研究人员说,测试是IOT安全的关键
Facebook揭示了成千上万每周代码更新的精心打击电话测试流程
英国核动站对网络攻击的恐怖警报
雅虎用户无需惊慌失措
OLPC Redux:分拆为XO硬件提供后继者
新的Android特洛伊木马斯金特在地下论坛上泄漏
Microsoft Stuges Windows 10升级到全屏入侵升级
英特尔正在开发AR智能眼镜以进行互动协作
Addison Lee采用普通客户运输技术提供豪华快餐
瞻博网络在Junos OS中修补高风险的缺陷
微软向美国或加拿大的任何人开辟了Hololens销售
大多数人认为云服务与IT部门一样好或更好
通过明尼苏达射击,直播电流占据中心舞台
老敌人,新朋友:北欧银行和初创公司增加合作
独立同意Tesla的260美元买断
ubs将遗留依赖性与Microsoft Azure减少
展示令人印象深刻的增长,万神殿略微啜饮沉重的系列C.
只有9%的父母希望孩子成为技术企业家
欧洲委员会第三款针对谷歌的套装
'人类感知'ai如何拯救我们从robopocalypse
Eternalrocks Worm结合了七个泄露的NSA攻击工具
莎拉威尔金森向上抬起nhs数字
曼彻斯特电车被通信失败停止了
3D xpoint等人强制架构和软件更改
Postnord削减了最多4,000名丹麦工作,以响应数字化
GE和Microsoft团队在IOT平台上
启动旨在改善残疾人的Web访问
DDOS最佳安全和商业问题,研究表明
微软将错过其10亿个Windows 10设备目标
Excel拒绝打开文件?归咎于KB 3115322,3115262安全更新
IBM从相变记忆中创建人工神经元,用于认知计算
ParclayCard VP的战略和创新表示,无需零售可能是未来
在Wannacry网络攻击后,中东在很大程度上无受伤
1,000名次级后者适用于加入与邮局的IT相关组诉讼
诺丁汉委员会租户获得高光宽带
三星Galaxy Note 7 Iris扫描仪具有一些严重的限制
政府需要2000年额外的数字员工,说nao
微软首席揭示了Azure Upsell战略
SAP专注于培训中东的年轻阿拉伯毕业生
在ATM捕获时无力
神奇宝贝通过麦当劳推出日本作为第一赞助商
A.I.只是共同写了它的第一个恐怖电影,你可以帮助它真实
下一代处理器阻止旧窗口
嵌入式计划扩展,威胁到数据泄漏的消费者和业务
Docker滚出了一个编排引擎。因为客户想要什么,客户得到
主呼吁ISPS,政府做更多的是在线保护儿童
卡斯特在美国推出了懈怠。这可能不会很好地结束。
俄罗斯最古老的银行如何发现在内存计算的前沿
Google Hails多年企业云迁移结束
KuppingerCole说,认知安全是网络军备竞赛的关键
您的位置:首页 >论坛 > 电子商务 >

研究人员说,测试是IOT安全的关键

2021-07-10 13:44:18 [来源]:

测试是使用物联网(物联网)设备仍然安全的唯一方法,但不能仅限于单独的互联网连接的设备,警告Deral Heiland,IoT Research Lead在Rapid7。

“最重要的一点是,当我们正在考虑IOT的安全时,让我们不要过度关注嵌入式技术硬件,这是研究人员,测试人员,公司和客户倾向于这样做的,”他每周告诉电脑。

“重要的是包括产品的整个生态系统。当我们考虑整体安全模型和产品的风险时,需要考虑制作物联能解决方案工作的所有作品,而不仅仅是设备硬件。“

这些元素通常包括网络通信,射频通信,云API(应用程序接口),移动应用程序,云服务和命令和控制应用程序,如移动和基于云系统的移动和云系统。

根据Heiland的说法,找不到这些元素中的每个元素的问题并不罕见,但它们通常处于不同的严重程度。

设备制造商是具有安全测试流程的最明显的组织,以便在上市前评估产品和服务,这可以缓解风险的“大量”,这是Heiland。

构成这一点,制造商需要确保他们有效的修补或软件更新机制和流程,因此在出现时可能会得到问题。

“漏洞永远不会消失,但是 - 就像微软所做的那样 - 这个问题可以通过有一个有效的修补程序来大大降低风险,消费者,组织和辛勤人应该期待和从制造商的需求,”Heiland说。

