谁来对家庭网络安全负责？

2023年3月2日

根据CUJO AI实验室的研究，67%的家庭电脑网络每月至少会遭受一次网络安全威胁。 Image: Pixabay/Giovanni Gargiulo

Remko Vos

Chief Executive Officer, CUJO AI

我们的影响力

世界经济论坛为 加速 Cybersecurity 行动做了什么？

全局信息

探索和追踪解决之道物联网正在影响经济、产业和全球问题

A hand holding a looking glass by a lake

众源式创新

现在加入，用我们的数字众源平台来实现大规模的影响力

实时追踪：

科技与创新

随着消费者使用的联网设备越来越多，家庭网络的保护越发变得困难，其中有许多设备都无法运行网络安全软件。保护家庭网络免受这类威胁需要组合使用各类不同的安全措施，这对不熟悉技术的消费者来说可能是个挑战。设备制造商对消费者网络和消费者本身的触达能力有限，但互联网服务提供商（ISP）则有能力大规模改善家庭网络安全。

有多少家庭电脑网络每月至少遭受一次网络安全威胁的影响？根据CUJO AI实验室的研究，这一数字高达67%。这些家庭网络的安全，对于互联网整体的健康和韧性来说至关重要，但到底是谁该承担起保护它们的重任？

家庭网络的安全风险

随着消费者使用的联网设备越来越多，家庭网络的保护越发变得困难，其中有许多设备甚至都无法运行网络安全软件。

按设备类型划分的网络安全威胁总体分布情况 Image: CUJO AI实验室

由于每个设备都有不同的攻击面和漏洞，消费者设备的日益多样化正在改变网络安全的整体格局。物联网（IoT）设备最常受到来自恶意IP地址的自动攻击，而用于网络浏览和程序应用的设备则更常被恶意网站所影响。

计算机、智能手机和物联网设备的网络安全威胁 Image: CUJO AI实验室

IP信誉威胁是指用户网络与信誉低的IP地址之间的连接。无人值守设备（如物联网设备）最常面临这些威胁，它们大多是自动化的，不需要用户操作。

网络信誉威胁则包括各种可以被用户、电子邮件客户端或其他软件访问的恶意网络链接。这些类型的威胁对于需要用户投入注意力的设备（如智能手机、笔记本电脑和台式电脑）是最为普遍的，因为设备所有者会主动地使用它们。

网络声誉威胁：恶意网站 Image: CUJO AI实验室

从整体上看，对家庭网络的威胁包括有针对性的社会工程（网络钓鱼）、恶意软件、僵尸网络、拒绝服务（DoS）攻击，以及基于网络扫描的自动攻击（自动扫描网络以寻找有价值的脆弱设备并攻击其安全软肋）。

保护家庭网络的挑战所在

保护整个网络免受如上种种威胁需要组合使用各类安全措施。首先，凡是性能足够的设备都应该安装安全软件来应对恶意软件攻击，但目前物联网设备的性能还不足以运行这类软件（设备供应商也缺乏足够的经济激励这样做）。我们的数据显示，欠缺安全软件保护的物联网设备目前占所有连网设备的33%以上。

新出现的以及更加多样化的网络威胁（特别是短暂出现的钓鱼网站），可以用人工智能解决方案阻止。而单一用途的设备其联网行为更可预测，我们可以用基于固定规则的机制和防火墙进行保护。当然，设备所有者也有责任跟进基本的网络安全措施，比方说非必要不将自己的设备暴露在互联网上。

一个足够安全的家庭网络应该完整执行这些安全措施，但这对非技术人员来说其实是一项颇大的挑战。

消费者难以保证网络安全

虽然消费者最适合保护自身的网络安全，但他们大多缺乏技术知识，不能保护到自己的每个设备，或搭建行之有效的全网安全解决方案。2021年底的一项调查表明，48%的美国人、57%的意大利人、60%的德国人以及67%以上的法国人都认为保护自己的家庭网络是困难的。

此外，这些国家尚且有21-36%的人甚至都没有意识到自己需要采取一些行动来保护家庭网络。

这些数字已经清楚说明了为什么我们不能把安全问题直接推到消费者身上，他们根本不具备为家庭网络部署、运行和维护网络安全解决方案的能力。当我们看看有多少网络攻击是针对这些脆弱设备时，这一点就更加明显了。联网的存储设备、DVR设备和IP摄像机受到的威胁明显更大，因为消费者很难用正确的方式去保护它们。

按设备类型划分的网络安全威胁指数 Image: CUJO AI实验室

设备制造商的能力也有限

有些设备自身就破坏了设备所有者的网络安全。例如，某些品牌的DVR设备和IP摄像机会改变网络设置，以简化其设置流程并确保功能正常运行，但这往往会让这些设备暴露在恶意攻击者面前。另一些制造商则采用了过时和不再受支持的操作系统版本，且没有提供任何更新手段。在这些情况下，设备制造商显然对家庭网络环境负有责任。欧盟、英国和美国的监管环境正在做出改变，以明确制造商的安全责任。

最近各大公司对统一物联网设备标准的举措也可能会让未来的设备更加安全。尽管如此，在现实中制造商不可能真正着手去保护用户的整个家庭网络，他们的责任仅限于保护自身生产和销售的设备而已。

运营商能抓住这个机会吗？

互联网服务提供商（ISP）也非常适合承担大规模改善家庭网络安全的责任。对许多人来说，网络运营商就是自家网络的看守者，处于保护家庭和移动用户免受主要网络威胁的最佳位置。

网络运营商与用户之间也有着既定的信任关系，可以将网络安全作为其核心服务之一。当被问及谁对防止网络犯罪和网络攻击负有责任时，美国、德国、意大利和法国的消费者均表示，互联网服务提供商的责任最大。

数据来自2021年CUJO AI的网络安全认知调查报告 Image: CUJO AI实验室

然而，由于网络威胁的攻击载体不断演变，针对的攻击面也在变化，如果没有高度专业化的多层技术帮助，网络运营商的能力也十分有限。运营商通过这些解决方案可以防止诸多网络安全威胁，包括每月影响56%家庭的新型网络钓鱼攻击，也可以阻止其庞大网络中数十亿次的安全威胁。

目前，运营商仍将安全视为一种附加服务，是消费者按需订购的。这样一种处事方式仍然是在安全责任推卸到消费者身上，而许多用户仍然不知道自己需要采取行动来改善家庭网络安全。如今随着越来越多的无屏幕、无人看管的物联网设备出现在家庭网络中，相关的威胁和安全漏洞也愈发严重。

网络运营商可以拥抱网络安全这一议题，并开始将其视为自己业务和服务的核心组成部分。设备制造商对消费者网络和消费者本身的接触是有限的，而网络运营商拥有技术能力，处在网络守门人的位置，并且和客户有着长期信赖关系，这些因素均可帮助运营商可以成为家庭网络的看护人。我们需要转变思想，不要把网络安全看作是一项额外服务，而是网络连接整体体验的一个重要部分。

物联网设备供应商可以在其设备安全方面走得更远，互联网服务供应商也可以在技术层面上承担责任确保家庭网络安全。但归根结底，用户自己在使用网络时仍然需要肩负起安全责任。

本文作者：

Remko Vos，CUJO AI首席执行官

本文原载于世界经济论坛Agenda博客，转载请注明来源并附上本文链接。

翻译：陈达铿

编辑：江颂贤