当前位置 :首页 >  行业资讯 > 物联网 > 通过物联网安全测试确保您的未来

通过物联网安全测试确保您的未来

2018-08-08

​物联网安全仍然是投资者和潜在客户的痛处,这里有一些建议来确保您的设备和物联网应用程序是安全的。

物联网的概念旨在将物理对象连接到互联网,并允许它们提供不同的服务以在各种对象之间进行通信。物联网旨在连接每个设备以提供通用连接。在过去的两年里,物联网得到了极大的关注。它包括多个领域和应用,如智能家居,智能医疗,交通等。物联网环境的高度动态性质为客户带来了新的挑战和多样化的服务要求。

Gartner,Inc。  预测,“到2020年,相关产品将达到208亿美元。”

物联网是一个“智能”连接产品的时代,它可以传输和传输大量数据并将其上传到云端。随着提供更好服务和确保快速增长和竞争的压力越来越大,需要从世界上任何地方的任何设备访问,创建,使用和共享数据,以便在我们日益紧密联系的生活中提供更好的洞察力和对元素的控制。

 

随着这些设备对我们的生活变得更加重要,保护它们的需求正在以越来越快的速度增长。许多人容易受到漏洞的影响,并且可能在数量和复杂性方面对我们自己的数据和系统构成威胁。尽管如此,没有适当安全检查的设备正在市场上出现。

 

物联网不仅仅是软件,而是整个硬件,软件,网络和移动界面系统。这个生态系统还不是很成熟,主要由于安全威胁,仍然有很多关注物联网采用的问题。物联网环境中的安全要求与任何其他系统没有区别。移动和笔记本电脑拥有数十种软件安全解决方案来保护它们免受攻击,但类似的安全解决方案很少能用于保护其他物联网 - 因此,安全漏洞必然会发生。

 

困难在于大多数客户为具有明确价值和购买理由的产品或服务付费,而安全和隐私等补充功能并不是他们想要的首要任务。因此,企业不会在产品的这些方面投入太多精力。客户并不认为在安全功能上承担额外的成本负担代替主要功能有任何价值。

 

物联网中的漏洞

已经在多种类型的行业(例如汽车和医疗保健)中发现了漏洞,其中存在可能发生数据操纵或盗窃的特定情况。例如,对家庭自动化系统的攻击以及对加热系统,空调,照明和物理安全系统的控制。

 

大多数黑客可以通过使用高级工具侵入远程网络摄像头来访问全球的公共和私人网络摄像头。恶意黑客还可以获得医疗设备,以加快或降低患者的心率,或通过修改药物输液泵改变向患者提供的抗生素的数量。

 

安全专家克里斯瓦拉塞克和查理米勒因使用插入车辆诊断端口的笔记本电脑入侵丰田普锐斯和福特Escape而对联网汽车的漏洞进行研究,成为头条新闻。

 

一旦发现漏洞,所有连接的设备都可能被劫持,并可能打开整个网络进行查看和攻击。很好的例子是像Mirai,Reaper,IoTroop等僵尸网络。

 

僵尸网络已成为当今安全系统面临的最大威胁之一。他们在网络犯罪分子中的日益普及来自于他们能够穿透几乎任何连接互联网的设备。PC,笔记本电脑,移动设备,智能手表和智能厨房设备都属于僵尸网络。通常创建僵尸网络以一次感染数百万个设备和系统。不安全的设备使自动机器人可以轻松地通过互联网查找和利用系统。

 

因此,随着物联网设备面临越来越多的挑战,组织应将安全视为关键业务考虑因素,并努力提高其在各个可能级别的安全态度。通过逐步提高安全性,组织可以有效地遏制他们成为网络灾难受害者的风险。事实上,组织应该了解风险和安全要求,并决定他们想要多少安全性以及他们希望花多少钱来构建一个强大的系统。

 

物联网应用的端到端测试将确保更高的一致性,完整性和可扩展性,并提供丰富的体验。

 

从初始设计到操作级别,必须在整个设备生命周期内解决安全问题:

 

安全启动

当为设备供电时,该设备上的软件的完整性通过数字签名以及在该设备上运行并由授权它的实体签名的软件授权来验证。

 

安全访问控制

基于设备的访问控制机制类似于基于网络的访问控制系统,例如Microsoft Active Directory。如果有人使用公司凭证侵入网络,则受损信息将仅限于这些凭证授权的区域。

 

最小特权原则规定,只有授权执行功能所需的最小访问才能最大限度地降低任何违反安全性的有效性。

 

设备验证

在接收或传输数据之前,必须在设备插入网络时对其进行身份验证。

 

防火墙

该设备需要具有防火墙检测功能来控制流量并过滤特定数据,这些数据旨在以最佳利用其有限计算资源的方式终止设备。

 

更新和补丁

必须提供安全补丁和软件更新,同时牢记网络带宽的保护和嵌入式设备的连接性。

 

为了实现物联网设备的无缝运行,在设备和网络级别都具有强大的安全性至关重要。这不需要革命性的方法,而是需要在IT网络中证明成功的措施的进展,以适应物联网的挑战和连接设备的限制。

 

为了在当今互联的世界中优化IT安全控制并提供驱动物联网的复杂应用程序,安全测试是帮助组织识别其易受攻击的唯一规则,并采取纠正措施来防止(以及纠正)差距。

 

以下是两种常见的安全测试方法。

 

静态应用程序安全测试(SAST)

SAST或White-Box Testing用于分析应用程序的源代码,以检查是否存在任何安全漏洞。SAST解决方案从内到外查看应用程序,无需编译代码。Gartner表示,“SAST应该是开发应用程序的所有组织的强制要求”,并且80%的攻击都针对应用程序层,根据Gartner的说法,SAST是确保应用程序安全性良好的主要方法之一。

 

当整个SDLC没有运行安全测试时,允许漏洞通过发布的应用程序的风险更高,从而增加了允许黑客通过应用程序的机会。

 

动态应用程序安全测试(DAST)

DAST是指从外部测试应用程序。它涉及检查处于运行状态的应用程序并尝试破解它们以发现安全漏洞。

 

利用SAST和DAST的方法产生最全面的测试。