2016年，我們看到一些首次以物聯(lián)網(wǎng)為推力的網(wǎng)絡(luò)攻擊，其中包括10月份造成互聯(lián)網(wǎng)大面積癱瘓的一次攻擊。隨著我們步入新的一年，安全將會成為年輕物聯(lián)網(wǎng)產(chǎn)業(yè)的尖銳問題，而物聯(lián)網(wǎng)安全專家的缺乏也使得跟上黑客的步伐變得很難。

　　1.嵌入式安全終將得到認(rèn)真對待

　　盡管嵌入式安全話題經(jīng)常突然出現(xiàn)，然而口頭上對這個概念進(jìn)行敷衍遠(yuǎn)比實際上將安全植入硬件之中要容易得多。新思科技安全戰(zhàn)略官羅伯特·瓦摩西說道：“情況正在改變”。“那些體積太小而無法容納自身安全的設(shè)備將會經(jīng)受以固件測試為起點的深入安全分析。”他說到。“芯片內(nèi)部的軟件與控制它的應(yīng)用一樣重要。它們都需要進(jìn)行安全和質(zhì)量測試。一些早期的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)就是利用設(shè)備自身的缺陷和特點進(jìn)行攻擊的”。

　　2.對網(wǎng)絡(luò)供應(yīng)鏈進(jìn)行檢查將會成為一項重點

　　第三方軟件層出不窮但往往未經(jīng)受過充分檢驗。“一些早期的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)就是利用了設(shè)備內(nèi)部第三方芯片里的缺陷和特點。” 羅伯特·瓦摩西說到。“搞清楚每個芯片之中軟件組件的材料清單將變得很重要，因為物聯(lián)網(wǎng)供應(yīng)商往往希望能使自己避免昂貴的召回”。

　　3.以物聯(lián)網(wǎng)為推力的分布式拒絕服務(wù)攻擊仍將是個問題

　　當(dāng)前，對于防止遭受10月份植入大多數(shù)互聯(lián)網(wǎng)的Mirai僵尸網(wǎng)絡(luò)等分布式拒絕服務(wù)攻擊仍然是無計可施。然而，如果這一問題果真發(fā)生，互聯(lián)網(wǎng)用戶將會在安全與隱私擔(dān)憂方面承擔(dān)不同后果。信息安全大會顧問委員會委員托德.英斯基普說到。“長期來說，我們可能會考慮所有互聯(lián)網(wǎng)啟動設(shè)備的安全需求，但是這要與它自身的系列問題一起進(jìn)行：是何種需求，由誰來驗證符合性。這可能會引發(fā)不同區(qū)域和國家在安全考慮方面的沖突”，英斯基普說到。“在假定所有參與者至少在最初都是自私的這一情形下，互聯(lián)網(wǎng)設(shè)計的目的是具備開放和富有彈性。相反，我們會繼續(xù)尋找具有惡意企圖的個人、組織和民族國家。”

　　與此同時，公司和個人也可以采取相應(yīng)措施來減少僵尸網(wǎng)絡(luò)的威力。根據(jù)袋熊安全公司首席技術(shù)官特雷弗.霍索恩的說法，人們可以采取三大步驟來避免僵尸網(wǎng)絡(luò)問題。首先，杜絕將物聯(lián)網(wǎng)設(shè)備暴露在開放的互聯(lián)網(wǎng)之中。“這可能是最重要的考量”他說到。其次，確保物聯(lián)網(wǎng)設(shè)備不斷更新。再次，改變所有設(shè)備上的初始密碼。

　　4.擁有物聯(lián)網(wǎng)項目的公司將學(xué)會像黑客一樣思考

　　1993年，《周六夜現(xiàn)場》上演了一部滑稽劇，嘲弄汽車產(chǎn)業(yè)僅僅依靠警報和方向盤鎖來保護(hù)汽車的策略。

　　“在九十年代，你不再需要一輛汽車來告訴世人你多富有。但是你的確需要一輛汽車來告訴世人你很聰明。”答案是一輛Chameleon XLE(變色龍XLE)汽車，它外面看起來一文不值但是內(nèi)部卻裝飾豪華并且引擎蓋下面有一個超強(qiáng)的發(fā)動機(jī)。“一個偷車賊看一眼它后，然后繼續(xù)靠右向前走”嘲弄臺詞這樣解釋到。

