如何解决物联网设备中隐藏的安全漏洞

研究机构Gartner估计，到2020年，全球将有204亿个物联网设备，高于2017年预估的84亿个。波士顿咨询集团2017年的一份报告显示，物联网产品和服务市场预计到2020年将达到2670亿美元。该报告还指出，到2020年，50％物联网支出将由制造、运输和物流以及公用事业（企业和社区基础设施）的关键领域驱动。然而，物联网的采用和增长并没有得到保障。物联网设备中存在大量隐藏的安全漏洞，在我们达到预期增长之前必须解决这些漏洞。

物联网安全的定时炸弹

大多数嵌入式部件和物联网设备固件使用第三方开源代码。通过使用第三方代码，而不是自行开发软件，OEM（代工生产）设备制造商可以降低组装成本，并快速增加创新，从而节省原本需要数月或数年的开发时间。这些组件的较新版本不存在安全漏洞。然而，对于OEM开发团队及其第三方软件供应商来说，几乎不可能准确有效地追踪代码中所有开源软件。尤其是当他们的精力主要集中在开发高阶系统时。普华永道最新研究报告显示，在接受调查的大约9700家公司中，只有35％的公司表示他们已经制定了物联网安全战略。许多公司正在扩大对联网设备和传感器的使用，这些设备和传感器收集操作数据或客户数据，并将其发送回数字业务工具，以推动决策制定。然而，只有28％的公司表示，他们已经开始实施额外的安全措施，以防范物联网造成的网络攻击增多风险。遗憾的是，如果OEM设备制造商和开发人员不愿意有效保护其物联网产品，我们将会面临脆弱的关键企业和社区基础设施，或者对物联网市场增长造成损害。技术、制造、公用事业和政府组织将需要对其系统和基础设施中的设备采取更加谨慎态度。

类似Equifax诉讼可能会阻碍物联网的采用

客户和最终用户对OEM设备制造商提起的高昂诉讼可能导致负面的物联网采用和增长。为什么？因为当绝大多数物联网安全漏洞都是由固件中已知的开源安全问题造成时，OEM设备制造商将很难为自己辩护——这些问题本来可以通过软件补丁或者使用包含补丁的OSS组件最新版本补救。这正是Equifax发生的事情。一个众所周知记录在案的Apache strup安全漏洞未被修补，导致数据泄露，引发了数十亿美元诉讼。

消费者移动设备和客户端“推送更新”模式不适用于大多数物联网实施

十多年来，销售企业客户端和消费者移动设备的OEM设备制造商，通过软件更新来修补操作系统和应用程序上的安全漏洞。像微软和苹果这样的主要公司已经成功实施了这种“修补”模式，保护个人电脑和移动设备免受网络犯罪侵害。其他公司，如特斯拉，已经将这一过程提升到一个新的高度，用补丁更新整个车队，并消除了车主干预的需要。像微软和苹果这样的主要厂商可以保护个人电脑和移动设备免受网络攻击。然而，目前却还没有标准化系统来管理物联网结构的强大安全性，尽管它们大量使用开源组件；同时也没有任何领先玩家能够有效推动 “修补”更新。因此，物联网平台特别容易受到已知安全漏洞的影响。物联网OEM设备制造商必须承担责任，在产品出厂之前，找到并消除固件中所有的已知安全漏洞。很好，但是他们如何才能做到？用正确的工具。考虑到90％或更多的分布式软件包含某种形式开源代码，那么可以通过最有效机制的代码扫描找到和清除物联网安全漏洞。

扫描安全漏洞

大多数OEM设备制造商都会购买固件或第三方代码，以降低开发和采购成本。OEM设备制造商通常以二进制格式获取其全部或部分固件，这使得在没有源代码情况下识别任何潜在安全漏洞变得异常困难。OEM设备制造商和开发人员可以使用很多软件的安全性和合规性分析扫描工具。不幸的是，大多数都只专注于解决源代码中的常见编程错误。虽然现有的开源和商业代码分析工具提供部分二进制扫描，但它们第一步就将二进制代码逆向工程为源代码了。还有更有效的方法来检查二进制代码——即二进制代码扫描工具。他们评估所有原始二进制文件，以确定代码中开源组件和版本，然后，扫描工具将它们的发现与已知安全漏洞已建立的、经常更新的数据库进行比较。二进制扫描工具可以检查以二进制格式排序的其他代码，而不是反汇编。在个人、商业和社会的广泛应用中，物联网设备提供的积极潜力近乎难以想象。新的产业将会出现，其他产业将会彻底转型。但是，除非物联网安全得到有效解决，否则它可能只是一个潜在的积极产品或相关服务。OEM设备制造商及其开发团队应该通过扫描和解决固件中存在的潜在安全漏洞，以寻求实施物联网安全防御的第一道防线。