物联网安全测试需要考虑的六点因素

译文
新闻 应用安全 物联网安全
当你在考虑对自己的物联网系统进行安全加固的时候,这里提供一个包含了各种可能性攻击向量的清单供你参考。

[[218615]]

物联网已不再是一个遥不可及的梦想,而且客观情况是我们的现实世界已经准备好运用它的各项最新成果了。在这些成果中,最受欢迎的特性包括:高效的机(器)对机(器)(Machine to Machine,M2M)通信,多协议开发,各种应用技术/嵌入式设备的统一,以及整体的智能工作与生活。

在我们筹备智能城市、智能环境、智能零售、以及智能家居时,测试和评估物联网对于这些不同行业环境来说是非常有意义的。

物联网测试的技术几乎适用于整个物联网领域,包括:近场通信(near field communication,NFC)支付、营销、金融、汽车、信息通信等方面。其中,最为重要的当属:一个企业或团队在其物联网安全测试中所需要考虑到的那些因素。比如说:漏洞检查、网络攻击,数据安全、软/硬件通信、以及Web应用程序的安全性。虽然需要考虑的因素远不止这些,但这些绝对是各类测试人员在物联网环境的安全测试中,所需要面临的当务之急。

可以说,安全性是企业在实施各种物联网解决方案时,所需要面对的最大问题之一。被连接的设备需要得到控制,否则,它们不但在总体运作中会处于危险状态,而且各种敏感数据也会从系统中悄然流逝出去。同时,由于物联网能够对各种资源进行深入“解读”,从而产生规模性价值。因此,你的企业如想实施和应用物联网的各种解决方案,就必须重视和处置任何可能涉及到安全的隐患和问题。

1.记录每一个新增的端点

随着物联网的扩展,每一个端点在被添加到网络中的时候,也同时增加了新的、更多的安全漏洞。然而,就物联网装置本身而言,来自多个开源领域和不同类型的专有操作系统,所开发出的设备有着不同的计算能力水平、存储容量和网络配置。因此,重要的是:每个新增端点需要作为资产被记录在册,并保证得到在安全和性能方面的评估。你可以参考的最佳实践是:对系统中的所有设备创建一个编录清单,并持续更新之。这也有助于我们去监控整个物联网系统中各种设备的增加、调整与删除。若要保持其长期有效,你还需设定好与物联网项目相对应的资产发现、跟踪和管理机制。

2.密码和身份凭证

这应该是我们在考虑物联网环境的安全时,最值得推荐和需要明确保障的因素了。然而,为了避免使用那些由设备厂商所配置的默认密码,我们必须繁琐地逐一进行修改。这些都必须在项目的初始阶段就被正确地考虑到,否则,会给黑客留下攻击系统,以及控制各种设备的可乘之机。

3.数据接口

物联网的核心是能够从一个端点向另一个端点进行有效和无缝的数据交换。因此,理解和评估各种设备之间的交互连接方式,以及数据交换是否安全,则显得非常重要。只要在整个通信链路的某处发生了漏洞,都将导致数据的泄漏,并引起各种后续问题。

此外,密切注视物联网范围内的任何异常行为或活动也是至关重要的。因为在设备系统内部,任何数据的流转都可能会被别有用心的黑客所利用。所以,我们要保持高度警惕,彻底并持续地监控各个数据的接口。

4.持续更新

如今,诸多物联网项目都能够以“看得见,摸得着”的方式落地实施。这同时也意味着它们与生俱来的安全性和风险性也正在持续增加,因此我们要持续进行监测和管控。而对于普通企业来说,他们存在着一个重大的问题:缺少不断更新自己的联网设备的意识。固然他们在开发或购买设备的时候,当时已经得到了更新。但是,随着它们所处的技术环境的不断变化,各种漏洞也会被迭代产生。这些漏洞往往会被那些一直在观察和分析我们的系统、并伺机出来搞破坏的各类黑客,所迅速捕获和利用。

因此,我们迫切需要能够部署一套自动更新的机制,并将该因素自始至终地贯彻下去。

5.当心你的物联网设备供应商

身在“明处”的那些黑客和外部因素固然能对你的物联网系统产生威胁。但是,你又该如何去防范那些向你兜售联网设备的公司,所可能留下的“后门”呢?他们可以轻松地访问到你的个人资料,甚至是你的货币交易相关数据。此外,通过这些设备所收集到的数据,他们也可以在组织、甚至是个人层面上,以截然不同的方式反作用于用户本身。

因此,任何选用了物联网设备的消费者,都必须在购买设备时阅读并理解相关的协议,以确保共享的数据是保密的,而且是在征得消费者同意的基础上被用于共享。任何与数据使用和分发相关的协议,对于其所处的特定物联网环境都是至关重要的。可以说它们是整个项目的基础与核心。

6.在设备上保持“负载即检测”

由于物联网项目必然会涉及到跨设备平台之间的数据交换,那么在数据的传输过程中偶尔出现负载的突发峰值也是不足为奇的。这样的负载可能会对系统的整体性能产生负面影响,并导致性能与安全叠加的问题出现。由于各种设备需要通过这些快速流转的状态信息,来与系统进行通信。因此我们需要在不同的网络条件下,对网络性能与相关的基础设施进行测试。有时候,我们甚至需要对各种物联网设备和相应的应用程序进行横跨不同配置状态的测试,以确保它们既能及时地做出响应,又不会丢失有效的数据。

结论

Gartner公司已指出:到2026年,物联网设备的数量将增至200亿以上。我个人觉得这是完全可以达到的。每一种可能影响到物联网设备性能的因素,都有能力将挑战转化成为新的机遇。而安全性正是企业在采用物联网解决方案时所面临的一项重大挑战。可见,如果上述这些因素能够被定期地提及和处理的话,物联网绝对能够成为企业在不同业务领域长足发展的助推剂。

原文标题:Factors to Consider in IoT Security Testing,作者: Hiren Tanna

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:张燕妮 来源: 51CTO
相关推荐

2018-11-26 05:01:07

物联网安全物联网IOT

2018-01-31 10:59:52

网络安全防火墙动态安全

2021-04-19 09:31:32

物联网平台物联网IOT

2016-03-03 14:41:29

网络安全技术周刊

2010-01-05 16:27:10

2014-07-10 09:16:19

2014-04-10 16:55:37

2020-06-12 07:48:37

物联网项目物联网IOT

2019-05-23 10:33:47

2021-11-08 09:34:20

云物联网平台物联网平台物联网

2023-09-11 09:53:53

2019-05-16 08:51:22

物联网获利IOT

2024-07-12 14:02:08

2021-06-10 14:27:08

物联网大数据IOT

2018-12-19 21:27:47

2022-01-14 12:27:48

物联网成本物联网IOT

2019-06-28 07:51:00

工业物联网效率IIOT

2019-07-31 07:08:59

物联网企业IOT

2020-10-26 11:15:01

物联网安全物联网IOT

2014-09-01 13:36:14

点赞
收藏

51CTO技术栈公众号