研究機構Gartner估計,到2020年,全球將(jiāng)有204億劇兵個物聯網設備,高于2017年預估的84億個。波士頓咨詢集團20錢頻17年的一份報告顯示,物聯網産品和服務市場預計到2020年將(jiāng)達聽有到2670億美元。該報告還(h著近ái)指出,到2020年,50%物聯網支出將(j南低iāng)由制造、運輸和物流以及公紙讀用事(shì)業(企業和社區基礎設施)的關鍵熱上領域驅動。
然而,物聯網的采用和增長(cháng)并微麗沒(méi)有得到保障。物聯網設備中存在大量隐藏的厭醫安全漏洞,在我們達到預期增長(chán吧慢g)之前必須解決這(zhè)些漏洞。
物聯網安全的定時(shí)炸彈
大多數嵌入式部件和物聯網設備固件使用第三方開(kāi年機)源代碼。通過(guò)使用第三方代碼,而不是自行開(kāi)發(fā)做為軟件,OEM(代工生産)設備制造商可以降低組裝成(chén女腦g)本,并快速增加創新,從而節省原本需要數月或數年的開(kāi)發(f科現ā)時(shí)間。
這(zhè)些組件的較新版本不存在安全漏洞。鐵老然而,對(duì)于OEM開(kāi)發(fā)團隊美看及其第三方軟件供應商來說(shuō),幾乎不可能(néng)準确有效地追蹤代光商碼中所有開(kāi)源軟件。尤其是當他們的精力主要集中在開(kāi)發(制高fā)高階系統時(shí)。
普華永道(dào)最新研究報告們習顯示,在接受調查的大約9700家公司中,隻有35%的公司表示他們微音已經(jīng)制定了物聯網安全戰略。許多公司正在擴大對(du冷煙ì)聯網設備和傳感器的使用,這(zhè)些設備和傳感熱音器收集操作數據或客戶數據,并將(jiāng)其發(fā)送回數字業務西紅工具,以推動決策制定。然而,隻有28%的公司表示,場些他們已經(jīng)開(kāi)始實施額外的安全件大措施,以防範物聯網造成(chéng)的網絡攻擊增多風險。
遺憾的是,如果OEM設備制造商和開(kāi)發(fā)人員不願意有效保護其物煙快聯網産品,我們將(jiāng)會(huì)面(miàn)臨脆弱的關鍵企計站業和社區基礎設施,或者對(duì)物聯網市場增長(cháng)造成(c放鄉héng)損害。技術、制造、公用事匠去(shì)業和政府組織將(jiāng)需要對(duì)其系統和基礎設施中的設備快錯采取更加謹慎态度。
類似Equifax訴訟可能(néng)會(huì)阻礙物聯網的采用
客戶和最終用戶對(duì)OEM設備一這制造商提起(qǐ)的高昂訴訟可能(néng)導緻負東花面(miàn)的物聯網采用和增長場錯(cháng)。
爲什麼(me)?因爲當絕大多數物聯網安全漏洞都(dōu坐樹)是由固件中已知的開(kāi)源安全問題造成(chéng)外綠時(shí),OEM設備制造商將(jiāng)很難爲自己辯護—說不—這(zhè)些問題本來可以通過(guò)軟件補丁或者數舊使用包含補丁的OSS組件最新版本補救。
這(zhè)正是Equifax發(費國fā)生的事(shì)情。一個衆所周知記錄在案的Apache stru中物p安全漏洞未被(bèi)修補,導緻數據洩露,引發(fā)了數十億都小美元訴訟。
消費者移動設備和客戶端“推送更新”模式不适用于大多數物聯網實施
十多年來,銷售企業客戶端和消費者移動設備的OEM設備制造商,通過(月靜guò)軟件更新來修補操作系統和應用答筆程序上的安全漏洞。像微軟和蘋果這(zhè)樣(yàng)的主要公司已開姐經(jīng)成(chéng)功實少數施了這(zhè)種(zhǒng)“修補”模式,保體書護個人電腦和移動設備免受網絡犯罪侵害。其他公司,如特斯拉,已經(jīng小服)將(jiāng)這(zhè)一過(guò)程提升到一動上個新的高度,用補丁更新整個車隊,并消除了車主幹預的需要。
像微軟和蘋果這(zhè)樣(yàng)的主要影的廠商可以保護個人電腦和移動設備免受網絡攻擊。然而,目前卻還(黑舊hái)沒(méi)有标準化系統來管理物聯網結構的強大安全性,盡管它們關公大量使用開(kāi)源組件;同時(shí)也沒(高答méi)有任何領先玩家能(néng)夠有睡身效推動 “修補”更新。因此,物聯網平台特别容易受到件錢已知安全漏洞的影響。物聯網OEM設備制造商必須承拍黑擔責任,在産品出廠之前,找到并消除固件中所有的已明件知安全漏洞。
很好(hǎo),但是他們如何才能(néng)做到?
用正确的工具。
考慮到90%或更多的分布式軟件包師爸含某種(zhǒng)形式開(kāi)源市坐代碼,那麼(me)可以通過(g事志uò)最有效機制的代碼掃描找到和清除物聯網安全漏洞。
掃描安全漏洞
大多數OEM設備制造商都(dōu)會(huì)購買固件或第三方代碼,以降低開離上(kāi)發(fā)和采購成(ch慢放éng)本。OEM設備制造商通常以二進(jìn)多去制格式獲取其全部或部分固件,這(zhè)使得在沒(méi)有源代碼情況下識别任他信何潛在安全漏洞變得異常困難。
OEM設備制造商和開(kāi)發(fā)技身人員可以使用很多軟件的安全性和合規性分析掃描工具。不幸的是,大分愛多數都(dōu)隻專注于解決源代碼中的常見編程錯誤。樹請雖然現有的開(kāi)源和商業代碼分析工具提供部分二進(jìn)制掃描,但著不它們第一步就(jiù)將(jiāng)二進(jì上算n)制代碼逆向(xiàng)工程爲源代碼了。
還(hái)有更有效的方法來檢查二進(jìn)制代碼——即二去關進(jìn)制代碼掃描工具。他們評估所有原始二進(jìn遠綠)制文件,以确定代碼中開(kāi)源組件和女新版本,然後(hòu),掃描工具將(jiāng)它內開們的發(fā)現與已知安全漏洞已建立的、經(jī計坐ng)常更新的數據庫進(jìn)行比較。二進(jìn山放)制掃描工具可以檢查以二進(jìn)制格式排序的其他代碼,而不匠術是反彙編。
在個人、商業和社會(huì)的廣泛應科要用中,物聯網設備提供的積極潛力近乎難以想象。新的産業這裡將(jiāng)會(huì)出現,其他産業將(jiā爸門ng)會(huì)徹底轉型。但了話是,除非物聯網安全得到有效解決,否則它可能(néng)隻是一個潛在醫照的積極産品或相關服務。OEM設備制造醫一商及其開(kāi)發(fā)團隊應該通開快過(guò)掃描和解決固件中存在的潛在安全漏洞,以尋求實施物聯網安全防禦的第一畫著道(dào)防線。