　　盡管是一個玩笑，《周六夜現(xiàn)場》滑稽劇告訴我們要像罪犯一樣思考。網(wǎng)絡(luò)罪犯和偷車賊往往都會被那些有價值但卻能輕易闖入的目標(biāo)所吸引。擁有物聯(lián)網(wǎng)設(shè)備的機(jī)構(gòu)不僅僅應(yīng)該將精力放在確保產(chǎn)品安全上，而且還要明白黑客一開始為何關(guān)注它們的產(chǎn)品，同時必須明白要采取何種措施才能使這些設(shè)備不再成為黑客關(guān)注的目標(biāo)。

　　在技術(shù)領(lǐng)域，許多人一直在與安全問題做斗爭，即使同樣的基本威脅持續(xù)了幾十年。“物聯(lián)網(wǎng)威脅從根本上來說就是我們最近20來年一直設(shè)法處理的同類威脅：不懷好意的參與者(個人、組織和民族國家)試圖通過破壞數(shù)據(jù)及服務(wù)的機(jī)密性、完整性和有效性來搶占優(yōu)勢”，信息安全大會顧問委員會委員托德.英斯基普說到。

　　然而，當(dāng)提到信息和服務(wù)時，物聯(lián)網(wǎng)設(shè)備的確開辟了新領(lǐng)域。“這些新的設(shè)備可以處理各種信息并且比之前的設(shè)備更能影響現(xiàn)實生活”，英斯基普說到。“處于生產(chǎn)線之中的物聯(lián)網(wǎng)設(shè)備一旦紊亂可能會使攪拌的化學(xué)品比例失調(diào)。家中的物聯(lián)網(wǎng)設(shè)備被侵入時有可能打開房門，或者公司內(nèi)部的視頻可能會讓外部的人分享。盡管這些威脅是一樣的，但是風(fēng)險可能迥然不同”。

　　5.招募物聯(lián)網(wǎng)安全人才依然艱難

　　整個技術(shù)行業(yè)的安全專家仍然是供不應(yīng)求。物聯(lián)網(wǎng)產(chǎn)業(yè)也不例外，信息安全大會顧問委員會委員托德.英斯基普說到。“對所有行業(yè)來說，招聘到安全人才的確是一項挑戰(zhàn)，”袋熊安全首席技術(shù)官特雷弗.霍索恩也贊同到。

　　“資金充裕和知名的供應(yīng)商在這方面將會容易一些。問題是洪水般涌來的小而廉價的產(chǎn)品往往都是由離岸制造商生產(chǎn)的，這些制造商們的安全追蹤記錄令人堪憂。正如我們看到的那樣，離岸物聯(lián)網(wǎng)設(shè)備制造商一開始并未重視安全工作，所以如果它們需要招募人才，將會困難重重。”

　　同時，產(chǎn)品安全行業(yè)也會充分利用現(xiàn)有的安全模型。“我們已經(jīng)看到一種新型的安全人才已經(jīng)涌現(xiàn)—首席產(chǎn)品安全官，以及他們的支持人員，產(chǎn)品安全官和產(chǎn)品安全工程師。但是這些角色中的人都會說他們是獨一無二的”。英斯基普說到。與這些專業(yè)人員有關(guān)的需求文件有很多種，其中包括用于硬件的美國國家標(biāo)準(zhǔn)與技術(shù)研究所的聯(lián)邦信息處理標(biāo)準(zhǔn)—140和用于軟件及系統(tǒng)的全球通用的共同準(zhǔn)則。另一個例子則是更加注重軟件的建立安全成熟度模型。

　　6.態(tài)勢感知將成為一個更大的安全目標(biāo)

　　可以預(yù)測到未來數(shù)以億計的物聯(lián)網(wǎng)設(shè)備將會覆蓋整個星球，而跟蹤何種設(shè)備應(yīng)置于何處至關(guān)重要。“隨著物聯(lián)網(wǎng)設(shè)備被部署在IPv4網(wǎng)絡(luò)里，這些機(jī)構(gòu)們應(yīng)該能夠掃描或者‘看到’其網(wǎng)絡(luò)中部署了何種物聯(lián)網(wǎng)設(shè)備。”袋熊安全首席技術(shù)官特雷弗.霍索恩說到。“有了IPv6，眾多IPv6地址的存在可能很難掃描到邊界。這些機(jī)構(gòu)可能需要將注意力放在其它的模型上，從而保持對所擁有的和所暴露設(shè)備的控制。”