如何進(jìn)行物聯(lián)網(wǎng)滲透測(cè)試?
物聯(lián)網(wǎng)(IoT)連接設(shè)備是嚴(yán)重且可預(yù)防的安全漏洞的意外來源�����,現(xiàn)在是時(shí)候像其他硬件一樣對(duì)其進(jìn)行滲透測(cè)試處理了��。為什么必須給予物聯(lián)網(wǎng)設(shè)備特殊待遇,以及企業(yè)如何成功地保護(hù)它們��?
物聯(lián)網(wǎng)滲透測(cè)試的重要性是什么�?
物聯(lián)網(wǎng)設(shè)備依賴于連接性,其效用在威脅行為者或停電面前就會(huì)崩潰����。因?yàn)樗屑夹g(shù)都在轉(zhuǎn)向物聯(lián)網(wǎng)模式,每個(gè)物體都需要分析師來驗(yàn)證安全網(wǎng)。專業(yè)人士需要驗(yàn)證各個(gè)方面的安全性�,隨著物聯(lián)網(wǎng)設(shè)備的興起,這將很快達(dá)到數(shù)百萬個(gè)方面�����。由于IoT設(shè)備從無數(shù)路由點(diǎn)���、服務(wù)器和區(qū)域連接����,因此很少有連接是可靠的��。
滲透測(cè)試揭示了未知的安全漏洞�����,因?yàn)橹档眯刨嚨膶I(yè)人員模擬威脅性攻擊����。他們深入挖掘固件和硬件,以查找漏洞和可訪問性疏忽�����。
測(cè)試人員進(jìn)入黑客的思想,試圖找到進(jìn)入服務(wù)器的偷偷摸摸的方法���,梳理出最有價(jià)值的漏洞并竊取最無價(jià)的信息����。分析師需要執(zhí)行這些測(cè)試����,尤其是在物聯(lián)網(wǎng)等新興技術(shù)的情況下,這樣其不安全和現(xiàn)代技術(shù)的聲譽(yù)就會(huì)迅速消失���。
企業(yè)如何進(jìn)行物聯(lián)網(wǎng)滲透測(cè)試��?
沒有技術(shù)是完美的�。有些問題是自動(dòng)駕駛汽車或家庭安全系統(tǒng)特有的��。了解其異同將使分析師更好地充分利用物聯(lián)網(wǎng)滲透測(cè)試����。
1�、深入了解威脅的思想
大規(guī)模的物聯(lián)網(wǎng)漏洞已經(jīng)發(fā)生,給這些電子產(chǎn)品帶來了黑客可以利用的微妙聲譽(yù)���。這些效率低下的問題越普遍�,分析師就越需要關(guān)注如何在網(wǎng)絡(luò)犯罪分子繼續(xù)利用其之前加以糾正。
盡管每個(gè)物聯(lián)網(wǎng)設(shè)備都有其已知的缺點(diǎn)����,但以下是讓滲透測(cè)試人員最熟悉的缺點(diǎn):
弱密碼
數(shù)據(jù)管理和安全性差
連接到不安全的網(wǎng)絡(luò)
缺乏更新
最少的身份驗(yàn)證警報(bào)和通知
不全面的默認(rèn)設(shè)置
不存在的隱私設(shè)置操作
了解常見漏洞是理想的選擇,但跳出常規(guī)思維將提供完整的滲透測(cè)試體驗(yàn)��?����?紤]一個(gè)團(tuán)隊(duì)如何在防御之上使用防御——黑客將如何克服這些防御�,或者他們能否克服這些防御?這些將有助于指導(dǎo)滲透測(cè)試人員初步深入到目標(biāo)物聯(lián)網(wǎng)設(shè)備����。
2、有一個(gè)可操作的工作流程
找到漏洞是第一步����,但只有當(dāng)分析師在有意義的攻擊面上修補(bǔ)漏洞時(shí),其才會(huì)有所改善���。測(cè)試的范圍是什么����?是否涵蓋所有物聯(lián)網(wǎng)入口點(diǎn),包括硬件和軟件���?物聯(lián)網(wǎng)設(shè)備通過WiFi���、藍(lán)牙或ZigBee連接的方式是否存在特定的漏洞,是否還有特定的漏洞需要解決?
