质的改变。

他告诉记者，群体做事是讲究优先级的，安全是伴生技术，是伴随主导产业的发展而成熟起来的。“物联网真正落地也就是在近3年的时间，还属于新产业，尚不成熟，在发展过程中往往会先考虑往前走的问题，一般不会系统考虑安全，等遇到了问题，再想办法解决，互联网是这样，物联网亦是如此。”

用户安全诉求低，付费是必然趋势

 “你会为家里的物联网设备购买安全网关吗？”

相信很多人都会选择“不会”。

对于这个结果，安全专家表示并不惊讶，“因为在互联网和移动互联网时代，很多安全软件都是免费的，用户已经将其看作是理所应当的，要改变这种习惯，将安全作为一个单独的部件进行销售，短期内是比较难被接受的。”

但实际上，几乎任何可以连接至其他设备，并且终端用户可访问的设备，都是有可能存在风险的。赛门铁克安全报告显示，2016年全球超过670万台的物联网设备沦为了“僵尸网络军队”。

一方面，这些设备大多都连接在公共网络中，很容易被其他网络接触到，受攻击的几率比较大；

2

另一方面，部分物联网设备本身就存在安全漏洞，为黑客攻击提供了可乘之机。

清华大学物联网技术中心副主任赵滨认为，后者的主要根源在于当前用户的安全诉求太低。“对于大部分用户而言，手机APP被劫持了，都会很紧张，因为涉及财产安全。但是如果家里的摄像头被攻击了，其紧张程度就不会那么高了，有的甚至都毫无察觉。”安全专家坦言，作为一名安全从业者，他在家中发现了物联网设备漏洞，也不一定会及时找厂商进行反映沟通。

用户的安全诉求不高，设备厂商就没有足够的动力去开发研究安全属性。金雅拓调查数据显示，在安全投资水平方面，物联网设备制造商和服务提供商在物联网设备安全保护上的投资仅占其物联网总预算的11%。“商家是讲究成本的，就当前的用户需求来讲，一个摄像头、一台冰箱是否具备安全属性，对于产品本身的销量不会有太大的影响，厂商当然也就不会给予过多的关注。有些厂商在编码时就只按照自己的规范去编，编完之后有没有安全漏洞他们并不关注。”安全专家认为，要提高物联网设备本身的安全属性，就要引导用户增强对隐私的保护意识，增加安全诉求，抬高安全门槛，“只有用户的需求提高了，形成规模了，安全需求才能真正涌现出来，才能倒逼设备制造商和服务提供商为安全买单”。

与此同时，用户对安全付费的认识也会有所改变。“就未来发展来看，付费是必然趋势。”但安全专家认为，付费的方式将会更加多元化。“安全可以单独购买，也可以由物联网厂商提供一个整体打包的智能家居解决方案，其中既包含智能化又拥有安全属性的部件，这样对于普通用户来说会更容易接受。”

安全企业与厂商“话题”少

作为安全重要的输出方，安全企业在物联网时代的盈利模式还尚不清晰，寻找与厂商的交集点，是它们突破瓶颈的关键。“就像两个人相亲，一个是搞IT的，一个是做会计的，两个人没有共同语言，突然有一天要求会计用电脑录入数据，这时搞IT的不仅可以给予指导，甚至还能解决电脑中病毒的问题，话题一下子就有了。”安全专家告诉记者，安全企业和厂商缺少的就是这种“话题”。

“我们也跟一些厂商讨论过，他们在工作中会出现一些通过传统工控专业技术手段很难找出问题的情况，这时候他们就会有意识地联系安全企业，来一起进行研究和探讨，这对于业务的完整度和平稳度有很大的帮助。”但安全专家表示，目前这种合作还是比较少的。在他看来，物联网设备安全问题不是某个单一参与方能够解决的，其需要的是一个生态链。“设备安全事件发生后，用户安全需求增加，设备厂商和服务提供商开始寻求解决方案，此时的安全企业要转变思路，改变之前‘卖盒子’的单一运营模式，向应用安全方向转变。”他认为，未来安全企业与设备厂商的关联度会越来越高，尤其是在车联网等对安全要求较高的领域，安全企业的参与会愈发深入。     

同时，安全的纵深发展也对安全从业人员提出了新的要求。“安全是一个交叉性特别强的行业，其虽然在方案上有统一的标准，但在实际应用中也会根据应用场景、用户需求点和痛点的不同而发生变化。对于安全人员来说，做某一个行业、领域的安全，就必须要了解这个行业的知识和背景，这样才能更专业更系统地解决好该行业的安全问题。”安全专家说。

本文转载自经济杂志，经协商绿盟科技官方公众账号已获得文章转载资格，特此声明。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP