物联网设备安全拒绝“事后诸葛亮”

与物联网连接的僵尸网络危害巨大，物联网设备中的漏洞可被用于制造大规模的互联网破坏。因此，很多基于物联网的僵尸网络有了新变种，并且危害更大。企业大都清楚不安全的物联网设备可能带来的风险。但是，对物联网设备打补丁的趋势进行分析，我们会发现即使漏洞已经为人所知，企业也未必采取了措施以主动地找到漏洞并为联网设备打上补丁。

在多数情况下，漏洞是在设备被买来并部署到网络中才发现的。对于产品开发者来说，在产品投放到市场中之后发现的漏洞，其解决的成本是极高昂的，当然这依赖于设备的类型。无论如何，这种漏洞都可能给公共安全和声誉带来极大的影响。如果物联网设备与当前的威胁（如勒索软件）结合起来，就会给攻击者带来真正可怕的新机会。

公司需要从产品开发的最初始阶段（即在投入到市场和部署到网络中之前）就将安全性嵌入到产品中。但是，由于没有任何系统是绝对安全的，而威胁又在不断演变，产品的开发者必须继续跟踪并改善发布后产品的安全性。

保障物联网设备的安全可能存在困难。产品的开发者需要在项目的管理、设计、质量保证以及将产品投放到市场中的许多其它方面做出努力。但是，产品的开发者在网络安全方面并无专门知识和技能，如安全威胁情报、合规、数据防泄露或响应要求。更不必说物联网设备的安全要求对设计系统及其组件有深入知识，还要深入知晓专业的硬件和软件工具，以及具体的威胁及应对措施。

由于这些限制条件，将物联网安全外包给专业的安全专家正日渐被接受。Gartner公司预计世界范围内用于物联网的安全花费将在专业服务方面剧增。如果企业正在考虑外包的安全和咨询服务，以此来强化物联网设备的安全，不妨考虑计划如下的关键行动，将其包含到外部的专家方案中，以此来弥补内部功能。

在开发过程中，要注意四个问题：

首先，要将安全专家包括到设计团队中。最优的产品开发要求安全专家是开发团队的完整的组成部分，并在产品设计和开发过程中扮演积极的角色。

其次，要由安全专家检查最初的高级系统设计。在设计过程中，执行这种活动有助于构建彼此的理解，并且可以使企业开发出在产品投入使用之前就能减轻其安全漏洞的架构。

第三，开发一种威胁模型。威胁建模的目标是确认在开发过程中可能发生在系统中的真正威胁。这种威胁模型要记录关键资产、数据流、系统组件、用户角色、威胁及应对措施。记录在威胁模型中的应对措施必须融合到技术产品的需求中，因而在开发过程中可被跟踪。

第四，集成静态和动态的分析工具。这些工具有助于确认在开发过程中的安全漏洞，从而可以在物联网产品投放到市场之前限制安全漏洞的产生。

当然，在产品发布后，仍然要关注产品安全，尤其是如下三个问题：

第一，要使安全专家参与到架构的评估中。企业要通过审阅文档和与有关人员访谈，来执行架构体系的审查，以便于理解系统的架构，并开始确认潜在的风险，确定对威胁模型进行哪些可能的更新。

第二，漏洞评估。安全专家可以执行技术评估，其目的是提供一种能影响一个或多个系统的漏洞图谱，并决定已知安全问题的规模，用以计划修复活动，还要区分解决问题的优先次序。

第三，渗透测试，即面向目标的攻击模拟，通过这种攻击我们可以确认最糟糕的可能影响一个或多个目标的安全漏洞。从设计的观点来使用威胁模型，开发者可以设置在渗透测试过程中所追求的目标。例如，针对心脏起搏器的攻击，或在汽车运动过程中，勒索软件远程打开汽车门。然后，企业可以运行测试，借以理解拥有某些方式和知识的攻击在有限时间内实现目标的过程，并理解企业的防御如何运行。

不管企业是运用内部的安全资源，还是外部的安全顾问，安全专家对于发现漏洞都至关重要，并且能够对风险进行排序和减轻风险。不妨考虑这样一种情况：汽车制造商找到一种用手机解锁和启动汽车的方法。安全专家可以领导产品开发的不同团队的设计审查过程，并深入挖掘重大的安全漏洞。通过构建威胁模型，安全专家可以确定高风险的威胁，诸如在手机被盗或丢失后，攻击者用手机控制汽车或禁止合法用户访问或远程耗尽电池的方法。通过这些训练，产品开发者就可以获得他们需要在技术上做出明智决策的信息，并从初始阶段就将安全性构建到产品中。

在产品发布后的情形中，不妨设想一家汽车制造商开始担心其“老龄化”的物联网汽车及内部组件的安全性。安全专家可以执行渗透测试，探究漏洞的类型以及攻击者根据其自身优势所要求的漏洞复杂程度。专家可以发现攻击者窃取凭据从而访问专用硬件的方法，也可以发现攻击者如何将多种漏洞组合起来用以抽取足够的知识产权数据从而构建原型系统。安全专家与汽车制造商合作可以构建修复策略，因而既能够保证当前的方案提供，又可以防止安全问题的发生。

保障物联网设备的安全并非易事，产品的开发者应当能够应对挑战。在产品的生命周期中与安全专家协作，开发者就可以更主动地减少与物联网设备有关的安全危害所带来的风险。