測(cè)試人員可以在其風(fēng)險(xiǎn)管理或業(yè)務(wù)連續(xù)性計(jì)劃中采取行動(dòng)步驟�����,尋找方法來覆蓋具有更多障礙和障礙的入口點(diǎn)��。當(dāng)他們發(fā)現(xiàn)新缺陷或無法解決的缺陷時(shí)��,應(yīng)該有一個(gè)行動(dòng)計(jì)劃來迅速發(fā)現(xiàn)解決方案�����。
3�、實(shí)施保護(hù)
是否需要更多加密或不可變存儲(chǔ)?是否有太多具有權(quán)限的用戶��,使表面積超出必要范圍����?物聯(lián)網(wǎng)設(shè)備是否正在收集不應(yīng)收集的數(shù)據(jù),從而使其成為黑客更有價(jià)值的目標(biāo)�����?
在滲透測(cè)試之后���,這些問題將揭示分析師必須做什么來防止未來的攻擊����。無論是用更值得信賴的品牌更換設(shè)備�����,還是增加更嚴(yán)格的驗(yàn)證措施��,每種情況都將根據(jù)物聯(lián)網(wǎng)設(shè)備和環(huán)境進(jìn)行個(gè)性化設(shè)置���。
4����、存儲(chǔ)結(jié)果
分析師必須在滲透測(cè)試后分配時(shí)間查看物聯(lián)網(wǎng)數(shù)據(jù)����。該階段是分層的——從測(cè)試中發(fā)現(xiàn)的數(shù)據(jù)必須保存在安全的位置��。其揭示了有關(guān)黑客如何最大限度地利用物聯(lián)網(wǎng)設(shè)備的敏感信息���,這些設(shè)備應(yīng)該隱藏在嚴(yán)格的身份驗(yàn)證措施之后。
此外�,分析師應(yīng)該梳理測(cè)試收集的數(shù)據(jù)并從中收集見解。技術(shù)專家必須利用實(shí)時(shí)數(shù)據(jù)分析來充分利用這些測(cè)試�����。否則�����,他們將錯(cuò)過有關(guān)攻擊如何影響緊急情況的重要視覺效果���。
注意趨勢(shì)和模式可能會(huì)揭示額外的流程發(fā)現(xiàn)��,使企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略的保護(hù)傘更具彈性���。向利益相關(guān)者和管理團(tuán)隊(duì)報(bào)告這些發(fā)現(xiàn),以提高透明度并繼續(xù)進(jìn)行研究和開發(fā)。
分析師會(huì)看到什么好處���?
除了這些有望阻止網(wǎng)絡(luò)犯罪分子的物聯(lián)網(wǎng)產(chǎn)品的聲譽(yù)提高之外�����,對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行滲透測(cè)試還有很多好處。從商業(yè)角度來看����,最突出的是節(jié)省資金。物聯(lián)網(wǎng)技術(shù)越有彈性��,實(shí)體就越不需要為勒索軟件攻擊或第三方幫助隔離僵尸網(wǎng)絡(luò)攻擊而付出代價(jià)���。
此外��,其將提高公民對(duì)關(guān)鍵物聯(lián)網(wǎng)采用的支持�����。如果全世界的客戶仍然對(duì)這些設(shè)備的安全性持懷疑態(tài)度�,那么很少有人會(huì)使用�����,這意味著其為促進(jìn)社會(huì)進(jìn)步而收集的數(shù)據(jù)將不全面或不實(shí)用。規(guī)范白帽道德黑客將使技術(shù)用戶感到更安全���。
個(gè)人�����、企業(yè)和城市所依賴的物聯(lián)網(wǎng)設(shè)備越多���,從理論上講,一切的效率和自動(dòng)化程度就越高�����。然而�,其只能隨著信息的增加而改善,而這些設(shè)備越有價(jià)值��,黑客就會(huì)越多地瞄準(zhǔn)��。滲透測(cè)試人員可以為物聯(lián)網(wǎng)設(shè)備帶來的最重要的好處是�,威脅行為者甚至無法想象打破的堅(jiān)不可摧的墻壁。有了全面的網(wǎng)絡(luò)安全�����,物聯(lián)網(wǎng)攻擊就會(huì)減少,因?yàn)闈B透測(cè)試找到了針對(duì)大多數(shù)攻擊變體的解決方案��。
通過滲透測(cè)試發(fā)現(xiàn)物聯(lián)網(wǎng)中的漏洞
現(xiàn)在�����,大量物聯(lián)網(wǎng)的應(yīng)用正在進(jìn)行,例如在自然災(zāi)害相關(guān)的緊急情況下,關(guān)閉房屋的燈��,以及關(guān)鍵的基礎(chǔ)設(shè)施����,例如能夠在自然災(zāi)害相關(guān)的緊急情況下分配電力的電網(wǎng)。無論是何種應(yīng)用���,滲透測(cè)試都可以幫助這些電子產(chǎn)品獲得更好的聲譽(yù)����,從而阻止威脅行為者企圖破壞���。
