應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

如何進(jìn)行物聯(lián)網(wǎng)滲透測(cè)試?

2023-04-27 10:20 千家網(wǎng)

導(dǎo)讀:物聯(lián)網(wǎng)(IoT)連接設(shè)備是嚴(yán)重且可預(yù)防的安全漏洞的意外來(lái)源,現(xiàn)在是時(shí)候像其他硬件一樣對(duì)其進(jìn)行滲透測(cè)試處理了。為什么必須給予物聯(lián)網(wǎng)設(shè)備特殊待遇,以及企業(yè)如何成功地保護(hù)它們?

如何進(jìn)行物聯(lián)網(wǎng)滲透測(cè)試?

物聯(lián)網(wǎng)(IoT)連接設(shè)備是嚴(yán)重且可預(yù)防的安全漏洞的意外來(lái)源,現(xiàn)在是時(shí)候像其他硬件一樣對(duì)其進(jìn)行滲透測(cè)試處理了。為什么必須給予物聯(lián)網(wǎng)設(shè)備特殊待遇,以及企業(yè)如何成功地保護(hù)它們?

物聯(lián)網(wǎng)滲透測(cè)試的重要性是什么?

物聯(lián)網(wǎng)設(shè)備依賴于連接性,其效用在威脅行為者或停電面前就會(huì)崩潰。因?yàn)樗屑夹g(shù)都在轉(zhuǎn)向物聯(lián)網(wǎng)模式,每個(gè)物體都需要分析師來(lái)驗(yàn)證安全網(wǎng)。專業(yè)人士需要驗(yàn)證各個(gè)方面的安全性,隨著物聯(lián)網(wǎng)設(shè)備的興起,這將很快達(dá)到數(shù)百萬(wàn)個(gè)方面。由于IoT設(shè)備從無(wú)數(shù)路由點(diǎn)、服務(wù)器和區(qū)域連接,因此很少有連接是可靠的。

滲透測(cè)試揭示了未知的安全漏洞,因?yàn)橹档眯刨嚨膶I(yè)人員模擬威脅性攻擊。他們深入挖掘固件和硬件,以查找漏洞和可訪問(wèn)性疏忽。

測(cè)試人員進(jìn)入黑客的思想,試圖找到進(jìn)入服務(wù)器的偷偷摸摸的方法,梳理出最有價(jià)值的漏洞并竊取最無(wú)價(jià)的信息。分析師需要執(zhí)行這些測(cè)試,尤其是在物聯(lián)網(wǎng)等新興技術(shù)的情況下,這樣其不安全和現(xiàn)代技術(shù)的聲譽(yù)就會(huì)迅速消失。

企業(yè)如何進(jìn)行物聯(lián)網(wǎng)滲透測(cè)試?

沒(méi)有技術(shù)是完美的。有些問(wèn)題是自動(dòng)駕駛汽車或家庭安全系統(tǒng)特有的。了解其異同將使分析師更好地充分利用物聯(lián)網(wǎng)滲透測(cè)試。

1、深入了解威脅的思想

大規(guī)模的物聯(lián)網(wǎng)漏洞已經(jīng)發(fā)生,給這些電子產(chǎn)品帶來(lái)了黑客可以利用的微妙聲譽(yù)。這些效率低下的問(wèn)題越普遍,分析師就越需要關(guān)注如何在網(wǎng)絡(luò)犯罪分子繼續(xù)利用其之前加以糾正。

盡管每個(gè)物聯(lián)網(wǎng)設(shè)備都有其已知的缺點(diǎn),但以下是讓滲透測(cè)試人員最熟悉的缺點(diǎn):

弱密碼

數(shù)據(jù)管理和安全性差

連接到不安全的網(wǎng)絡(luò)

缺乏更新

最少的身份驗(yàn)證警報(bào)和通知

不全面的默認(rèn)設(shè)置

不存在的隱私設(shè)置操作

了解常見(jiàn)漏洞是理想的選擇,但跳出常規(guī)思維將提供完整的滲透測(cè)試體驗(yàn)??紤]一個(gè)團(tuán)隊(duì)如何在防御之上使用防御——黑客將如何克服這些防御,或者他們能否克服這些防御?這些將有助于指導(dǎo)滲透測(cè)試人員初步深入到目標(biāo)物聯(lián)網(wǎng)設(shè)備。

2、有一個(gè)可操作的工作流程

找到漏洞是第一步,但只有當(dāng)分析師在有意義的攻擊面上修補(bǔ)漏洞時(shí),其才會(huì)有所改善。測(cè)試的范圍是什么?是否涵蓋所有物聯(lián)網(wǎng)入口點(diǎn),包括硬件和軟件?物聯(lián)網(wǎng)設(shè)備通過(guò)WiFi、藍(lán)牙或ZigBee連接的方式是否存在特定的漏洞,是否還有特定的漏洞需要解決?

