物联网设备违规:消费者可以提供帮助，但责任在设备供应商

物联网设备制造商在市场上大量推出的联网产品几乎没有安全措施。人们仍然如此关注可用性、功能和上市时间(尤其是在更普遍的低端设备上)，如果不能在交付既安全又廉价的产品上取得平衡，就会对行业的长期生存构成真正的威胁。

目前缺乏有效的物联网设备安全性，这使得黑客越来越强大，他们使用恶意软件远程控制毫无戒心的连接设备。然后，黑客可以聚合这些设备的带宽，用于僵尸网络驱动的分布式拒绝服务(DDoS)攻击经过验证的能力立即脱机主要网站和网络基础设施。或者，可以利用设备来执行勒索软件和其他恶意攻击。并且，如图所示，市场上的IOT设备甚至自动打开了家庭路由器和防火墙端口 - 基本上为黑客推出了红地毯，所有人都以简单的消费者的名义。

这里的部分问题当然是相对的困难更新IoT设备具有更安全和最新的固件。虽然某些设备供应商在识别新的漏洞和利用时，一些设备供应商开始提供自动固件更新，但许多内部设备只能手动更新或不再有官方支持。为了更新到达，供应商必须投资于开发和提供新固件所需的基础设施。（当然，这意味着他们还必须看到这种投资的业务价值。但是，通常往往是供应商提供有限的时间和供应商的设备，这些供应商根本不能提供进一步的支持。甚至属于废除供应商的固件更新URL可以被恶意演员利用来控制设备流量 - 对于这些设备的安全性的另一种耀眼的弱点。

至关重要的是，当消费者选择购买物联网设备时，他们要变得更加精明，从而给这些实践的快速改变施加压力。但实际上，责任在制造商身上。设备制造商必须集体承认合作采用和执行标准化和最佳实践的长期价值，以追求更安全的物联网，不再因大规模漏洞和违规而成为头条新闻。最终，客户安全和未来的互联网安全物联网僵局攻击依靠当今行业利益相关者的明智而果断的行动。

目前，物联网供应商利用各种不同的和不兼容的技术，从自定义的封闭源代码方法到以截然不同的方式应用的开源技术。然而，通过支持通用标准，例如不同厂商使用相同技术和实践的物联网设备，将有可能保护和支持所有使用广泛可用的开源固件的设备。因此，即使那些已经绝迹的厂商生产的设备也可以得到充分的保护。

行业正在看到可以采用哪些标准作为这些必要的标准。一个候选人,ARM平台安全架构，为IoT设备安全提供标准框架。互联网工程工作组（IETF）的文件草案提供了制造商使用说明(MUD)标准，为物联网和路由器、防火墙等安全设备之间的通信和访问请求建立公共基础。随着MUD的就位，即使是安全性较差的物联网设备也只能访问必要的服务，从而对它们施加了更有效的安全性。通过这种方式，我们正在探索将MUD规范作为一种防止物联网设备被用于DDoS攻击的方法。一些行业供应商也在开发先进的方法，利用人工智能、预测安全性和基于主动行为的威胁识别等技术。

标准化和保护物联网行业所需的技术和框架正在迅速可用，但供应商必须有意愿进行匹配。在很多方面，实现蓬勃发展的物联网行业充分发挥潜力的未来取决于它。

所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的，不一定传达物联网议程的想法。