2016年，我們看到一些首次以物聯(lián)網(wǎng)為推力的網(wǎng)絡(luò)攻擊，其中包括10月份造成互聯(lián)網(wǎng)大面積癱瘓的一次攻擊。隨著我們步入新的一年，安全將會(huì)成為年輕物聯(lián)網(wǎng)產(chǎn)業(yè)的尖銳問題，而物聯(lián)網(wǎng)安全專家的缺乏也使得跟上黑客的步伐變得很難。

　　1.嵌入式安全終將得到認(rèn)真對(duì)待

　　盡管嵌入式安全話題經(jīng)常突然出現(xiàn)，然而口頭上對(duì)這個(gè)概念進(jìn)行敷衍遠(yuǎn)比實(shí)際上將安全植入硬件之中要容易得多。新思科技安全戰(zhàn)略官羅伯特·瓦摩西說道：“情況正在改變”。“那些體積太小而無(wú)法容納自身安全的設(shè)備將會(huì)經(jīng)受以固件測(cè)試為起點(diǎn)的深入安全分析。”他說到。“芯片內(nèi)部的軟件與控制它的應(yīng)用一樣重要。它們都需要進(jìn)行安全和質(zhì)量測(cè)試。一些早期的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)就是利用設(shè)備自身的缺陷和特點(diǎn)進(jìn)行攻擊的”。

　　2.對(duì)網(wǎng)絡(luò)供應(yīng)鏈進(jìn)行檢查將會(huì)成為一項(xiàng)重點(diǎn)

　　第三方軟件層出不窮但往往未經(jīng)受過充分檢驗(yàn)。“一些早期的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)就是利用了設(shè)備內(nèi)部第三方芯片里的缺陷和特點(diǎn)。” 羅伯特·瓦摩西說到。“搞清楚每個(gè)芯片之中軟件組件的材料清單將變得很重要，因?yàn)槲锫?lián)網(wǎng)供應(yīng)商往往希望能使自己避免昂貴的召回”。

　　3.以物聯(lián)網(wǎng)為推力的分布式拒絕服務(wù)攻擊仍將是個(gè)問題

　　當(dāng)前，對(duì)于防止遭受10月份植入大多數(shù)互聯(lián)網(wǎng)的Mirai僵尸網(wǎng)絡(luò)等分布式拒絕服務(wù)攻擊仍然是無(wú)計(jì)可施。然而，如果這一問題果真發(fā)生，互聯(lián)網(wǎng)用戶將會(huì)在安全與隱私擔(dān)憂方面承擔(dān)不同后果。信息安全大會(huì)顧問委員會(huì)委員托德.英斯基普說到。“長(zhǎng)期來(lái)說，我們可能會(huì)考慮所有互聯(lián)網(wǎng)啟動(dòng)設(shè)備的安全需求，但是這要與它自身的系列問題一起進(jìn)行：是何種需求，由誰(shuí)來(lái)驗(yàn)證符合性。這可能會(huì)引發(fā)不同區(qū)域和國(guó)家在安全考慮方面的沖突”，英斯基普說到。“在假定所有參與者至少在最初都是自私的這一情形下，互聯(lián)網(wǎng)設(shè)計(jì)的目的是具備開放和富有彈性。相反，我們會(huì)繼續(xù)尋找具有惡意企圖的個(gè)人、組織和民族國(guó)家。”

　　與此同時(shí)，公司和個(gè)人也可以采取相應(yīng)措施來(lái)減少僵尸網(wǎng)絡(luò)的威力。根據(jù)袋熊安全公司首席技術(shù)官特雷弗.霍索恩的說法，人們可以采取三大步驟來(lái)避免僵尸網(wǎng)絡(luò)問題。首先，杜絕將物聯(lián)網(wǎng)設(shè)備暴露在開放的互聯(lián)網(wǎng)之中。“這可能是最重要的考量”他說到。其次，確保物聯(lián)網(wǎng)設(shè)備不斷更新。再次，改變所有設(shè)備上的初始密碼。

　　4.擁有物聯(lián)網(wǎng)項(xiàng)目的公司將學(xué)會(huì)像黑客一樣思考

　　1993年，《周六夜現(xiàn)場(chǎng)》上演了一部滑稽劇，嘲弄汽車產(chǎn)業(yè)僅僅依靠警報(bào)和方向盤鎖來(lái)保護(hù)汽車的策略。

　　“在九十年代，你不再需要一輛汽車來(lái)告訴世人你多富有。但是你的確需要一輛汽車來(lái)告訴世人你很聰明。”答案是一輛Chameleon XLE(變色龍XLE)汽車，它外面看起來(lái)一文不值但是內(nèi)部卻裝飾豪華并且引擎蓋下面有一個(gè)超強(qiáng)的發(fā)動(dòng)機(jī)。“一個(gè)偷車賊看一眼它后，然后繼續(xù)靠右向前走”嘲弄臺(tái)詞這樣解釋到。

