目前在安全方面最大挑戰(zhàn)之一是：操作系統(tǒng)和應(yīng)用程序為何有如此多的安全漏洞。雖然傳統(tǒng)軟件廠商在開發(fā)更有彈性的應(yīng)用程序方面已經(jīng)取得了進步，但是，專家稱，嵌入式設(shè)備和系統(tǒng)(如植入式醫(yī)療設(shè)備和工業(yè)控制系統(tǒng))廠商在安全系統(tǒng)設(shè)計和開發(fā)的成熟度方面落后了好幾代。

安全服務(wù)提供商PerimeterE-Security的安全軟件專家和執(zhí)行副總裁約翰·別加(JohnViega)稱，在嵌入式和工業(yè)系統(tǒng)安全方面，未來可能有兩個結(jié)果。

別加稱，攻擊者開始利用SCADA(監(jiān)視控制和數(shù)據(jù)采集)系統(tǒng)披露的安全漏洞做一些可怕的事情。這將把注意力、規(guī)則和投資吸引到這個問題上來。

這是一個結(jié)果。另一個問題是這個挑戰(zhàn)長時間地悄悄惡化，i沒有發(fā)生實質(zhì)問題。如果不發(fā)生這種類型的事件，這個問題本身不會迅速改正。在真正發(fā)生糟糕的事情之前，人們將變得麻木不仁。他們把這種威脅稱作是理論性的。然而，我們知道緩存溢出安全漏洞已經(jīng)有很長時間之后人們才意識到這個風(fēng)險是多么糟糕。

重要基礎(chǔ)設(shè)施安全軟件和服務(wù)提供商Wurldtech安全技術(shù)公司的首席技術(shù)官和創(chuàng)始人內(nèi)特·庫貝(NateKube)還認為，人們對于目前的重要基礎(chǔ)設(shè)施的態(tài)度與人們在90年代末看待軟件安全的方式有相似之處。這些廠商直到最近才開始進行負面測試。這些廠商會做協(xié)議及其實施的一致性測試，但是，他們不會在測試中放入惡意通訊以查看這個系統(tǒng)如何回應(yīng)。

據(jù)庫貝稱，嵌入式和重要基礎(chǔ)設(shè)施市場中的更多的廠商正在開始做經(jīng)典威脅建模和對自己的設(shè)備進行風(fēng)險分析等事情。但是，他們還不成熟，沒有達到開發(fā)正式的安全開發(fā)標準的程度。傳統(tǒng)軟件開發(fā)和嵌入式設(shè)備安全之間的問題是類似的。這就是工程團隊從來沒有真正考慮這些問題。他們通常以為這些事情不是聯(lián)網(wǎng)，或者網(wǎng)絡(luò)將是專用的。因此，他們不做這個事情。

在涉及到嵌入式和工業(yè)控制系統(tǒng)安全的時候，有許多事情是不同的。糟糕的系統(tǒng)設(shè)計的第一個后果是產(chǎn)生的社會風(fēng)險要比傳統(tǒng)的軟件應(yīng)用程序產(chǎn)生的社會風(fēng)險大得多。第二，如果有可能這樣做的話，事后更新這些系統(tǒng)將付出更多的代價。

庫貝稱，最終用戶不能修復(fù)嵌入式系統(tǒng)的漏洞。他們不僅不能在技術(shù)上修復(fù)漏洞，而且代價也非常高，使他們不能做這個事情。他們必須打電話讓他們的系統(tǒng)提供商或者集成商過來對嵌入式設(shè)備進行固件升級。這些嵌入式系統(tǒng)正在控制一個龐大的復(fù)雜的流程，讓這些設(shè)備離線不是一件小事。

別加同意這個觀點。他說，嵌入式設(shè)備一旦部署到現(xiàn)場，修復(fù)嵌入式設(shè)備的故障是非常昂貴的。與軟件系統(tǒng)相比，這個成本和困難都非常大。如果一家廠商發(fā)布一個補丁和宣布在他們的嵌入式設(shè)備中有一個安全漏洞，會發(fā)生什么事情呢？補丁不會廣泛地使用，因此，他們做的事情就是讓他們的用戶群面臨風(fēng)險。