物联网安全测试:涵盖你所有的基础

物联网安全问题揭晓

去年，道德黑客开始炫耀他们可以用网络化汽车做些什么。菲亚特克莱斯勒在两次后召回了140万辆车安全研究人员证明他们可以远程脱离2014年吉普车的制动器和传输。Tesla Model S在Def Con Hacking会议上是谈话的话题显示汽车可以开始使用一台连接到驾驶员侧仪表盘的笔记本电脑。

医疗设备也是黑客的潜在目标。阿拉巴马大学的一群学生利用医疗训练机器人的Wi-Fi功能，破解了其内部的起搏器。类似地，安全专家比利·里奥斯(Billy Rios)在一家医院接受手术后使用的药物输注泵中发现了漏洞。他声称这些漏洞可以让黑客远程改变泵给药的剂量。

虽然这些都是危及生命的极端情况，但组织必须妥善保护他们的设备。

物联网安全测试:必须具备

安全性不是一个附加功能;它必须建在任何给定设备的基础上。设备的安全级别来自于开发人员所做的架构和编码选择。在物联网中工作时，记住这一点特别重要，因为需要在考虑平台的情况下做出许多安全选择。常用的安全技术，例如加密，对于处理能力不强的设备来说可能是一个挑战。尽管建立一个安全的物联网舰队，需要注意数据机密性和完整性，以及物联网服务的可用性。

开始的好方法是遵循所定义的安全实践打开Web应用程序安全项目（OWASP）。除了应用程序接口最佳实践之外，OWASP指南还包括关于安全编码和防火墙使用的信息。在保护您的物联网舰队时，首要任务是测试设备本身的安全性。

必须为常用Web应用程序漏洞运行IoT安全测试，例如跨站点脚本编制和跨站点请求伪造，尽可能使用公共加密算法，并尽可能地尝试使最大的防火墙保护。在软件方面，可以确定修补程序和更新，以数字签署以证明设备的合法性。设备不应该假设所有修补尝试都是合法的;一个明显的补丁可能是一块恶意代码。

一般来说，身份验证应该尽可能强。测试弱密码，并对敏感操作(如设置更改)强制进行双因素身份验证。使用模糊测试向设备发送各种各样的输入，以探测与此相关的潜在漏洞缓冲区溢出或其他未处理的异常。还要确保完成端口设备(如usb)的物联网安全测试，以检测漏洞。减少物理端口的使用将减少物联网设备的整体攻击面，减少攻击的机会。如果确实发生了违反，启用安全事件日志记录以供以后分析是很重要的。

物联网安全测试:测试的不仅仅是设备

接下来，安全的网络与您的设备进行交互。首先查看数据如何传输到后端以进行处理;所有通信都应加密。保护云服务对IOT船队的安全性也至关重要，并且某些实践从保护设备携带到这一点。使用双因素身份验证并避免云服务的弱密码，并测试云接口，用于常用Web界面漏洞。

只收集和存储与业务操作相关的数据也很重要。虽然个人医疗记录的数据泄露已经够糟糕的了，但如果同一个组织还持有财务信息，这将使攻击更加严重。只存储与业务运营和客户关怀相关的信息;这可以帮助减少机密和敏感信息在设备外传输和存储，这反过来减少了在数据泄露中可能被泄露的数据量。

构建一个安全IOT基础架构完成常规的物联网安全测试意味着覆盖你的所有基础;它包括保护设备本身以及它们所连接的网络或云服务。组织寻求利用物联网技术需要考虑保护设备、通信和同时收集的数据。物联网可以是一个强大的工具，但就像电影中的超级英雄一样，它的最大优势也可能是它的最大弱点。

关于作者:
Dan Sullivan是一名作家、系统架构师和顾问，在高级分析、系统架构、数据库设计、企业安全和商业智能方面拥有超过20年的IT经验。

James Sullivan是一名技术作家，专注于云数据库服务、物联网和安全。他在波特兰工作，或者。