0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何解决物联网设备中隐藏的安全漏洞

ZWxF_iot12345 来源:未知 作者:胡薇 2018-08-20 09:23 次阅读

研究机构Gartner估计,到2020年,全球将有204亿个物联网设备,高于2017年预估的84亿个。波士顿咨询集团2017年的一份报告显示,物联网产品和服务市场预计到2020年将达到2670亿美元。该报告还指出,到2020年,50%物联网支出将由制造、运输和物流以及公用事业(企业和社区基础设施)的关键领域驱动。然而,物联网的采用和增长并没有得到保障。物联网设备中存在大量隐藏的安全漏洞,在我们达到预期增长之前必须解决这些漏洞。

物联网安全的定时炸弹

大多数嵌入式部件和物联网设备固件使用第三方开源代码。通过使用第三方代码,而不是自行开发软件,OEM(代工生产)设备制造商可以降低组装成本,并快速增加创新,从而节省原本需要数月或数年的开发时间。这些组件的较新版本不存在安全漏洞。然而,对于OEM开发团队及其第三方软件供应商来说,几乎不可能准确有效地追踪代码中所有开源软件。尤其是当他们的精力主要集中在开发高阶系统时。普华永道最新研究报告显示,在接受调查的大约9700家公司中,只有35%的公司表示他们已经制定了物联网安全战略。许多公司正在扩大对联网设备和传感器的使用,这些设备和传感器收集操作数据或客户数据,并将其发送回数字业务工具,以推动决策制定。然而,只有28%的公司表示,他们已经开始实施额外的安全措施,以防范物联网造成的网络攻击增多风险。遗憾的是,如果OEM设备制造商和开发人员不愿意有效保护其物联网产品,我们将会面临脆弱的关键企业和社区基础设施,或者对物联网市场增长造成损害。技术、制造、公用事业和政府组织将需要对其系统和基础设施中的设备采取更加谨慎态度。

类似Equifax诉讼可能会阻碍物联网的采用

客户和最终用户对OEM设备制造商提起的高昂诉讼可能导致负面的物联网采用和增长。为什么?因为当绝大多数物联网安全漏洞都是由固件中已知的开源安全问题造成时,OEM设备制造商将很难为自己辩护——这些问题本来可以通过软件补丁或者使用包含补丁的OSS组件最新版本补救。这正是Equifax发生的事情。一个众所周知记录在案的Apache strup安全漏洞未被修补,导致数据泄露,引发了数十亿美元诉讼。

消费者移动设备和客户端“推送更新”模式不适用于大多数物联网实施

十多年来,销售企业客户端和消费者移动设备的OEM设备制造商,通过软件更新来修补操作系统和应用程序上的安全漏洞。像微软和苹果这样的主要公司已经成功实施了这种“修补”模式,保护个人电脑和移动设备免受网络犯罪侵害。其他公司,如特斯拉,已经将这一过程提升到一个新的高度,用补丁更新整个车队,并消除了车主干预的需要。像微软和苹果这样的主要厂商可以保护个人电脑和移动设备免受网络攻击。然而,目前却还没有标准化系统来管理物联网结构的强大安全性,尽管它们大量使用开源组件;同时也没有任何领先玩家能够有效推动 “修补”更新。因此,物联网平台特别容易受到已知安全漏洞的影响。物联网OEM设备制造商必须承担责任,在产品出厂之前,找到并消除固件中所有的已知安全漏洞。很好,但是他们如何才能做到?用正确的工具。考虑到90%或更多的分布式软件包含某种形式开源代码,那么可以通过最有效机制的代码扫描找到和清除物联网安全漏洞。

扫描安全漏洞

大多数OEM设备制造商都会购买固件或第三方代码,以降低开发和采购成本。OEM设备制造商通常以二进制格式获取其全部或部分固件,这使得在没有源代码情况下识别任何潜在安全漏洞变得异常困难。OEM设备制造商和开发人员可以使用很多软件的安全性和合规性分析扫描工具。不幸的是,大多数都只专注于解决源代码中的常见编程错误。虽然现有的开源和商业代码分析工具提供部分二进制扫描,但它们第一步就将二进制代码逆向工程为源代码了。还有更有效的方法来检查二进制代码——即二进制代码扫描工具。他们评估所有原始二进制文件,以确定代码中开源组件和版本,然后,扫描工具将它们的发现与已知安全漏洞已建立的、经常更新的数据库进行比较。二进制扫描工具可以检查以二进制格式排序的其他代码,而不是反汇编。在个人、商业和社会的广泛应用中,物联网设备提供的积极潜力近乎难以想象。新的产业将会出现,其他产业将会彻底转型。但是,除非物联网安全得到有效解决,否则它可能只是一个潜在的积极产品或相关服务。OEM设备制造商及其开发团队应该通过扫描和解决固件中存在的潜在安全漏洞,以寻求实施物联网安全防御的第一道防线。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 物联网
    +关注

