假期里的黑客行为是对 "黑客 "这个词的积极回应，并为工程师们提供了一些假期建议。但不幸的是，这个词与很多不好的内涵有关。它被用在大多数谈论俄罗斯涉嫌黑客攻击美国政府网站以及大型企业的头条新闻中。有趣的是，这个话题在整个互联网上停留了一两个星期，但此后逐渐淡出了背景新闻的喧嚣。

虽然安全问题已经从新闻源的顶端跌落，但希望它没有被放逐到程序员、开发人员和管理人员的位桶，他们必须设计和创建物联网和IIoT解决方案，这些解决方案已经充斥在消费和工业领域，未来还会有更多的解决方案。

最新的黑客事件涉及SolarWinds，该公司提供IT、网络和数据库管理服务。具体来说，其Orion平台遭到攻击，随后邪恶的代码被纳入到一个更新中，并自动分发到数百家公司和组织。这使得攻击者能够访问使用Orion平台的系统。证据表明俄罗斯参与其中，而且有证据表明第二个组织的目标是SolarWinds。

开发者需要考虑两个方面的问题。第一个是范围。第二个是依赖性。由于涉及的公司数量很多，这些攻击是很重要的。典型的单个公司的黑客可能会暴露数千人或数百万人的信息，这已经够糟糕了。然而，这些攻击暴露了多家公司，从而使更多的公司暴露在攻击者面前。这包括通常比信用卡号码更关键的资产，尽管这对个人来说可能是毁灭性的。

依赖性是关于公司给予第三方的信任程度。在这种情况下，公司基本上是通过自动更新来暴露其内部系统。挑战在于，更新的目的是帮助管理和保护系统。

攻击者的方法是典型的恶意行为者。找到一个漏洞。利用它并保持安静，使后续的渗透和进一步的破坏得以实现。他们基本上绕过了其他保护措施，如防火墙，通过搭载在一个被入侵的好行为者身上。

如今的挑战是，公司依赖于软件和公司提供系统从启动代码到操作系统再到终端应用的底层结构。物联网加剧了这一问题--通信栈极其复杂，保护它们的安全至关重要。

至少现在，大多数公司都在尝试通过所有层级纳入安全。不幸的是，程序员往往会忽视或忽略安全性，尤其是在开发软件越来越多的开源社区。过去，由于众多应用的依赖性，npm生态系统中JavaScript库的黑客事件引起了轩然大波。甚至公共仓库的账户也会成为问题。

这并不是说开发者应该远离使用这些工具，相反，安全需要分层，是他们设计过程的一部分。绕过保护是不好的，但它不应该总是灾难性的。必须避免使用单一的保护方法，如防火墙或安全启动。而且从一个源头获得所有的保护措施也不是一个好主意。

无论你的公司规模如何，自己构建一个物联网解决方案是完全不切实际的。仔细挑选你的合作伙伴，并使你的安全性尽可能的强大。希望下一个假期会更好。