研究人员说,测试是IOT安全的关键
测试是使用物联网(物联网)设备仍然安全的唯一方法,但不能仅限于单独的互联网连接的设备,警告Deral Heiland,IoT Research Lead在Rapid7。
“最重要的一点是,当我们正在考虑IOT的安全时,让我们不要过度关注嵌入式技术硬件,这是研究人员,测试人员,公司和客户倾向于这样做的,”他每周告诉电脑。
“重要的是包括产品的整个生态系统。当我们考虑整体安全模型和产品的风险时,需要考虑制作物联能解决方案工作的所有作品,而不仅仅是设备硬件。“
这些元素通常包括网络通信,射频通信,云API(应用程序接口),移动应用程序,云服务和命令和控制应用程序,如移动和基于云系统的移动和云系统。
根据Heiland的说法,找不到这些元素中的每个元素的问题并不罕见,但它们通常处于不同的严重程度。
设备制造商是具有安全测试流程的最明显的组织,以便在上市前评估产品和服务,这可以缓解风险的“大量”,这是Heiland。
构成这一点,制造商需要确保他们有效的修补或软件更新机制和流程,因此在出现时可能会得到问题。
“漏洞永远不会消失,但是 - 就像微软所做的那样 - 这个问题可以通过有一个有效的修补程序来大大降低风险,消费者,组织和辛勤人应该期待和从制造商的需求,”Heiland说。
“在组织之前提交特定设备和服务之前,他们应该要求证明产品已经过安全测试,以避免将组织暴露于不必要的风险。
“致力于较大的实施项目的大型组织还应确保他们有一个有效的测试过程,有些已经遵循这种方法。”
Heiland与多个关于测试物联网系统的组织合作,并帮助他们与制造商一起解决并披露发现的安全问题。
一个例子是GPS样式跟踪设备,使父母能够找到他们的孩子,如果他们迷失了。
“云API绑在本产品中具有比您想象的更多的安全问题,”Heiland表示,这意味着总陌生人可以从设备中访问所有GPS跟踪数据,与设备相关联的电话号码,其他联系信息,甚至是国际移动设备标识(IMEI)设备的数量。
由于系统的一个帐户的任何人都可以访问其他帐户并远程访问或重新调制设备,因为通过从设备到相关的Web界面的API安全性差。
“云API和Web服务遭受了许多安全漏洞,允许任何人访问数据和任何帐户来改变数据的人,”Heiland说。
虽然较小的公司不太可能需要做安全测试所需的技能集,但他说只是知道所附的所有组件的潜在风险可以帮助他们以更安全的方式实现IOT系统。
“通过思考构成生态系统的作品,小公司可以通过以下最佳实践和授权特定的政策和流程来确定通过削弱特定环境的风险的适当方法,”希尔兰德说,这是一件罕见的有一个脆弱性。
为了开发有效的测试过程,组织必须首先了解典型的物联网生态系统的结构,学习IOT系统的一般测试方法,并熟悉IOT系统的常见漏洞。
虽然Heiland认为有效的安全测试过程是必不可少的,但应该尽快实施,他也认为,IOT周围的安全恐惧已经过度炒作。
“在短期内,有些人建议的生活和肢体肯定存在巨大风险,但随着物联网系统变得更加常见,特别是在医疗保健和私人车辆中,我们需要立即加速我们接近安全的方式,”他说。
Heiland描述了目前在IOT系统中发现的许多安全问题是与任何新技术相关的“典型的日益增长的痛苦”。
然而,与物联网的巨大差异是所涉及的卷比以往任何时候都大得多。预计未来几年的物联网设备和系统的数量将在未来几年中迅速增长,而IoT可能会在非遥远的未来的每个生活领域找到。
“存在安全挑战,就像任何技术一样,但它不是世界的尽头,因为该行业正在努力的拐角处存在解决方案,”Heiland说。
他认为,有效的修补机制和过程可能是解决IOT系统中许多安全风险的最佳和最快的方法,特别是一旦实现了系统。
“我和其他人发现的大多数漏洞都发现了相同的模式,”他说。“它们通常是可以轻易解决的事情,应该在测试中被拿起,以便他们从未首先转向市场。”
他说,一个有效的测试过程将摆脱所有常见的,易于解决的安全风险,这将使研究人员能够集中精力,以发现更少,更加明显,更加明显,更加复杂,更复杂的风险。
“安全研究人员希望在没有浪费时间的情况下挖掘更深的时间来发现一个良好的测试过程会发现的所有简单的东西,因此他们可以找到更加安全的东西,使IoT系统和设备更加安全,”Heiland说。
最后,他表示,组织需要确保他们有一个有效的扫描系统,以使他们能够识别可能连接到公司网络的任何流氓或未经授权的物联网设备,因此他们可以评估和减轻任何相关的风险。
IoT安全 - 执行有效的安全测试过程将在6月6日至8日在伦敦的InfoSecurity Europe 2017上进行。