研究機構Gartner估計,到2020年,全球将有204億個物(wù)聯網設備,高于2017年預估的84億個。波士頓咨詢集團2017年的一(yī)份報告顯示,物(wù)聯網産品和服務市場預計到2020年将達到2670億美元。該報告還指出,到2020年,50%物(wù)聯網支出将由制造、運輸和物(wù)流以及公用事業(企業和社區基礎設施)的關鍵領域驅動。
然而,物(wù)聯網的采用和增長并沒有得到保障。物(wù)聯網設備中(zhōng)存在大(dà)量隐藏的安全漏洞,在我(wǒ)(wǒ)們達到預期增長之前必須解決這些漏洞。
物(wù)聯網安全的定時炸彈
大(dà)多數嵌入式部件和物(wù)聯網設備固件使用第三方開(kāi)源代碼。通過使用第三方代碼,而不是自行開(kāi)發軟件,OEM(代工(gōng)生(shēng)産)設備制造商(shāng)可以降低組裝成本,并快速增加創新,從而節省原本需要數月或數年的開(kāi)發時間。
這些組件的較新版本不存在安全漏洞。然而,對于OEM開(kāi)發團隊及其第三方軟件供應商(shāng)來說,幾乎不可能準确有效地追蹤代碼中(zhōng)所有開(kāi)源軟件。尤其是當他們的精力主要集中(zhōng)在開(kāi)發高階系統時。
普華永道最新研究報告顯示,在接受調查的大(dà)約9700家公司中(zhōng),隻有35%的公司表示他們已經制定了物(wù)聯網安全戰略。許多公司正在擴大(dà)對聯網設備和傳感器的使用,這些設備和傳感器收集操作數據或客戶數據,并将其發送回數字業務工(gōng)具,以推動決策制定。然而,隻有28%的公司表示,他們已經開(kāi)始實施額外(wài)的安全措施,以防範物(wù)聯網造成的網絡攻擊增多風險。
遺憾的是,如果OEM設備制造商(shāng)和開(kāi)發人員(yuán)不願意有效保護其物(wù)聯網産品,我(wǒ)(wǒ)們将會面臨脆弱的關鍵企業和社區基礎設施,或者對物(wù)聯網市場增長造成損害。技術、制造、公用事業和政府組織将需要對其系統和基礎設施中(zhōng)的設備采取更加謹慎态度。
類似Equifax訴訟可能會阻礙物(wù)聯網的采用
客戶和最終用戶對OEM設備制造商(shāng)提起的高昂訴訟可能導緻負面的物(wù)聯網采用和增長。
爲什麽?因爲當絕大(dà)多數物(wù)聯網安全漏洞都是由固件中(zhōng)已知(zhī)的開(kāi)源安全問題造成時,OEM設備制造商(shāng)将很難爲自己辯護——這些問題本來可以通過軟件補丁或者使用包含補丁的OSS組件最新版本補救。
這正是Equifax發生(shēng)的事情。一(yī)個衆所周知(zhī)記錄在案的Apache strup安全漏洞未被修補,導緻數據洩露,引發了數十億美元訴訟。
消費(fèi)者移動設備和客戶端“推送更新”模式不适用于大(dà)多數物(wù)聯網實施
十多年來,銷售企業客戶端和消費(fèi)者移動設備的OEM設備制造商(shāng),通過軟件更新來修補操作系統和應用程序上的安全漏洞。像微軟和蘋果這樣的主要公司已經成功實施了這種“修補”模式,保護個人電(diàn)腦和移動設備免受網絡犯罪侵害。其他公司,如特斯拉,已經将這一(yī)過程提升到一(yī)個新的高度,用補丁更新整個車(chē)隊,并消除了車(chē)主幹預的需要。
像微軟和蘋果這樣的主要廠商(shāng)可以保護個人電(diàn)腦和移動設備免受網絡攻擊。然而,目前卻還沒有标準化系統來管理物(wù)聯網結構的強大(dà)安全性,盡管它們大(dà)量使用開(kāi)源組件;同時也沒有任何領先玩家能夠有效推動 “修補”更新。因此,物(wù)聯網平台特别容易受到已知(zhī)安全漏洞的影響。物(wù)聯網OEM設備制造商(shāng)必須承擔責任,在産品出廠之前,找到并消除固件中(zhōng)所有的已知(zhī)安全漏洞。
很好,但是他們如何才能做到?
用正确的工(gōng)具。
考慮到90%或更多的分(fēn)布式軟件包含某種形式開(kāi)源代碼,那麽可以通過最有效機制的代碼掃描找到和清除物(wù)聯網安全漏洞。
掃描安全漏洞
大(dà)多數OEM設備制造商(shāng)都會購買固件或第三方代碼,以降低開(kāi)發和采購成本。OEM設備制造商(shāng)通常以二進制格式獲取其全部或部分(fēn)固件,這使得在沒有源代碼情況下(xià)識别任何潛在安全漏洞變得異常困難。
OEM設備制造商(shāng)和開(kāi)發人員(yuán)可以使用很多軟件的安全性和合規性分(fēn)析掃描工(gōng)具。不幸的是,大(dà)多數都隻專注于解決源代碼中(zhōng)的常見編程錯誤。雖然現有的開(kāi)源和商(shāng)業代碼分(fēn)析工(gōng)具提供部分(fēn)二進制掃描,但它們第一(yī)步就将二進制代碼逆向工(gōng)程爲源代碼了。
還有更有效的方法來檢查二進制代碼——即二進制代碼掃描工(gōng)具。他們評估所有原始二進制文件,以确定代碼中(zhōng)開(kāi)源組件和版本,然後,掃描工(gōng)具将它們的發現與已知(zhī)安全漏洞已建立的、經常更新的數據庫進行比較。二進制掃描工(gōng)具可以檢查以二進制格式排序的其他代碼,而不是反彙編。
在個人、商(shāng)業和社會的廣泛應用中(zhōng),物(wù)聯網設備提供的積極潛力近乎難以想象。新的産業将會出現,其他産業将會徹底轉型。但是,除非物(wù)聯網安全得到有效解決,否則它可能隻是一(yī)個潛在的積極産品或相關服務。OEM設備制造商(shāng)及其開(kāi)發團隊應該通過掃描和解決固件中(zhōng)存在的潛在安全漏洞,以尋求實施物(wù)聯網安全防禦的第一(yī)道防線。