研究人员说,测试是IOT安全的主要
发布时间:2022-01-19 09:18:45 所属栏目:要闻 来源:互联网
导读:测试是使用物联网(物联网)设备仍然安全的唯一方法,但不能仅限于单独的互联网连接的设备,警告Deral Heiland,IoT Research Lead在Rapid7。 最重要的一点是,当我们正在考虑IOT的安全时,让我们不要过度关注嵌入式技术硬件,这是研究人员,测试人员,公司
|
测试是使用物联网(物联网)设备仍然安全的唯一方法,但不能仅限于单独的互联网连接的设备,警告Deral Heiland,IoT Research Lead在Rapid7。 “最重要的一点是,当我们正在考虑IOT的安全时,让我们不要过度关注嵌入式技术硬件,这是研究人员,测试人员,公司和客户倾向于这样做的,”他每周告诉电脑。 “重要的是包括产品的整个生态系统。当我们考虑整体安全模型和产品的风险时,需要考虑制作物联能解决方案工作的所有作品,而不仅仅是设备硬件。“这些元素通常包括网络通信,射频通信,云API(应用程序接口),移动应用程序,云服务和命令和控制应用程序,如移动和基于云系统的移动和云系统。 根据Heiland的说法,找不到这些元素中的每个元素的问题并不罕见,但它们通常处于不同的严重程度。 设备制造商是具有安全测试流程的最明显的组织,以便在上市前评估产品和服务,这可以缓解风险的“大量”,这是Heiland。构成这一点,制造商需要确保他们有效的修补或软件更新机制和流程,因此在出现时可能会得到问题。 “漏洞永远不会消失,但是 - 就像微软所做的那样 - 这个问题可以通过有一个有效的修补程序来大大降低风险,消费者,组织和辛勤人应该期待和从制造商的需求,”Heiland说。 “在组织之前提交特定设备和服务之前,他们应该要求证明产品已经过安全测试,以避免将组织暴露于不必要的风险。 “致力于较大的实施项目的大型组织还应确保他们有一个有效的测试过程,有些已经遵循这种方法。”Heiland与多个关于测试物联网系统的组织合作,并帮助他们与制造商一起解决并披露发现的安全问题。 一个例子是GPS样式跟踪设备,使父母能够找到他们的孩子,如果他们迷失了。“云API绑在本产品中具有比您想象的更多的安全问题,”Heiland表示,这意味着总陌生人可以从设备中访问所有GPS跟踪数据,与设备相关联的电话号码,其他联系信息,甚至是国际移动设备标识(IMEI)设备的数量。 由于系统的一个帐户的任何人都可以访问其他帐户并远程访问或重新调制设备,因为通过从设备到相关的Web界面的API安全性差。 (编辑:荆门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
