我们周围有数十亿台联网设备，它们几乎全天候为我们生活的方方面面做出贡献——从交通到娱乐，再到健康和福祉。由于联网设备的许多功能和特性越来越依赖软件，因此它们面临的网络威胁呈指数级增长。

过时的软件、24x7 全天候运行和信息访问相结合，使联网设备成为黑客的宝贵目标。嵌入式、专有和开源设备软件提供了一个特别有吸引力的攻击面。

随着网络威胁形势的不断发展，开发人员和安全团队的任务是确保他们的客户和用户可以安全可靠地使用他们的连接设备，他们的工作已经完成。如果在整个产品生命周期（从设计到后期制作）中发现和修复缺陷并不是一个足够大的挑战，那么在保持日益紧迫的生产时间表的同时做到这一点已成为一项艰巨的任务。

以下是连接设备网络安全比以往任何时候都更加脆弱的三大原因。

1. 联网设备正在成为黑客的首选端点
黑客们很快意识到连接的设备可能是一个容易受到攻击的端点。因为它们通常是更大系统（汽车、医疗、工业或其他）的一部分，所以设备可以充当不知情的网关。这就是为什么它们越来越引起黑客的注意，被利用来入侵和横向移动整个大型网络、泄露公司数据或其他恶意活动。

连接的医疗设备是（终点）的一个案例。例如，允许黑客控制正在运行的 MRI 机器的网络攻击可能会使患者面临个人风险。威胁更进一步。MRI 通常连接到使技术人员能够处理图像的工作站。除了 MRI 本身，任何连接的工作站——甚至是其他集成系统，例如图片存档和通信系统 (PACS)——都可能成为下一个攻击目标。个人健康信息等可能是一个简单的目标。

当您考虑到典型的肿瘤学和药理学部门以及医院实验室中使用的超过 50% 的连接设备在传统医疗设备上运行时，很容易理解连接医疗设备对于黑客来说是多么充满机会。一些领先的网络安全专家甚至说，武器化的连接设备是一个真正的威胁，如果落入坏人之手，可能会导致大规模伤亡事件。

虽然我们看到更多关于医疗设备行业违规的头条新闻，但很可能还有其他我们没有读到的。许多医疗设备和医疗保健攻击都关起门来，实际的攻击数量可能远远大于我们从媒体报道中得到的。

为了确保他们的设备安全、安全和可操作，产品安全团队需要主动管理整个产品组合中的网络风险和合规性，从设计和开发的最初阶段到操作使用，一直到生命周期结束.

2. 断链
供应链吸引了供应商、政府和黑客的大量关注——这是有充分理由的。

对于复杂的连接设备，例如今天的车辆——真正的车轮上的计算机网络——外部供应商层提供嵌入安全、动力传动系统、信息娱乐和其他系统的大部分固件和软件。原始设备制造商（将组件组装成成品）依赖于但对众多第三方组件中的内容的控制和可见性有限，这给最终产品、其制造商和众多消费者带来了新的风险.

SolarWinds黑客攻击影响了 18,000 多名 SolarWinds 客户，他们通过第三方 Orion 软件安装了恶意更新（称为 Sunburst）。即使是通常受到高度审查和保护的美国政府部门，例如国土安全部、州、商务部，甚至财政部（！）也受到了影响。

虽然那次臭名昭著的黑客攻击发生在一年前，但从那时起发生的许多供应链攻击的报道证明 SolarWinds 并非单一事件。随着软件在设备和产品制造商的供应链中占据越来越大的份额，预计此类攻击将变得更加普遍。

使用第三方固件和软件的制造商现在需要仔细审查其供应商以避免 SolarWinds 类型的攻击。但对可靠的供应商感到满意是不够的。供应商在产品的生命周期中来来去去——尤其是考虑到制造商最近面临的许多供应链短缺。也许新玩家提出了更好的固件解决方案，或者值得信赖的供应商无法及时提供所需的软件组件，必须更换。

入职每个供应商都是一个乏味且要求很高的过程。一个新供应商的失误——代码中的一个错误直到数千个版本已经投入使用才被发现——可能会破坏一个全球巨头的品牌。它可能会使汽车的转向或救生医疗机器的功能暴露于网络攻击，从而导致严重的经济损失甚至人员伤亡。

不要忘记第三方供应商可能会在他们自己的产品中使用其他第三方软件。事实上，在您获得捆绑包之前，可能有一个非常长的第三方供应链，他们使用其他第三方 - 所有这些都需要在使用前进行严格审查。

3. 开源组件带来一系列新风险
开源库几乎无处不在。每次您查看网页、查看电子邮件、聊天、播放音乐或玩视频游戏时，您的笔记本电脑、手机或游戏机都会使用开源软件。

设备制造商也不例外。开源组件通过使用开源社区现成的可信工具，帮助设备和产品开发人员更快地创建创新软件。然而，虽然开源使用有助于设备制造商跟上紧迫的开发时间表，但仍有一个问题。

谁拥有开源？没有人。以及任何使用它的人。

如果代码中有漏洞，是谁的问题？你的！

流行的开源库的最大优势之一是它们拥有庞大的用户社区，让您相信它们是可靠且持续维护的。但是，由用户来跟踪版本控制和安全更新。为确保其安全性，您必须跟踪安全更新并在将开源组件添加到产品后快速响应。

否则，会发生什么？

广受欢迎的开源库log4j在公开后的头几天就产生了超过180 万次攻击。为什么它对黑客如此有吸引力？因为如此多的 Java 应用程序直接或间接使用 log4j——提供了数百万个攻击向量。

应对联网设备网络安全面临的日益严重的威胁
设备开发人员面临着前所未有的挑战。随着威胁形势的迅速扩大和演变，产品开发生态系统变得更加分层和复杂。这似乎是一项不可能完成的任务，太复杂而无法手动完成。但是有一个非常有用的解决方案。

领先于联网设备网络安全威胁的唯一方法是自动化——持续监控每台设备的软件物料清单 (SBOM)，以实时跟踪其整个库存。自动化还可以使产品安全团队能够管理从开发的最早阶段一直到后期制作的漏洞。当集成到开发过程中时，先进的产品安全平台可以帮助团队检测漏洞，在上下文中查看它们，以便他们可以轻松消除误报并优先处理真正重要的问题，并缓解它们 - 而不会延迟上市时间。