　　盡管是一個(gè)玩笑，《周六夜現(xiàn)場(chǎng)》滑稽劇告訴我們要像罪犯一樣思考。網(wǎng)絡(luò)罪犯和偷車賊往往都會(huì)被那些有價(jià)值但卻能輕易闖入的目標(biāo)所吸引。擁有物聯(lián)網(wǎng)設(shè)備的機(jī)構(gòu)不僅僅應(yīng)該將精力放在確保產(chǎn)品安全上，而且還要明白黑客一開始為何關(guān)注它們的產(chǎn)品，同時(shí)必須明白要采取何種措施才能使這些設(shè)備不再成為黑客關(guān)注的目標(biāo)。

　　在技術(shù)領(lǐng)域，許多人一直在與安全問題做斗爭(zhēng)，即使同樣的基本威脅持續(xù)了幾十年。“物聯(lián)網(wǎng)威脅從根本上來(lái)說就是我們最近20來(lái)年一直設(shè)法處理的同類威脅：不懷好意的參與者(個(gè)人、組織和民族國(guó)家)試圖通過破壞數(shù)據(jù)及服務(wù)的機(jī)密性、完整性和有效性來(lái)?yè)屨純?yōu)勢(shì)”，信息安全大會(huì)顧問委員會(huì)委員托德.英斯基普說到。

　　然而，當(dāng)提到信息和服務(wù)時(shí)，物聯(lián)網(wǎng)設(shè)備的確開辟了新領(lǐng)域。“這些新的設(shè)備可以處理各種信息并且比之前的設(shè)備更能影響現(xiàn)實(shí)生活”，英斯基普說到。“處于生產(chǎn)線之中的物聯(lián)網(wǎng)設(shè)備一旦紊亂可能會(huì)使攪拌的化學(xué)品比例失調(diào)。家中的物聯(lián)網(wǎng)設(shè)備被侵入時(shí)有可能打開房門，或者公司內(nèi)部的視頻可能會(huì)讓外部的人分享。盡管這些威脅是一樣的，但是風(fēng)險(xiǎn)可能迥然不同”。

　　5.招募物聯(lián)網(wǎng)安全人才依然艱難

　　整個(gè)技術(shù)行業(yè)的安全專家仍然是供不應(yīng)求。物聯(lián)網(wǎng)產(chǎn)業(yè)也不例外，信息安全大會(huì)顧問委員會(huì)委員托德.英斯基普說到。“對(duì)所有行業(yè)來(lái)說，招聘到安全人才的確是一項(xiàng)挑戰(zhàn)，”袋熊安全首席技術(shù)官特雷弗.霍索恩也贊同到。

　　“資金充裕和知名的供應(yīng)商在這方面將會(huì)容易一些。問題是洪水般涌來(lái)的小而廉價(jià)的產(chǎn)品往往都是由離岸制造商生產(chǎn)的，這些制造商們的安全追蹤記錄令人堪憂。正如我們看到的那樣，離岸物聯(lián)網(wǎng)設(shè)備制造商一開始并未重視安全工作，所以如果它們需要招募人才，將會(huì)困難重重。”

　　同時(shí)，產(chǎn)品安全行業(yè)也會(huì)充分利用現(xiàn)有的安全模型。“我們已經(jīng)看到一種新型的安全人才已經(jīng)涌現(xiàn)—首席產(chǎn)品安全官，以及他們的支持人員，產(chǎn)品安全官和產(chǎn)品安全工程師。但是這些角色中的人都會(huì)說他們是獨(dú)一無(wú)二的”。英斯基普說到。與這些專業(yè)人員有關(guān)的需求文件有很多種，其中包括用于硬件的美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所的聯(lián)邦信息處理標(biāo)準(zhǔn)—140和用于軟件及系統(tǒng)的全球通用的共同準(zhǔn)則。另一個(gè)例子則是更加注重軟件的建立安全成熟度模型。

　　6.態(tài)勢(shì)感知將成為一個(gè)更大的安全目標(biāo)

　　可以預(yù)測(cè)到未來(lái)數(shù)以億計(jì)的物聯(lián)網(wǎng)設(shè)備將會(huì)覆蓋整個(gè)星球，而跟蹤何種設(shè)備應(yīng)置于何處至關(guān)重要。“隨著物聯(lián)網(wǎng)設(shè)備被部署在IPv4網(wǎng)絡(luò)里，這些機(jī)構(gòu)們應(yīng)該能夠掃描或者‘看到’其網(wǎng)絡(luò)中部署了何種物聯(lián)網(wǎng)設(shè)備。”袋熊安全首席技術(shù)官特雷弗.霍索恩說到。“有了IPv6，眾多IPv6地址的存在可能很難掃描到邊界。這些機(jī)構(gòu)可能需要將注意力放在其它的模型上，從而保持對(duì)所擁有的和所暴露設(shè)備的控制。”