研究機構Gartner估計，到2020年，全球將有204億個物聯網設備，高于2017年預估的84億個。波士頓咨詢集團2017年的一份報告顯示，物聯網產品和服務市場預計到2020年將達到2670億美元。該報告還指出，到2020年，50%物聯網支出將由制造、運輸和物流以及公用事業(企業和社區基礎設施)的關鍵領域驅動。

然而，物聯網的采用和增長并沒有得到保障。物聯網設備中存在大量隱藏的安全漏洞，在我們達到預期增長之前必須解決這些漏洞。

[[240624]]

物聯網安全的定時炸彈

大多數嵌入式部件和物聯網設備固件使用第三方開源代碼。通過使用第三方代碼，而不是自行開發軟件，OEM(代工生產)設備制造商可以降低組裝成本，并快速增加創新，從而節省原本需要數月或數年的開發時間。

這些組件的較新版本不存在安全漏洞。然而，對于OEM開發團隊及其第三方軟件供應商來說，幾乎不可能準確有效地追蹤代碼中所有開源軟件。尤其是當他們的精力主要集中在開發高階系統時。

普華永道最新研究報告顯示，在接受調查的大約9700家公司中，只有35%的公司表示他們已經制定了物聯網安全戰略。許多公司正在擴大對聯網設備和傳感器的使用，這些設備和傳感器收集操作數據或客戶數據，并將其發送回數字業務工具，以推動決策制定。然而，只有28%的公司表示，他們已經開始實施額外的安全措施，以防范物聯網造成的網絡攻擊增多風險。

遺憾的是，如果OEM設備制造商和開發人員不愿意有效保護其物聯網產品，我們將會面臨脆弱的關鍵企業和社區基礎設施，或者對物聯網市場增長造成損害。技術、制造、公用事業和政府組織將需要對其系統和基礎設施中的設備采取更加謹慎態度。

類似Equifax訴訟可能會阻礙物聯網的采用

客戶和最終用戶對OEM設備制造商提起的高昂訴訟可能導致負面的物聯網采用和增長。

為什么?因為當絕大多數物聯網安全漏洞都是由固件中已知的開源安全問題造成時，OEM設備制造商將很難為自己辯護——這些問題本來可以通過軟件補丁或者使用包含補丁的OSS組件最新版本補救。

這正是Equifax發生的事情。一個眾所周知記錄在案的Apache strup安全漏洞未被修補，導致數據泄露，引發了數十億美元訴訟。

消費者移動設備和客戶端“推送更新”模式不適用于大多數物聯網實施

十多年來，銷售企業客戶端和消費者移動設備的OEM設備制造商，通過軟件更新來修補操作系統和應用程序上的安全漏洞。像微軟和蘋果這樣的主要公司已經成功實施了這種“修補”模式，保護個人電腦和移動設備免受網絡犯罪侵害。其他公司，如特斯拉，已經將這一過程提升到一個新的高度，用補丁更新整個車隊，并消除了車主干預的需要。

像微軟和蘋果這樣的主要廠商可以保護個人電腦和移動設備免受網絡攻擊。然而，目前卻還沒有標準化系統來管理物聯網結構的強大安全性，盡管它們大量使用開源組件;同時也沒有任何領先玩家能夠有效推動 “修補”更新。因此，物聯網平臺特別容易受到已知安全漏洞的影響。物聯網OEM設備制造商必須承擔責任，在產品出廠之前，找到并消除固件中所有的已知安全漏洞。

很好，但是他們如何才能做到?

用正確的工具。

考慮到90%或更多的分布式軟件包含某種形式開源代碼，那么可以通過最有效機制的代碼掃描找到和清除物聯網安全漏洞。

掃描安全漏洞

大多數OEM設備制造商都會購買固件或第三方代碼，以降低開發和采購成本。OEM設備制造商通常以二進制格式獲取其全部或部分固件，這使得在沒有源代碼情況下識別任何潛在安全漏洞變得異常困難。

OEM設備制造商和開發人員可以使用很多軟件的安全性和合規性分析掃描工具。不幸的是，大多數都只專注于解決源代碼中的常見編程錯誤。雖然現有的開源和商業代碼分析工具提供部分二進制掃描，但它們第一步就將二進制代碼逆向工程為源代碼了。

還有更有效的方法來檢查二進制代碼——即二進制代碼掃描工具。他們評估所有原始二進制文件，以確定代碼中開源組件和版本，然后，掃描工具將它們的發現與已知安全漏洞已建立的、經常更新的數據庫進行比較。二進制掃描工具可以檢查以二進制格式排序的其他代碼，而不是反匯編。

在個人、商業和社會的廣泛應用中，物聯網設備提供的積極潛力近乎難以想象。新的產業將會出現，其他產業將會徹底轉型。但是，除非物聯網安全得到有效解決，否則它可能只是一個潛在的積極產品或相關服務。OEM設備制造商及其開發團隊應該通過掃描和解決固件中存在的潛在安全漏洞，以尋求實施物聯網安全防御的第一道防線。