物聯(lián)網(wǎng)網(wǎng)絡(luò)安全問(wèn)題巨大 

目前全球采用290多億臺(tái)物聯(lián)網(wǎng)設(shè)備、傳感器和執(zhí)行器。這是一個(gè)適合利用的大型網(wǎng)絡(luò)攻擊面。據(jù)估計(jì)，超過(guò)一半的物聯(lián)網(wǎng)設(shè)備可能容易受到或低或高的風(fēng)險(xiǎn)攻擊。 

網(wǎng)絡(luò)攻擊者經(jīng)常利用常見的漏洞和暴露侵入設(shè)備，然后利用這個(gè)立足點(diǎn)發(fā)起其他攻擊，實(shí)現(xiàn)攻擊目標(biāo)。根據(jù)研究機(jī)構(gòu)發(fā)布的“2022事件響應(yīng)報(bào)告”，利用軟件漏洞是黑客第二大最常用的攻擊方法。事實(shí)上，在他們分析的事件中，近三分之一(31%)是網(wǎng)絡(luò)攻擊者利用軟件漏洞訪問(wèn)企業(yè)環(huán)境的結(jié)果。

這些網(wǎng)絡(luò)攻擊可能產(chǎn)生重大而深遠(yuǎn)的后果。據(jù)估計(jì)，目前網(wǎng)絡(luò)犯罪使全球經(jīng)濟(jì)損失約1萬(wàn)億美元(超過(guò)全球GDP的1%)。 

那么，物聯(lián)網(wǎng)設(shè)備制造商能做些什么來(lái)試圖關(guān)閉這個(gè)巨大的攻擊缺口呢？研究得出的結(jié)論是：解決問(wèn)題的方法不在于在漏洞被發(fā)現(xiàn)后嘗試修補(bǔ)漏洞，而在于從一開始就防止常見的軟件和硬件漏洞被利用。這樣一來(lái)，存在什么漏洞(已知的和未知的)就不重要了。

無(wú)休止的補(bǔ)丁并不起作用

《2021年網(wǎng)絡(luò)攻擊面管理威脅報(bào)告》表明，網(wǎng)絡(luò)攻擊者通常在通用漏洞披露（CVE）宣布之后15分鐘內(nèi)開始掃描漏洞。當(dāng)漏洞足夠嚴(yán)重時(shí)，網(wǎng)絡(luò)攻擊者的掃描幾乎與漏洞的公布同時(shí)進(jìn)行是很正常的。這沒有給制造商太多時(shí)間來(lái)發(fā)布補(bǔ)丁，更沒有時(shí)間給客戶部署補(bǔ)丁來(lái)保護(hù)他們的環(huán)境。這還是在假設(shè)打補(bǔ)丁是可行的情況下。 

如果漏洞存在于任何第三方軟件庫(kù)中，設(shè)備開發(fā)人員通常會(huì)受到限制，這些軟件庫(kù)用于通信、加密、身份驗(yàn)證、OTA更新和其他基本功能。如果不能看到這個(gè)第三方源代碼(它通常以二進(jìn)制形式交付)，開發(fā)人員就無(wú)法理解如何創(chuàng)建一個(gè)可行的補(bǔ)丁來(lái)保護(hù)整個(gè)設(shè)備。 

開發(fā)人員進(jìn)一步受到技術(shù)混合的阻礙，例如新舊操作系統(tǒng)版本的混合以及新舊代碼庫(kù)等。為所有不同的設(shè)備配置文件構(gòu)建和發(fā)布補(bǔ)丁可能非常耗時(shí)和昂貴(成本高達(dá)數(shù)百萬(wàn)美元)。對(duì)于其中一些設(shè)備，這是不可能實(shí)現(xiàn)的，因?yàn)樗鼈兊奈恢没蜿P(guān)鍵(例如心臟起搏器)，根本無(wú)法接觸到或可以中斷。 

很明顯，修補(bǔ)程序還不夠有效或不夠快速，無(wú)法消除物聯(lián)網(wǎng)設(shè)備漏洞帶來(lái)的風(fēng)險(xiǎn)。企業(yè)需要的是能夠?qū)惯@些漏洞本身的東西，也就是能夠防止攻擊，而不管潛在的漏洞是什么。例如專注于對(duì)抗通用缺陷枚舉 (CWE)，就可以實(shí)現(xiàn)這一點(diǎn)。

利用通用缺陷枚舉 (CWE)阻止攻擊路徑 

在網(wǎng)絡(luò)攻擊發(fā)生時(shí)阻止它們是一種更可持續(xù)的方法。大多數(shù)針對(duì)設(shè)備漏洞的攻擊都共享通用的利用方法（例如內(nèi)存溢出）作為先決步驟。因此，如果停止內(nèi)存溢出，就停止了針對(duì)大量相似內(nèi)存漏洞的所有相同的利用，而無(wú)論攻擊路徑、操作系統(tǒng)、設(shè)備類型是什么。對(duì)其他CWE類別進(jìn)行同樣的操作可以提供全面的保護(hù)，并確保設(shè)備免受已知和未知攻擊。 

CWE最初由網(wǎng)絡(luò)安全商MITRE公司定義，它是一種常見的漏洞類型族。這包括內(nèi)存損壞(堆和堆棧緩沖區(qū)溢出)和內(nèi)存內(nèi)的Vulns(在釋放后使用，雙釋放后使用，等等)，命令注入和執(zhí)行流中斷，可以立即停止，從而達(dá)到防止效果。 

其他CWE包括可疑活動(dòng)(如DDoS指示、暴力登錄嘗試、數(shù)據(jù)盜竊或已知的惡意IP訪問(wèn)，這些都是常見的安全威脅)的漏洞，Sternum可以檢測(cè)到這些活動(dòng)，然后根據(jù)用戶配置的規(guī)則/策略進(jìn)行調(diào)度。 

如此一來(lái)，漏洞將變得不那么重要，一個(gè)無(wú)法利用的漏洞再也不能被用來(lái)獲得立足點(diǎn)。通過(guò)確保代碼只做它應(yīng)該做的事情，制造商為他們的物聯(lián)網(wǎng)設(shè)備提供了精確和確定的安全解決方案。 

據(jù)統(tǒng)計(jì)，目前共有352個(gè)類別的1327個(gè)CWE。相比之下，而每月公布的漏洞多達(dá)數(shù)千個(gè)。通過(guò)CWE開發(fā)來(lái)實(shí)現(xiàn)預(yù)防的有效性，而不是試圖贏得無(wú)休止的補(bǔ)丁競(jìng)賽，這是一個(gè)簡(jiǎn)單的數(shù)學(xué)問(wèn)題。 

總之，物聯(lián)網(wǎng)時(shí)代企業(yè)需要了解如何擺脫無(wú)休止的打補(bǔ)丁，找到預(yù)防漏洞的更有效的方法，才能更好地保護(hù)物聯(lián)網(wǎng)免受或少受攻擊。