如何解決物聯(lián)網(wǎng)設(shè)備中隱藏的安全漏洞

研究機(jī)構(gòu)Gartner估計(jì)，到2020年，全球?qū)⒂?04億個(gè)物聯(lián)網(wǎng)設(shè)備，高于2017年預(yù)估的84億個(gè)。波士頓咨詢(xún)集團(tuán)2017年的一份報(bào)告顯示，物聯(lián)網(wǎng)產(chǎn)品和服務(wù)市場(chǎng)預(yù)計(jì)到2020年將達(dá)到2670億美元。該報(bào)告還指出，到2020年，50％物聯(lián)網(wǎng)支出將由制造、運(yùn)輸和物流以及公用事業(yè)（企業(yè)和社區(qū)基礎(chǔ)設(shè)施）的關(guān)鍵領(lǐng)域驅(qū)動(dòng)。然而，物聯(lián)網(wǎng)的采用和增長(zhǎng)并沒(méi)有得到保障。物聯(lián)網(wǎng)設(shè)備中存在大量隱藏的安全漏洞，在我們達(dá)到預(yù)期增長(zhǎng)之前必須解決這些漏洞。

物聯(lián)網(wǎng)安全的定時(shí)炸彈

大多數(shù)嵌入式部件和物聯(lián)網(wǎng)設(shè)備固件使用第三方開(kāi)源代碼。通過(guò)使用第三方代碼，而不是自行開(kāi)發(fā)軟件，OEM（代工生產(chǎn)）設(shè)備制造商可以降低組裝成本，并快速增加創(chuàng)新，從而節(jié)省原本需要數(shù)月或數(shù)年的開(kāi)發(fā)時(shí)間。這些組件的較新版本不存在安全漏洞。然而，對(duì)于OEM開(kāi)發(fā)團(tuán)隊(duì)及其第三方軟件供應(yīng)商來(lái)說(shuō)，幾乎不可能準(zhǔn)確有效地追蹤代碼中所有開(kāi)源軟件。尤其是當(dāng)他們的精力主要集中在開(kāi)發(fā)高階系統(tǒng)時(shí)。普華永道最新研究報(bào)告顯示，在接受調(diào)查的大約9700家公司中，只有35％的公司表示他們已經(jīng)制定了物聯(lián)網(wǎng)安全戰(zhàn)略。許多公司正在擴(kuò)大對(duì)聯(lián)網(wǎng)設(shè)備和傳感器的使用，這些設(shè)備和傳感器收集操作數(shù)據(jù)或客戶(hù)數(shù)據(jù)，并將其發(fā)送回?cái)?shù)字業(yè)務(wù)工具，以推動(dòng)決策制定。然而，只有28％的公司表示，他們已經(jīng)開(kāi)始實(shí)施額外的安全措施，以防范物聯(lián)網(wǎng)造成的網(wǎng)絡(luò)攻擊增多風(fēng)險(xiǎn)。遺憾的是，如果OEM設(shè)備制造商和開(kāi)發(fā)人員不愿意有效保護(hù)其物聯(lián)網(wǎng)產(chǎn)品，我們將會(huì)面臨脆弱的關(guān)鍵企業(yè)和社區(qū)基礎(chǔ)設(shè)施，或者對(duì)物聯(lián)網(wǎng)市場(chǎng)增長(zhǎng)造成損害。技術(shù)、制造、公用事業(yè)和政府組織將需要對(duì)其系統(tǒng)和基礎(chǔ)設(shè)施中的設(shè)備采取更加謹(jǐn)慎態(tài)度。

類(lèi)似Equifax訴訟可能會(huì)阻礙物聯(lián)網(wǎng)的采用

客戶(hù)和最終用戶(hù)對(duì)OEM設(shè)備制造商提起的高昂訴訟可能導(dǎo)致負(fù)面的物聯(lián)網(wǎng)采用和增長(zhǎng)。為什么？因?yàn)楫?dāng)絕大多數(shù)物聯(lián)網(wǎng)安全漏洞都是由固件中已知的開(kāi)源安全問(wèn)題造成時(shí)，OEM設(shè)備制造商將很難為自己辯護(hù)——這些問(wèn)題本來(lái)可以通過(guò)軟件補(bǔ)丁或者使用包含補(bǔ)丁的OSS組件最新版本補(bǔ)救。這正是Equifax發(fā)生的事情。一個(gè)眾所周知記錄在案的Apache strup安全漏洞未被修補(bǔ)，導(dǎo)致數(shù)據(jù)泄露，引發(fā)了數(shù)十億美元訴訟。

