万物互联

几乎所有的新设备都有一点点嵌入式技术连接到互联网。联网的“东西”类型包括茶壶（认真的）、运动鞋（运动鞋）和电视。

此外，可能未连接到 Internet 但通常连接到本地网络的设备包括心脏起搏器和胰岛素泵等医疗设备。 Synopsys, Inc. 的管理顾问 Art Dahnert 表示，这种趋势 , 已经发生好几年了，而且看起来不会很快停止。

问题是物联网 (IoT) 中的太多东西也被黑客入侵。

您不必看很远就能看到有关安全摄像头变成僵尸网络、电视被用来监视您或健身监视器被用来识别秘密军事基地的故事。所有这些攻击的问题在于，支持这些设备的软件在构建时并没有考虑到安全性。通常，没有人考虑安全性，直到为时已晚，他们的物联网设备已成为新闻。

没有什么比今天的汽车更明显了。今天的现代车辆拥有 100 多个 CPU（协处理器单元）并使用数百万行代码。所有这些代码都需要支持自适应巡航控制、车道保持辅助、自动停车和紧急制动功能等先进技术，而这些在 10 年前都不存在。

新代码和新功能的结合以及上市速度的压力意味着最有可能削减一些角落 - 包括安全控制。也有可能认为安全性要求不够高，无法将其纳入最终产品。无论一开始为什么不包括安全性，攻击者利用和控制不安全的工具的时机已经成熟。

而这正是已经发生的事情。大多数攻击汽车软件的坏人并不想在路上行驶时撞毁数千辆汽车；他们会做坏人做的事，偷东西。即窃取车辆，或至少窃取车内的物品。这正是 2016 年在休斯顿发生的事情，一个团伙利用车辆软件缺乏安全控制，偷走了 30 多辆吉普车。

首先，公司需要认真对待安全问题，并使用安全最佳实践从一开始就将安全性构建到他们的产品中。首先是培训开发人员编写安全软件，包括开发或使用将安全性集成到整个系统中的架构。安全地编写模块或组件是一回事，但如果系统以明文形式传递数据（密码），那么您最终仍然会受到损害。

除了安全的代码和架构外，公司还需要投资在流程中特定点集成安全性的 SDLC。这可能包括一个静态代码分析工具，每次构建开始时都会扫描源代码。最后，在产品交付生产之前对其进行安全评估（渗透测试）通常用于验证安全要求。

软件安全是一个旅程，而这些步骤只是一个开始。随着一切都进入物联网，物联网中的每一个“事物”都需要安全。

此博客的作者是 Synopsys, Inc. 的管理顾问 Art Dahnert。

关于作者：

Art Dahnert 是一名信息安全顾问，在信息技术领域拥有超过 19 年的经验，在应用程序渗透测试方面拥有超过 9 年的经验。 Dahnert 先生已经完成了数百个 Web 应用程序、桌面应用程序和移动应用程序的安全风险评估、渗透测试和漏洞评估。

他评估了大小不等的系统和基础设施的安全性，包括：简单的网络应用程序、大型企业银行应用程序和功能齐全的美军专用部署系统。

物联网技术