研究機構Gartner估計，到2020年，全球?qū)⒂?04億個物聯(lián)網(wǎng)設備，高于2017年預估的84億個。波士頓咨詢集團2017年的一份報告顯示，物聯(lián)網(wǎng)產(chǎn)品和服務市場預計到2020年將達到2670億美元。該報告還指出，到2020年，50％物聯(lián)網(wǎng)支出將由制造、運輸和物流以及公用事業(yè)（企業(yè)和社區(qū)基礎設施）的關鍵領域驅(qū)動。然而，物聯(lián)網(wǎng)的采用和增長并沒有得到保障。物聯(lián)網(wǎng)設備中存在大量隱藏的安全漏洞，在我們達到預期增長之前必須解決這些漏洞。

物聯(lián)網(wǎng)安全的定時炸彈

大多數(shù)嵌入式部件和物聯(lián)網(wǎng)設備固件使用第三方開源代碼。通過使用第三方代碼，而不是自行開發(fā)軟件，OEM（代工生產(chǎn)）設備制造商可以降低組裝成本，并快速增加創(chuàng)新，從而節(jié)省原本需要數(shù)月或數(shù)年的開發(fā)時間。這些組件的較新版本不存在安全漏洞。然而，對于OEM開發(fā)團隊及其第三方軟件供應商來說，幾乎不可能準確有效地追蹤代碼中所有開源軟件。尤其是當他們的精力主要集中在開發(fā)高階系統(tǒng)時。普華永道最新研究報告顯示，在接受調(diào)查的大約9700家公司中，只有35％的公司表示他們已經(jīng)制定了物聯(lián)網(wǎng)安全戰(zhàn)略。許多公司正在擴大對聯(lián)網(wǎng)設備和傳感器的使用，這些設備和傳感器收集操作數(shù)據(jù)或客戶數(shù)據(jù)，并將其發(fā)送回數(shù)字業(yè)務工具，以推動決策制定。然而，只有28％的公司表示，他們已經(jīng)開始實施額外的安全措施，以防范物聯(lián)網(wǎng)造成的網(wǎng)絡攻擊增多風險。遺憾的是，如果OEM設備制造商和開發(fā)人員不愿意有效保護其物聯(lián)網(wǎng)產(chǎn)品，我們將會面臨脆弱的關鍵企業(yè)和社區(qū)基礎設施，或者對物聯(lián)網(wǎng)市場增長造成損害。技術、制造、公用事業(yè)和政府組織將需要對其系統(tǒng)和基礎設施中的設備采取更加謹慎態(tài)度。

類似Equifax訴訟可能會阻礙物聯(lián)網(wǎng)的采用

客戶和最終用戶對OEM設備制造商提起的高昂訴訟可能導致負面的物聯(lián)網(wǎng)采用和增長。為什么？因為當絕大多數(shù)物聯(lián)網(wǎng)安全漏洞都是由固件中已知的開源安全問題造成時，OEM設備制造商將很難為自己辯護——這些問題本來可以通過軟件補丁或者使用包含補丁的OSS組件最新版本補救。這正是Equifax發(fā)生的事情。一個眾所周知記錄在案的Apache strup安全漏洞未被修補，導致數(shù)據(jù)泄露，引發(fā)了數(shù)十億美元訴訟。

消費者移動設備和客戶端“推送更新”模式不適用于大多數(shù)物聯(lián)網(wǎng)實施

十多年來，銷售企業(yè)客戶端和消費者移動設備的OEM設備制造商，通過軟件更新來修補操作系統(tǒng)和應用程序上的安全漏洞。像微軟和蘋果這樣的主要公司已經(jīng)成功實施了這種“修補”模式，保護個人電腦和移動設備免受網(wǎng)絡犯罪侵害。其他公司，如特斯拉，已經(jīng)將這一過程提升到一個新的高度，用補丁更新整個車隊，并消除了車主干預的需要。像微軟和蘋果這樣的主要廠商可以保護個人電腦和移動設備免受網(wǎng)絡攻擊。然而，目前卻還沒有標準化系統(tǒng)來管理物聯(lián)網(wǎng)結(jié)構的強大安全性，盡管它們大量使用開源組件；同時也沒有任何領先玩家能夠有效推動 “修補”更新。因此，物聯(lián)網(wǎng)平臺特別容易受到已知安全漏洞的影響。物聯(lián)網(wǎng)OEM設備制造商必須承擔責任，在產(chǎn)品出廠之前，找到并消除固件中所有的已知安全漏洞。很好，但是他們?nèi)绾尾拍茏龅?？用正確的工具。考慮到90％或更多的分布式軟件包含某種形式開源代碼，那么可以通過最有效機制的代碼掃描找到和清除物聯(lián)網(wǎng)安全漏洞。

掃描安全漏洞

大多數(shù)OEM設備制造商都會購買固件或第三方代碼，以降低開發(fā)和采購成本。OEM設備制造商通常以二進制格式獲取其全部或部分固件，這使得在沒有源代碼情況下識別任何潛在安全漏洞變得異常困難。OEM設備制造商和開發(fā)人員可以使用很多軟件的安全性和合規(guī)性分析掃描工具。不幸的是，大多數(shù)都只專注于解決源代碼中的常見編程錯誤。雖然現(xiàn)有的開源和商業(yè)代碼分析工具提供部分二進制掃描，但它們第一步就將二進制代碼逆向工程為源代碼了。還有更有效的方法來檢查二進制代碼——即二進制代碼掃描工具。他們評估所有原始二進制文件，以確定代碼中開源組件和版本，然后，掃描工具將它們的發(fā)現(xiàn)與已知安全漏洞已建立的、經(jīng)常更新的數(shù)據(jù)庫進行比較。二進制掃描工具可以檢查以二進制格式排序的其他代碼，而不是反匯編。在個人、商業(yè)和社會的廣泛應用中，物聯(lián)網(wǎng)設備提供的積極潛力近乎難以想象。新的產(chǎn)業(yè)將會出現(xiàn)，其他產(chǎn)業(yè)將會徹底轉(zhuǎn)型。但是，除非物聯(lián)網(wǎng)安全得到有效解決，否則它可能只是一個潛在的積極產(chǎn)品或相關服務。OEM設備制造商及其開發(fā)團隊應該通過掃描和解決固件中存在的潛在安全漏洞，以尋求實施物聯(lián)網(wǎng)安全防御的第一道防線。