    关注

    2860

    文章

    41271

    浏览量

    357395
  • 安全漏洞
    +关注

    关注

    0

    文章

    144

    浏览量

    16533

原文标题:如何解决物联网安全的定时炸弹问题

文章出处:【微信号:iot12345,微信公众号:物联之家网】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad

     据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞(CVE-2024-1580)。
    的头像 发表于 03-26 10:47 118次阅读

    再获认可,聚铭网络入选国家信息安全漏洞库(CNNVD)技术支撑单位

    近日,国家信息安全漏洞库(CNNVD)公示2023年度新增技术支撑单位名单。经考核评定,聚铭网络正式入选并被授予《国家信息安全漏洞库(CNNVD)三级技术支撑单位证书》。     国家信息安全漏洞
    的头像 发表于 12-21 10:14 241次阅读
    再获认可,聚铭网络入选国家信息<b class='flag-5'>安全漏洞</b>库(CNNVD)技术支撑单位

    如何消除内存安全漏洞

    “MSL 可以消除内存安全漏洞。因此,过渡到 MSL 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。
    发表于 12-12 10:29 158次阅读
    如何消除内存<b class='flag-5'>安全漏洞</b>

    MCU是怎么为联网端点设备提高安全性的?

    MCU 是怎么为联网端点设备提高安全性的?
    发表于 10-17 08:53

    统一系统脆弱性管理平台:让“网络安全漏洞”无处遁形

    网络安全漏洞是网络节点的系统软件或应用软件在逻辑设计上的缺陷,漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使网络攻击者能够在未授权的情况下访问或破坏系统。   网络
    的头像 发表于 09-25 10:30 295次阅读
    统一系统脆弱性管理平台:让“网络<b class='flag-5'>安全漏洞</b>”无处遁形

    基于飞腾派的边缘联网

    网络连接实现远程控制和监管。还可以通过手机 APP 或云端平台控制教室设备,以及监管设备的运行状态和故障情况。边缘联网关在智慧教室场景
    发表于 09-21 16:50

    如何降低网络安全漏洞被利用的风险

    的领军企业——国联易安的产品市场专家给出了答案: 一是明白什么是网络安全漏洞。网络安全漏洞也称为脆弱性,是信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的可被威胁利用的缺陷,这些缺陷存在于件
    的头像 发表于 09-13 15:37 603次阅读

    新唐对应四大联网安全攻击的保护措施

    联网安全包含装置安全和网络安全,在此定义下涵盖了保护联网
    发表于 08-21 08:14

    设计一个片上系统-为安全联网创建一个系统设备

    本指南适用于系统设计人员,可能使用Arm Flexible access。我们假设您希望为安全联网设备开发片上系统(SoC),并且您打算SoC将用于智能咖啡机。然而,该指南可能与任
    发表于 08-02 09:33

    AMD Zen2全家都有严重安全漏洞

    Google信息安全研究员Tavis Ormandy披露了他独立发现的存在于AMD Zen2架构产品中的一个严重安全漏洞“Zenbleed”(Zen在流血)。
    的头像 发表于 07-26 11:51 1383次阅读
    AMD Zen2全家都有严重<b class='flag-5'>安全漏洞</b>!

    IBM 最新报告:安全漏洞成本飙升,但半数存在漏洞企业不愿增加安全投入

    万美元,创该报告有史以来以来最高记录,也较过去3年均值增长了15%。同一时期内,检测安全漏洞漏洞恶化带来的
    的头像 发表于 07-26 04:07 440次阅读
    IBM 最新报告:<b class='flag-5'>安全漏洞</b>成本飙升,但半数存在<b class='flag-5'>漏洞</b>企业不愿增加<b class='flag-5'>安全</b>投入

    IBM 最新报告:安全漏洞成本飙升,但半数存在漏洞企业不愿增加安全投入

    以来最高记录,也较过去 3 年均值增长了 15%。同一时期内,检测安全漏洞漏洞恶化带来的安全成本上升了 42%,占安全
    的头像 发表于 07-25 18:15 247次阅读
    IBM 最新报告:<b class='flag-5'>安全漏洞</b>成本飙升,但半数存在<b class='flag-5'>漏洞</b>企业不愿增加<b class='flag-5'>安全</b>投入

    利用SDR发现射频安全漏洞

    在当今的无线和5G时代,公司和个人在其物联网资产上遇到越来越多的安全威胁。任何拥有低成本无线电设备的人都可以拦截无线射频信号,并使用开源软件进行解码,因此必须评估连接设计是否存在安全漏洞
    的头像 发表于 05-05 09:50 1941次阅读

    九联科技物联网安全模组的应用方案

    当业界在推动产业物联网高速发展的同时,物联网安全问题也给我们敲响了警钟。近些年,黑客网络攻击、设备劫持事件频发,物联网终端产品不断爆出
    发表于 04-17 12:44 504次阅读

    联网和智能电网之间的关系是什么

    的高级计量基础设施设备有助于从最终用户收集数据,同时管理配电自动化设备联网与智能电网的融合联网
    发表于 04-07 09:22