物聯(lián)網(wǎng)(IoT)連接設備是嚴重且可預防的安全漏洞的意外來源,現(xiàn)在是時候像其他硬件一樣對其進行滲透測試處理了。為什么必須給予物聯(lián)網(wǎng)設備特殊待遇,以及企業(yè)如何成功地保護它們?
物聯(lián)網(wǎng)滲透測試的重要性是什么?
物聯(lián)網(wǎng)設備依賴于連接性,其效用在威脅行為者或停電面前就會崩潰。因為所有技術都在轉向物聯(lián)網(wǎng)模式,每個物體都需要分析師來驗證安全網(wǎng)。專業(yè)人士需要驗證各個方面的安全性,隨著物聯(lián)網(wǎng)設備的興起,這將很快達到數(shù)百萬個方面。由于IoT設備從無數(shù)路由點、服務器和區(qū)域連接,因此很少有連接是可靠的。
滲透測試揭示了未知的安全漏洞,因為值得信賴的專業(yè)人員模擬威脅性攻擊。他們深入挖掘固件和硬件,以查找漏洞和可訪問性疏忽。
測試人員進入黑客的思想,試圖找到進入服務器的偷偷摸摸的方法,梳理出最有價值的漏洞并竊取最無價的信息。分析師需要執(zhí)行這些測試,尤其是在物聯(lián)網(wǎng)等新興技術的情況下,這樣其不安全和現(xiàn)代技術的聲譽就會迅速消失。
企業(yè)如何進行物聯(lián)網(wǎng)滲透測試?
沒有技術是完美的。有些問題是自動駕駛汽車或家庭安全系統(tǒng)特有的。了解其異同將使分析師更好地充分利用物聯(lián)網(wǎng)滲透測試。
1、深入了解威脅的思想
大規(guī)模的物聯(lián)網(wǎng)漏洞已經(jīng)發(fā)生,給這些電子產(chǎn)品帶來了黑客可以利用的微妙聲譽。這些效率低下的問題越普遍,分析師就越需要關注如何在網(wǎng)絡犯罪分子繼續(xù)利用其之前加以糾正。
盡管每個物聯(lián)網(wǎng)設備都有其已知的缺點,但以下是讓滲透測試人員最熟悉的缺點:
弱密碼
數(shù)據(jù)管理和安全性差
連接到不安全的網(wǎng)絡
缺乏更新
最少的身份驗證警報和通知
不全面的默認設置
不存在的隱私設置操作
了解常見漏洞是理想的選擇,但跳出常規(guī)思維將提供完整的滲透測試體驗??紤]一個團隊如何在防御之上使用防御——黑客將如何克服這些防御,或者他們能否克服這些防御?這些將有助于指導滲透測試人員初步深入到目標物聯(lián)網(wǎng)設備。
2、有一個可操作的工作流程
找到漏洞是第一步,但只有當分析師在有意義的攻擊面上修補漏洞時,其才會有所改善。測試的范圍是什么?是否涵蓋所有物聯(lián)網(wǎng)入口點,包括硬件和軟件?物聯(lián)網(wǎng)設備通過WiFi、藍牙或ZigBee連接的方式是否存在特定的漏洞,是否還有特定的漏洞需要解決?
測試人員可以在其風險管理或業(yè)務連續(xù)性計劃中采取行動步驟,尋找方法來覆蓋具有更多障礙和障礙的入口點。當他們發(fā)現(xiàn)新缺陷或無法解決的缺陷時,應該有一個行動計劃來迅速發(fā)現(xiàn)解決方案。
3、實施保護
是否需要更多加密或不可變存儲?是否有太多具有權限的用戶,使表面積超出必要范圍?物聯(lián)網(wǎng)設備是否正在收集不應收集的數(shù)據(jù),從而使其成為黑客更有價值的目標?
在滲透測試之后,這些問題將揭示分析師必須做什么來防止未來的攻擊。無論是用更值得信賴的品牌更換設備,還是增加更嚴格的驗證措施,每種情況都將根據(jù)物聯(lián)網(wǎng)設備和環(huán)境進行個性化設置。
4、存儲結果
分析師必須在滲透測試后分配時間查看物聯(lián)網(wǎng)數(shù)據(jù)。該階段是分層的——從測試中發(fā)現(xiàn)的數(shù)據(jù)必須保存在安全的位置。其揭示了有關黑客如何最大限度地利用物聯(lián)網(wǎng)設備的敏感信息,這些設備應該隱藏在嚴格的身份驗證措施之后。
此外,分析師應該梳理測試收集的數(shù)據(jù)并從中收集見解。技術專家必須利用實時數(shù)據(jù)分析來充分利用這些測試。否則,他們將錯過有關攻擊如何影響緊急情況的重要視覺效果。
注意趨勢和模式可能會揭示額外的流程發(fā)現(xiàn),使企業(yè)的網(wