物联网的安全性在未来多年内仍会很脆弱

互联网不再仅仅只能从你的笔记本电脑或移动电话进行访问了;现在的电视机，婴儿监护器，烤箱和甚至是汽车零件都能访问互联网。越来越多地嵌入式医疗器械等医疗健康设备也都可以随时访问互联网。可以说现阶段互联网是无处不在的，这一趋势将使得物联网(IOT)得以保持持续地增长。

不幸的是，这种不断发展的技术会使得安全问题也同样大幅增长。上个月，在Black Hat和Defcon的安全会议上的多个演示文稿中，就强调了各种物联网设备的弱点。尽管还额外出现了其他物联网安全挑战的重点，如OWASP物联网安全的几条重要信息，总体看起来，在物联网领域未来将仍然是一场艰苦的战斗。

缺乏更新将会是物联网的阿喀琉斯之踵

无效或没有计划，将成为物联网部署安全更新的最大障碍。现实情况是，漏洞会随时出现在任何代码中。我们认为在整个设计和开发周期中都会有着较少的安全问题存在。然而，所有的软件厂商必须要能随时准备快速地响应漏洞，并发布补丁，以保护他们的用户。

我们必须从过去的失败中汲取教训

没有实际的修补计划所带来的影响，如今可以直接从iOS和Android上观察得到。两者都运用大量的安全资源，由有才华的开发团队来开发这些操作系统，当安全问题被发现时，两者也都能迅速做出补丁加以修正。苹果发布的补丁可直接通过iOS的更新向用户分发，但是Android设备的补丁必须通过设备制造商和网络运营商来进行发布，所以这其间一定会造成大量的时间延误。其可能出现的结果是，Android设备可能数月或数年都无法接收重要的补丁。据统计，小于18%的Android设备在运行最新的Android版本，82%的设备都缺少关键的安全更新。

今天的激励模式阻碍了物联网补丁的发布

让我们想象一个安全漏洞被发现的物联网烤箱，冰箱，或婴儿监视器，而且这些设备都是您最近购买的。它们会及时发布补丁以解决这一问题么?让我们看一下各方的激励模式。

制造商方面：

•极力想让产品销售出去

•产品要包括物联网连接的功能 – 即使这并不是他们的专业领域

•产品的市场因素带动产品的销售

顾客方面：

•主要目的是希望设备能正常工作

•认为能进行物联网连接是一个很好的功能

•大多数不想使用“固定”的模式

犯罪组织方面：

•希望设备能在其控制下成为僵尸网络并进行分布式攻击

•想保持隐藏，不影响设备性能，这样不被察觉，他们的恶意软件也就不会被消除

如果我们对上述因素进行评估，我们可以看到物联网设备修补漏洞对厂商来说具有非常低的优先级。犯罪组织会利用目前设备上一些已经过时的漏洞。如果犯罪组织足够狡猾，他们会在系统后台运行其恶意代码，而不影响设备的整体性能。这意味着顾客不会察觉到恶意软件的存在，并且该安全漏洞也不会被顾客反馈至制造商那里去。因此，如果该设备的评价没有负面的安全漏洞影响，制造商将没有动机对其进行补丁修补。

物联网的漏洞将影响很多受害者

虽然制造商可以不急于修复这些漏洞，但其潜在的危险还是很大的。

1、物联网设备的所有者

客户将失去隐私。他们的私人数据会在其不知情的情况下被监视并出售。随着物联网的扩展，这些数据将变得更加多样化，包括重要的健康数据，位置信息和家中的视频流等等。

2、涉及整个Web上的应用程序

在物联网上的所有Web应用程序也将处于危险之中。脆弱的物联网设备将受到损害，并加入恶意僵尸网络。这些受损的设备会发送垃圾邮件，拒绝提供安全服务，甚至能监视并获得整个被盗网络的数据。受害的网站将继续攻击其它不相关的网站和应用，恶意攻击防御系统，并不断扩大僵尸网络。

进行有效的修补程序部署将会是一个大问题

设备的黑客绝大多数会被忽视，也不影响到设备的所有者。然而，一些安全漏洞会给顾客带来严重的影响，这样公众便会要求提供补丁加以修正。但如何将这个补丁发布出来呢?

在这种情况下，制造商可能会争相发布补丁。可是然后呢?如何修补实际受损失的设备呢?要求所有客户重新启动他们的烤箱，汽车，或心脏起搏器?或只将更新的软件提供在实物产品的下一个版本上?这意味着客户将继续使用未打补丁的设备，直到他们买了一台新的烤面包机，婴儿监视器等。所以不幸的是，我们在物联网安全方面，目前面临的挑战之一是，即使我们发布了一个补丁，也没有有效的渠道能及时送达到大多数设备上。

我们怎样才能做得更好?

我们有两种方法可以使情况变得更好。

首先，我们需要通过努力使消费者改变激励模式，这样生产商将倾向于快速修补漏洞。这可以通过公开影响范围广泛的IoT安全漏洞来实现。也可以通过对物联网安全性弱点内容的广泛交流来完成。屡犯者要追究责任，消费者也应参与投票。我们还应该提倡积极安全的方法，来帮助建立强健和安全的物联网设备。

其次，物联网设备制造商必须为其产品中不可避免的安全漏洞做好准备。他们必须考虑设计和实施过程中的安全性，避免明显的安全弱点。不过，他们也必须建立一个可用的修补模式，使设备升级时能首先完成必要的重要的安全升级。这也需要与用户进行无缝的合作，并且可以满足大多数的设备。

物联网将很快融入我们的生活方式之中。如果我们从过去几十年的互联网和计算机安全中学会了什么的话，我们就应该积极主动地完成安全规划。我们不可能为每一个新的漏洞或弱点做好准备。但是，我们必须设计具有能确保用户数据安全的、可以快速部署新代码能力的物联网设备。否则，物联网可能变成僵尸网络的物联网。