“在组织之前提交特定设备和服务之前,他们应该要求证明产品已经过安全测试,以避免将组织暴露于不必要的风险。

“致力于较大的实施项目的大型组织还应确保他们有一个有效的测试过程,有些已经遵循这种方法。”

Heiland与多个关于测试物联网系统的组织合作,并帮助他们与制造商一起解决并披露发现的安全问题。

一个例子是GPS样式跟踪设备,使父母能够找到他们的孩子,如果他们迷失了。

“云API绑在本产品中具有比您想象的更多的安全问题,”Heiland表示,这意味着总陌生人可以从设备中访问所有GPS跟踪数据,与设备相关联的电话号码,其他联系信息,甚至是国际移动设备标识(IMEI)设备的数量。

由于系统的一个帐户的任何人都可以访问其他帐户并远程访问或重新调制设备,因为通过从设备到相关的Web界面的API安全性差。

“云API和Web服务遭受了许多安全漏洞,允许任何人访问数据和任何帐户来改变数据的人,”Heiland说。

虽然较小的公司不太可能需要做安全测试所需的技能集,但他说只是知道所附的所有组件的潜在风险可以帮助他们以更安全的方式实现IOT系统。

“通过思考构成生态系统的作品,小公司可以通过以下最佳实践和授权特定的政策和流程来确定通过削弱特定环境的风险的适当方法,”希尔兰德说,这是一件罕见的有一个脆弱性。

为了开发有效的测试过程,组织必须首先了解典型的物联网生态系统的结构,学习IOT系统的一般测试方法,并熟悉IOT系统的常见漏洞。

虽然Heiland认为有效的安全测试过程是必不可少的,但应该尽快实施,他也认为,IOT周围的安全恐惧已经过度炒作。

“在短期内,有些人建议的生活和肢体肯定存在巨大风险,但随着物联网系统变得更加常见,特别是在医疗保健和私人车辆中,我们需要立即加速我们接近安全的方式,”他说。

Heiland描述了目前在IOT系统中发现的许多安全问题是与任何新技术相关的“典型的日益增长的痛苦”。

然而,与物联网的巨大差异是所涉及的卷比以往任何时候都大得多。预计未来几年的物联网设备和系统的数量将在未来几年中迅速增长,而IoT可能会在非遥远的未来的每个生活领域找到。

“存在安全挑战,就像任何技术一样,但它不是世界的尽头,因为该行业正在努力的拐角处存在解决方案,”Heiland说。

他认为,有效的修补机制和过程可能是解决IOT系统中许多安全风险的最佳和最快的方法,特别是一旦实现了系统。

“我和其他人发现的大多数漏洞都发现了相同的模式,”他说。“它们通常是可以轻易解决的事情,应该在测试中被拿起,以便他们从未首先转向市场。”

他说,一个有效的测试过程将摆脱所有常见的,易于解决的安全风险,这将使研究人员能够集中精力,以发现更少,更加明显,更加明显,更加复杂,更复杂的风险。

“安全研究人员希望在没有浪费时间的情况下挖掘更深的时间来发现一个良好的测试过程会发现的所有简单的东西,因此他们可以找到更加安全的东西,使IoT系统和设备更加安全,”Heiland说。

最后,他表示,组织需要确保他们有一个有效的扫描系统,以使他们能够识别可能连接到公司网络的任何流氓或未经授权的物联网设备,因此他们可以评估和减轻任何相关的风险。

IoT安全 - 执行有效的安全测试过程将在6月6日至8日在伦敦的InfoSecurity Europe 2017上进行。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。