研究機構(gòu)Gartner估計，到2020年，全球?qū)⒂?04億個物聯(lián)網(wǎng)設(shè)備，高于2017年預(yù)估的84億個。波士頓咨詢集團2017年的一份報告顯示，物聯(lián)網(wǎng)產(chǎn)品和服務(wù)市場預(yù)計到2020年將達到2670億美元。該報告還指出，到2020年，50%物聯(lián)網(wǎng)支出將由制造、運輸和物流以及公用事業(yè)(企業(yè)和社區(qū)基礎(chǔ)設(shè)施)的關(guān)鍵領(lǐng)域驅(qū)動。

然而，物聯(lián)網(wǎng)的采用和增長并沒有得到保障。物聯(lián)網(wǎng)設(shè)備中存在大量隱藏的安全漏洞，在我們達到預(yù)期增長之前必須解決這些漏洞。

[[240624]]

物聯(lián)網(wǎng)安全的定時炸彈

大多數(shù)嵌入式部件和物聯(lián)網(wǎng)設(shè)備固件使用第三方開源代碼。通過使用第三方代碼，而不是自行開發(fā)軟件，OEM(代工生產(chǎn))設(shè)備制造商可以降低組裝成本，并快速增加創(chuàng)新，從而節(jié)省原本需要數(shù)月或數(shù)年的開發(fā)時間。

這些組件的較新版本不存在安全漏洞。然而，對于OEM開發(fā)團隊及其第三方軟件供應(yīng)商來說，幾乎不可能準(zhǔn)確有效地追蹤代碼中所有開源軟件。尤其是當(dāng)他們的精力主要集中在開發(fā)高階系統(tǒng)時。

普華永道最新研究報告顯示，在接受調(diào)查的大約9700家公司中，只有35%的公司表示他們已經(jīng)制定了物聯(lián)網(wǎng)安全戰(zhàn)略。許多公司正在擴大對聯(lián)網(wǎng)設(shè)備和傳感器的使用，這些設(shè)備和傳感器收集操作數(shù)據(jù)或客戶數(shù)據(jù)，并將其發(fā)送回數(shù)字業(yè)務(wù)工具，以推動決策制定。然而，只有28%的公司表示，他們已經(jīng)開始實施額外的安全措施，以防范物聯(lián)網(wǎng)造成的網(wǎng)絡(luò)攻擊增多風(fēng)險。

遺憾的是，如果OEM設(shè)備制造商和開發(fā)人員不愿意有效保護其物聯(lián)網(wǎng)產(chǎn)品，我們將會面臨脆弱的關(guān)鍵企業(yè)和社區(qū)基礎(chǔ)設(shè)施，或者對物聯(lián)網(wǎng)市場增長造成損害。技術(shù)、制造、公用事業(yè)和政府組織將需要對其系統(tǒng)和基礎(chǔ)設(shè)施中的設(shè)備采取更加謹(jǐn)慎態(tài)度。

類似Equifax訴訟可能會阻礙物聯(lián)網(wǎng)的采用

客戶和最終用戶對OEM設(shè)備制造商提起的高昂訴訟可能導(dǎo)致負面的物聯(lián)網(wǎng)采用和增長。

為什么?因為當(dāng)絕大多數(shù)物聯(lián)網(wǎng)安全漏洞都是由固件中已知的開源安全問題造成時，OEM設(shè)備制造商將很難為自己辯護——這些問題本來可以通過軟件補丁或者使用包含補丁的OSS組件最新版本補救。

這正是Equifax發(fā)生的事情。一個眾所周知記錄在案的Apache strup安全漏洞未被修補，導(dǎo)致數(shù)據(jù)泄露，引發(fā)了數(shù)十億美元訴訟。

消費者移動設(shè)備和客戶端“推送更新”模式不適用于大多數(shù)物聯(lián)網(wǎng)實施

十多年來，銷售企業(yè)客戶端和消費者移動設(shè)備的OEM設(shè)備制造商，通過軟件更新來修補操作系統(tǒng)和應(yīng)用程序上的安全漏洞。像微軟和蘋果這樣的主要公司已經(jīng)成功實施了這種“修補”模式，保護個人電腦和移動設(shè)備免受網(wǎng)絡(luò)犯罪侵害。其他公司，如特斯拉，已經(jīng)將這一過程提升到一個新的高度，用補丁更新整個車隊，并消除了車主干預(yù)的需要。

像微軟和蘋果這樣的主要廠商可以保護個人電腦和移動設(shè)備免受網(wǎng)絡(luò)攻擊。然而，目前卻還沒有標(biāo)準(zhǔn)化系統(tǒng)來管理物聯(lián)網(wǎng)結(jié)構(gòu)的強大安全性，盡管它們大量使用開源組件;同時也沒有任何領(lǐng)先玩家能夠有效推動 “修補”更新。因此，物聯(lián)網(wǎng)平臺特別容易受到已知安全漏洞的影響。物聯(lián)網(wǎng)OEM設(shè)備制造商必須承擔(dān)責(zé)任，在產(chǎn)品出廠之前，找到并消除固件中所有的已知安全漏洞。

很好，但是他們?nèi)绾尾拍茏龅?

用正確的工具。

考慮到90%或更多的分布式軟件包含某種形式開源代碼，那么可以通過最有效機制的代碼掃描找到和清除物聯(lián)網(wǎng)安全漏洞。

掃描安全漏洞

大多數(shù)OEM設(shè)備制造商都會購買固件或第三方代碼，以降低開發(fā)和采購成本。OEM設(shè)備制造商通常以二進制格式獲取其全部或部分固件，這使得在沒有源代碼情況下識別任何潛在安全漏洞變得異常困難。

OEM設(shè)備制造商和開發(fā)人員可以使用很多軟件的安全性和合規(guī)性分析掃描工具。不幸的是，大多數(shù)都只專注于解決源代碼中的常見編程錯誤。雖然現(xiàn)有的開源和商業(yè)代碼分析工具提供部分二進制掃描，但它們第一步就將二進制代碼逆向工程為源代碼了。

還有更有效的方法來檢查二進制代碼——即二進制代碼掃描工具。他們評估所有原始二進制文件，以確定代碼中開源組件和版本，然后，掃描工具將它們的發(fā)現(xiàn)與已知安全漏洞已建立的、經(jīng)常更新的數(shù)據(jù)庫進行比較。二進制掃描工具可以檢查以二進制格式排序的其他代碼，而不是反匯編。

在個人、商業(yè)和社會的廣泛應(yīng)用中，物聯(lián)網(wǎng)設(shè)備提供的積極潛力近乎難以想象。新的產(chǎn)業(yè)將會出現(xiàn)，其他產(chǎn)業(yè)將會徹底轉(zhuǎn)型。但是，除非物聯(lián)網(wǎng)安全得到有效解決，否則它可能只是一個潛在的積極產(chǎn)品或相關(guān)服務(wù)。OEM設(shè)備制造商及其開發(fā)團隊?wèi)?yīng)該通過掃描和解決固件中存在的潛在安全漏洞，以尋求實施物聯(lián)網(wǎng)安全防御的第一道防線。