消費(fèi)者移動(dòng)設(shè)備和客戶(hù)端“推送更新”模式不適用于大多數(shù)物聯(lián)網(wǎng)實(shí)施

十多年來(lái)，銷(xiāo)售企業(yè)客戶(hù)端和消費(fèi)者移動(dòng)設(shè)備的OEM設(shè)備制造商，通過(guò)軟件更新來(lái)修補(bǔ)操作系統(tǒng)和應(yīng)用程序上的安全漏洞。像微軟和蘋(píng)果這樣的主要公司已經(jīng)成功實(shí)施了這種“修補(bǔ)”模式，保護(hù)個(gè)人電腦和移動(dòng)設(shè)備免受網(wǎng)絡(luò)犯罪侵害。其他公司，如特斯拉，已經(jīng)將這一過(guò)程提升到一個(gè)新的高度，用補(bǔ)丁更新整個(gè)車(chē)隊(duì)，并消除了車(chē)主干預(yù)的需要。像微軟和蘋(píng)果這樣的主要廠(chǎng)商可以保護(hù)個(gè)人電腦和移動(dòng)設(shè)備免受網(wǎng)絡(luò)攻擊。然而，目前卻還沒(méi)有標(biāo)準(zhǔn)化系統(tǒng)來(lái)管理物聯(lián)網(wǎng)結(jié)構(gòu)的強(qiáng)大安全性，盡管它們大量使用開(kāi)源組件；同時(shí)也沒(méi)有任何領(lǐng)先玩家能夠有效推動(dòng) “修補(bǔ)”更新。因此，物聯(lián)網(wǎng)平臺(tái)特別容易受到已知安全漏洞的影響。物聯(lián)網(wǎng)OEM設(shè)備制造商必須承擔(dān)責(zé)任，在產(chǎn)品出廠(chǎng)之前，找到并消除固件中所有的已知安全漏洞。很好，但是他們?nèi)绾尾拍茏龅?？用正確的工具?？紤]到90％或更多的分布式軟件包含某種形式開(kāi)源代碼，那么可以通過(guò)最有效機(jī)制的代碼掃描找到和清除物聯(lián)網(wǎng)安全漏洞。

掃描安全漏洞

大多數(shù)OEM設(shè)備制造商都會(huì)購(gòu)買(mǎi)固件或第三方代碼，以降低開(kāi)發(fā)和采購(gòu)成本。OEM設(shè)備制造商通常以二進(jìn)制格式獲取其全部或部分固件，這使得在沒(méi)有源代碼情況下識(shí)別任何潛在安全漏洞變得異常困難。OEM設(shè)備制造商和開(kāi)發(fā)人員可以使用很多軟件的安全性和合規(guī)性分析掃描工具。不幸的是，大多數(shù)都只專(zhuān)注于解決源代碼中的常見(jiàn)編程錯(cuò)誤。雖然現(xiàn)有的開(kāi)源和商業(yè)代碼分析工具提供部分二進(jìn)制掃描，但它們第一步就將二進(jìn)制代碼逆向工程為源代碼了。還有更有效的方法來(lái)檢查二進(jìn)制代碼——即二進(jìn)制代碼掃描工具。他們?cè)u(píng)估所有原始二進(jìn)制文件，以確定代碼中開(kāi)源組件和版本，然后，掃描工具將它們的發(fā)現(xiàn)與已知安全漏洞已建立的、經(jīng)常更新的數(shù)據(jù)庫(kù)進(jìn)行比較。二進(jìn)制掃描工具可以檢查以二進(jìn)制格式排序的其他代碼，而不是反匯編。在個(gè)人、商業(yè)和社會(huì)的廣泛應(yīng)用中，物聯(lián)網(wǎng)設(shè)備提供的積極潛力近乎難以想象。新的產(chǎn)業(yè)將會(huì)出現(xiàn)，其他產(chǎn)業(yè)將會(huì)徹底轉(zhuǎn)型。但是，除非物聯(lián)網(wǎng)安全得到有效解決，否則它可能只是一個(gè)潛在的積極產(chǎn)品或相關(guān)服務(wù)。OEM設(shè)備制造商及其開(kāi)發(fā)團(tuán)隊(duì)?wèi)?yīng)該通過(guò)掃描和解決固件中存在的潛在安全漏洞，以尋求實(shí)施物聯(lián)網(wǎng)安全防御的第一道防線(xiàn)。