物聯(lián)網(wǎng)(IoT)互聯(lián)設(shè)備作為一種不可預(yù)見的安全隱患�����,需要與其它硬件設(shè)備一樣�,對(duì)其進(jìn)行滲透檢測(cè)。
物聯(lián)網(wǎng)裝置依靠連通性�,一旦受到威脅,或者發(fā)生故障,它的實(shí)用性就會(huì)被破壞�����。由于各種技術(shù)正朝著物聯(lián)網(wǎng)的方向發(fā)展�����,因此每一件物品都需要分析員去確認(rèn)其安全網(wǎng)絡(luò)���。專家們需要對(duì)每一種信息進(jìn)行安全認(rèn)證,而這種認(rèn)證不久將會(huì)擴(kuò)展到數(shù)以百萬計(jì)的信息中��。IoT裝置由多個(gè)路由器設(shè)備組成�,多個(gè)服務(wù)器,多個(gè)區(qū)域���,所以它們之間的連接安全非常重要���。
當(dāng)進(jìn)行威脅攻擊時(shí),通過滲透測(cè)試可以發(fā)現(xiàn)未知的安全性缺陷����。當(dāng)黑客潛入到伺服器中,找出弱點(diǎn)�����,并盜取用戶信息,這會(huì)對(duì)物聯(lián)網(wǎng)造成很大的損失�����。
那么應(yīng)該如何進(jìn)行物聯(lián)網(wǎng)滲透測(cè)試呢���?
1����、深入了解威脅的思想
大量的物聯(lián)網(wǎng)安全漏洞已經(jīng)出現(xiàn)�����,有被黑客侵入的風(fēng)險(xiǎn)��。就必須更多地集中精力���,在網(wǎng)絡(luò)罪犯?jìng)冞€沒來得及使用這種現(xiàn)象之前���,對(duì)他們進(jìn)行矯正。
雖然每一種物聯(lián)網(wǎng)裝置都有它所熟知的缺陷,但是下面這些缺陷卻是滲透性測(cè)試者最熟悉的����。
弱口令
資料管理與保密性較差
與不安全網(wǎng)絡(luò)相連
缺乏更新
最低限度的認(rèn)證提醒和通知
缺省設(shè)置不完整
隱私設(shè)置操作不存在
了解了以上,就可以擁有了一個(gè)很好的測(cè)試邏輯�。
2、有一套可行的工作流程
測(cè)試者可能會(huì)在他們的風(fēng)險(xiǎn)管理或者商業(yè)持續(xù)規(guī)劃中��,找到一種能夠涵蓋那些有更多障礙的入口的方式��。一旦他們找到了新的漏洞或者不能修復(fù)的漏洞����,就應(yīng)當(dāng)制定一份快速找到解決辦法的行動(dòng)計(jì)劃����。
3、執(zhí)行保護(hù)措施
加密芯片是現(xiàn)在物聯(lián)網(wǎng)的趨勢(shì)所求�����。為了避免使用的物聯(lián)網(wǎng)裝置采集了一些保密信息�����,而變成了黑客的攻擊對(duì)象而應(yīng)運(yùn)而生。
在滲透測(cè)試結(jié)束后���,不管是把設(shè)備換成更可信的牌子��,或者是添加更多的確認(rèn)手段�����,都會(huì)針對(duì)不同的設(shè)備以及不同的環(huán)境�����,做出不同的調(diào)整��,以用來確保用戶數(shù)據(jù)信息的安全��。
4�����、對(duì)結(jié)果進(jìn)行存儲(chǔ)
在進(jìn)行了滲透測(cè)試之后����,需要有足夠的時(shí)間來研究物聯(lián)網(wǎng)的數(shù)據(jù)���。這個(gè)階段是有層次的����,即從試驗(yàn)中找到的資料必須放在一個(gè)安全的地方。它揭露了黑客們是怎樣充分利用那些本應(yīng)受到嚴(yán)密認(rèn)證保護(hù)的物聯(lián)網(wǎng)裝置中的敏感資訊的�。專業(yè)技術(shù)人員必須使用即時(shí)資料分析,以最大限度地發(fā)揮試驗(yàn)的作用����。
對(duì)這些趨勢(shì)和模式的關(guān)注將會(huì)顯示出更多的過程發(fā)現(xiàn),從而為企業(yè)的網(wǎng)絡(luò)安全策略提供更多的彈性���。將調(diào)查結(jié)果匯報(bào)給股東和管理層��,以增加透明度���,并持續(xù)開展研發(fā)工作�。
做滲透測(cè)試的好處是什么?
在企業(yè)的角度中上�,最顯著的好處就是省錢。物聯(lián)網(wǎng)技術(shù)的恢復(fù)能力越強(qiáng)�,那么如果受到敲詐或者第三方協(xié)助孤立的僵尸網(wǎng)絡(luò)攻擊時(shí)所要承擔(dān)的成本就會(huì)越低。
另外�����,它還能增加民眾對(duì)重要物聯(lián)網(wǎng)的采納程度。如果世界各地的用戶還在質(zhì)疑電子產(chǎn)品的安全����,那就沒有幾個(gè)人會(huì)去用它,那就意味著他們所搜集的用于推動(dòng)社會(huì)發(fā)展的信息既不完整也不實(shí)用�����。對(duì)道德上的白帽子黑客進(jìn)行標(biāo)準(zhǔn)化���,可以讓科技使用者感覺更加安全��。
更多的人���,公司,以及城市對(duì)物聯(lián)網(wǎng)設(shè)備的依賴性�����,在理論上���,所有的東西都將變得更有效率���,更有自動(dòng)化�。但是�����,它只有在更多的資料中才能得到改進(jìn)����,而且越是珍貴的資料,就越是會(huì)成為黑客的目標(biāo)��。滲透性測(cè)試能給物聯(lián)網(wǎng)裝置帶來的最大益處就是�,它能給使用者提供一堵難以攻破的高墻。在一個(gè)綜合的網(wǎng)絡(luò)安全環(huán)境下�,隨著滲透測(cè)試發(fā)現(xiàn)了對(duì)付大部分不同類型的攻擊的方法,物聯(lián)網(wǎng)的攻擊將會(huì)越來越少�����。
利用滲透測(cè)試來尋找物聯(lián)網(wǎng)的缺陷
目前���,大量的物聯(lián)網(wǎng)應(yīng)用已經(jīng)開始興起。無論哪一種應(yīng)用���,滲透測(cè)試都能提高物聯(lián)網(wǎng)產(chǎn)品的安全指數(shù)�,防止惡意行為人對(duì)其進(jìn)行惡意攻擊。