測(cè)試人員可以在其風(fēng)險(xiǎn)管理或業(yè)務(wù)連續(xù)性計(jì)劃中采取行動(dòng)步驟,尋找方法來(lái)覆蓋具有更多障礙和障礙的入口點(diǎn)。當(dāng)他們發(fā)現(xiàn)新缺陷或無(wú)法解決的缺陷時(shí),應(yīng)該有一個(gè)行動(dòng)計(jì)劃來(lái)迅速發(fā)現(xiàn)解決方案。

3、實(shí)施保護(hù)

是否需要更多加密或不可變存儲(chǔ)?是否有太多具有權(quán)限的用戶,使表面積超出必要范圍?物聯(lián)網(wǎng)設(shè)備是否正在收集不應(yīng)收集的數(shù)據(jù),從而使其成為黑客更有價(jià)值的目標(biāo)?

在滲透測(cè)試之后,這些問(wèn)題將揭示分析師必須做什么來(lái)防止未來(lái)的攻擊。無(wú)論是用更值得信賴的品牌更換設(shè)備,還是增加更嚴(yán)格的驗(yàn)證措施,每種情況都將根據(jù)物聯(lián)網(wǎng)設(shè)備和環(huán)境進(jìn)行個(gè)性化設(shè)置。

4、存儲(chǔ)結(jié)果

分析師必須在滲透測(cè)試后分配時(shí)間查看物聯(lián)網(wǎng)數(shù)據(jù)。該階段是分層的——從測(cè)試中發(fā)現(xiàn)的數(shù)據(jù)必須保存在安全的位置。其揭示了有關(guān)黑客如何最大限度地利用物聯(lián)網(wǎng)設(shè)備的敏感信息,這些設(shè)備應(yīng)該隱藏在嚴(yán)格的身份驗(yàn)證措施之后。

此外,分析師應(yīng)該梳理測(cè)試收集的數(shù)據(jù)并從中收集見(jiàn)解。技術(shù)專家必須利用實(shí)時(shí)數(shù)據(jù)分析來(lái)充分利用這些測(cè)試。否則,他們將錯(cuò)過(guò)有關(guān)攻擊如何影響緊急情況的重要視覺(jué)效果。

注意趨勢(shì)和模式可能會(huì)揭示額外的流程發(fā)現(xiàn),使企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略的保護(hù)傘更具彈性。向利益相關(guān)者和管理團(tuán)隊(duì)報(bào)告這些發(fā)現(xiàn),以提高透明度并繼續(xù)進(jìn)行研究和開(kāi)發(fā)。

分析師會(huì)看到什么好處?

除了這些有望阻止網(wǎng)絡(luò)犯罪分子的物聯(lián)網(wǎng)產(chǎn)品的聲譽(yù)提高之外,對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行滲透測(cè)試還有很多好處。從商業(yè)角度來(lái)看,最突出的是節(jié)省資金。物聯(lián)網(wǎng)技術(shù)越有彈性,實(shí)體就越不需要為勒索軟件攻擊或第三方幫助隔離僵尸網(wǎng)絡(luò)攻擊而付出代價(jià)。

此外,其將提高公民對(duì)關(guān)鍵物聯(lián)網(wǎng)采用的支持。如果全世界的客戶仍然對(duì)這些設(shè)備的安全性持懷疑態(tài)度,那么很少有人會(huì)使用,這意味著其為促進(jìn)社會(huì)進(jìn)步而收集的數(shù)據(jù)將不全面或不實(shí)用。規(guī)范白帽道德黑客將使技術(shù)用戶感到更安全。

個(gè)人、企業(yè)和城市所依賴的物聯(lián)網(wǎng)設(shè)備越多,從理論上講,一切的效率和自動(dòng)化程度就越高。然而,其只能隨著信息的增加而改善,而這些設(shè)備越有價(jià)值,黑客就會(huì)越多地瞄準(zhǔn)。滲透測(cè)試人員可以為物聯(lián)網(wǎng)設(shè)備帶來(lái)的最重要的好處是,威脅行為者甚至無(wú)法想象打破的堅(jiān)不可摧的墻壁。有了全面的網(wǎng)絡(luò)安全,物聯(lián)網(wǎng)攻擊就會(huì)減少,因?yàn)闈B透測(cè)試找到了針對(duì)大多數(shù)攻擊變體的解決方案。

通過(guò)滲透測(cè)試發(fā)現(xiàn)物聯(lián)網(wǎng)中的漏洞

現(xiàn)在,大量物聯(lián)網(wǎng)的應(yīng)用正在進(jìn)行,例如在自然災(zāi)害相關(guān)的緊急情況下,關(guān)閉房屋的燈,以及關(guān)鍵的基礎(chǔ)設(shè)施,例如能夠在自然災(zāi)害相關(guān)的緊急情況下分配電力的電網(wǎng)。無(wú)論是何種應(yīng)用,滲透測(cè)試都可以幫助這些電子產(chǎn)品獲得更好的聲譽(yù),從而阻止威脅行為者企圖破壞。