似乎每周都有另一个关于物联网安全是如何被彻底破坏的悲惨故事。一般来说，其中涉及以下几个方面：

1. 制造商对于设备发货更关心，而疏忽开发安全架构的基本功能。

2. IP开发人员——通常是芯片供应商——为产品制造商提供应用栈示例，随后几乎没有更改，并且进行很少的甚至没有安全测试。

3. 倒霉的顾客为设备提供了电源和连接，相信制造商会嵌入相应的安全，并执行适当的测试，以确保设备可以用来完成所设计的任务。

4. 多个受害者，各类行业内数百万依赖物联网设备的服务，受到分布式拒绝服务攻击。

5. 安全专家对于问题一筹莫展。

6. 批评人士担心每个联网产品，并呼吁政府在一种方法无法适用于所有设备的领域执行标准。

对于熟悉安全架构的人而言，这种情况让人很失望，但是这种状况也是可以预见的——各方的动机可以很容易解释现状。此外，在价值观和相应的收益发生改变之前，不能简单地期望这些问题得到改善。我们可以审视各方的主要动机，以更好地理解他们的看法。

1. 制造商

一个成功的制造商，应该了解他们的客户，所以应该生产拥有客户所需要功能的优质产品。然后客户购买并推荐这些产品，推动销量和制造商的成功。

最大的问题是，制造物联网产品所需要的技术，通常和他们已经掌握的非物联网产品相比，是截然不同的。即使是最好的嵌入式软件团队，在可扩展云后端和加密栈上，也几乎没有经验。

通常，制造商会向为他们提供联网产品集成的无线芯片供应商，需求帮助，获得所需的软件。

意料之中的是，制造商担心开发成本，必须平摊到每个出售的产品中。如果产品没有达到足够的销量来弥补这些成本，产品永远不会赚钱，所以新型联网设备的开发预算通常都很低。

最后，制造商的典型产品周期通常是一到五年；产品团队会发布产品，然后另一个稍微不同的团队将重组下一个产品。对于大多数生产企业，即使有很好的意愿，也很难确保一个很多年前生产的产品，能够不断投入努力，确保安全性（参见有关成本的评论）。团队成员离开。源代码和原始知识就会丢失。

2. IP开发人员

首先要注意的是，很多联网软件，都来自于无线芯片供应商。在过去的五年中，芯片供应商不得不提供一个功能齐全的软件栈来支持芯片——硬件驱动程序，网络和安全栈，甚至包括嵌入式操作系统。一旦一个供应商开始提供一个完整的栈，其他人不得不效仿，因为他们的客户开始根据提供的免费软件栈有多全面来做出选择。

芯片供应商作为软件供应商的问题是，软件本质上成为市场支出，为了让客户选择他们的芯片，而不是竞争对手的。一旦芯片设计成产品，供应商就没有动力，再提供对于栈的强力支持和维护。他们获得了设计胜利，这之后，客户就不太会转向竞争对手的芯片，尤其是当他们的应用代码与供应商的栈，精巧地结合在一起。

鉴于芯片生产的典型五年周期，特别是那些为大批量消费应用而设计的芯片，当生产停止时，对于会提供什么样的支持，有更多的担忧。

3. 客户

最后，客户只希望产品能够工作，良好运作。尽管精明的顾客可以根据微妙的安全特性，做出判断，大多数则选择相信制造商的品牌，来确保一定程度的设计和质量。

这引出了一个重要观点：客户应该在一个品牌没有经验的领域，相信它是专家吗？

例如，我可能完全信任一个高端洗衣机制造商，能够制造出一个可靠的，长寿的，高性能的洗衣机。毕竟，这家公司已经有几十年的经验了，但我也应该相信他们在联网产品上会做出所有正确的安全决策吗，特别是，如果他们之前没有任何经验？

一个有趣的类比是手机生态系统。我并不一定信任每个应用供应商，能够做出最好的安全决策，但我的确信任操作系统供应商，来确保我的手机是安全的，并且操作系统还可以防止恶意程序，对于我或者我的数据，可能导致的一系列攻击。

第二部分《受害者和安全专家眼中的物联网安全》将继续从受害者、安全专家等角度对物联网安全进行诠释。