2016年，我們看到一些首次以物聯網為推力的網絡攻擊，其中包括10月份造成互聯網大面積癱瘓的一次攻擊。隨著我們步入新的一年，安全將會成為年輕物聯網產業(yè)的尖銳問題，而物聯網安全專家的缺乏也使得跟上黑客的步伐變得很難。

　　1.嵌入式安全終將得到認真對待

　　盡管嵌入式安全話題經常突然出現，然而口頭上對這個概念進行敷衍遠比實際上將安全植入硬件之中要容易得多。新思科技安全戰(zhàn)略官羅伯特·瓦摩西說道：“情況正在改變”。“那些體積太小而無法容納自身安全的設備將會經受以固件測試為起點的深入安全分析。”他說到。“芯片內部的軟件與控制它的應用一樣重要。它們都需要進行安全和質量測試。一些早期的物聯網僵尸網絡就是利用設備自身的缺陷和特點進行攻擊的”。

　　2.對網絡供應鏈進行檢查將會成為一項重點

　　第三方軟件層出不窮但往往未經受過充分檢驗。“一些早期的物聯網僵尸網絡就是利用了設備內部第三方芯片里的缺陷和特點。” 羅伯特·瓦摩西說到。“搞清楚每個芯片之中軟件組件的材料清單將變得很重要，因為物聯網供應商往往希望能使自己避免昂貴的召回”。

　　3.以物聯網為推力的分布式拒絕服務攻擊仍將是個問題

　　當前，對于防止遭受10月份植入大多數互聯網的Mirai僵尸網絡等分布式拒絕服務攻擊仍然是無計可施。然而，如果這一問題果真發(fā)生，互聯網用戶將會在安全與隱私擔憂方面承擔不同后果。信息安全大會顧問委員會委員托德.英斯基普說到。“長期來說，我們可能會考慮所有互聯網啟動設備的安全需求，但是這要與它自身的系列問題一起進行：是何種需求，由誰來驗證符合性。這可能會引發(fā)不同區(qū)域和國家在安全考慮方面的沖突”，英斯基普說到。“在假定所有參與者至少在最初都是自私的這一情形下，互聯網設計的目的是具備開放和富有彈性。相反，我們會繼續(xù)尋找具有惡意企圖的個人、組織和民族國家。”

　　與此同時，公司和個人也可以采取相應措施來減少僵尸網絡的威力。根據袋熊安全公司首席技術官特雷弗.霍索恩的說法，人們可以采取三大步驟來避免僵尸網絡問題。首先，杜絕將物聯網設備暴露在開放的互聯網之中。“這可能是最重要的考量”他說到。其次，確保物聯網設備不斷更新。再次，改變所有設備上的初始密碼。

　　4.擁有物聯網項目的公司將學會像黑客一樣思考

　　1993年，《周六夜現場》上演了一部滑稽劇，嘲弄汽車產業(yè)僅僅依靠警報和方向盤鎖來保護汽車的策略。

　　“在九十年代，你不再需要一輛汽車來告訴世人你多富有。但是你的確需要一輛汽車來告訴世人你很聰明。”答案是一輛Chameleon XLE(變色龍XLE)汽車，它外面看起來一文不值但是內部卻裝飾豪華并且引擎蓋下面有一個超強的發(fā)動機。“一個偷車賊看一眼它后，然后繼續(xù)靠右向前走”嘲弄臺詞這樣解釋到。

　　盡管是一個玩笑，《周六夜現場》滑稽劇告訴我們要像罪犯一樣思考。網絡罪犯和偷車賊往往都會被那些有價值但卻能輕易闖入的目標所吸引。擁有物聯網設備的機構不僅僅應該將精力放在確保產品安全上，而且還要明白黑客一開始為何關注它們的產品，同時必須明白要采取何種措施才能使這些設備不再成為黑客關注的目標。

　　在技術領域，許多人一直在與安全問題做斗爭，即使同樣的基本威脅持續(xù)了幾十年。“物聯網威脅從根本上來說就是我們最近20來年一直設法處理的同類威脅：不懷好意的參與者(個人、組織和民族國家)試圖通過破壞數據及服務的機密性、完整性和有效性來搶占優(yōu)勢”，信息安全大會顧問委員會委員托德.英斯基普說到。

　　然而，當提到信息和服務時，物聯網設備的確開辟了新領域。“這些新的設備可以處理各種信息并且比之前的設備更能影響現實生活”，英斯基普說到。“處于生產線之中的物聯網設備一旦紊亂可能會使攪拌的化學品比例失調。家中的物聯網設備被侵入時有可能打開房門，或者公司內部的視頻可能會讓外部的人分享。盡管這些威脅是一樣的，但是風險可能迥然不同”。

　　5.招募物聯網安全人才依然艱難

　　整個技術行業(yè)的安全專家仍然是供不應求。物聯網產業(yè)也不例外，信息安全大會顧問委員會委員托德.英斯基普說到。“對所有行業(yè)來說，招聘到安全人才的確是一項挑戰(zhàn)，”袋熊安全首席技術官特雷弗.霍索恩也贊同到。

　　“資金充裕和知名的供應商在這方面將會容易一些。問題是洪水般涌來的小而廉價的產品往往都是由離岸制造商生產的，這些制造商們的安全追蹤記錄令人堪憂。正如我們看到的那樣，離岸物聯網設備制造商一開始并未重視安全工作，所以如果它們需要招募人才，將會困難重重。”

　　同時，產品安全行業(yè)也會充分利用現有的安全模型。“我們已經看到一種新型的安全人才已經涌現—首席產品安全官，以及他們的支持人員，產品安全官和產品安全工程師。但是這些角色中的人都會說他們是獨一無二的”。英斯基普說到。與這些專業(yè)人員有關的需求文件有很多種，其中包括用于硬件的美國國家標準與技術研究所的聯邦信息處理標準—140和用于軟件及系統(tǒng)的全球通用的共同準則。另一個例子則是更加注重軟件的建立安全成熟度模型。

　　6.態(tài)勢感知將成為一個更大的安全目標

　　可以預測到未來數以億計的物聯網設備將會覆蓋整個星球，而跟蹤何種設備應置于何處至關重要。“隨著物聯網設備被部署在IPv4網絡里，這些機構們應該能夠掃描或者‘看到’其網絡中部署了何種物聯網設備。”袋熊安全首席技術官特雷弗.霍索恩說到。“有了IPv6，眾多IPv6地址的存在可能很難掃描到邊界。這些機構可能需要將注意力放在其它的模型上，從而保持對所擁有的和所暴露設備的控制。”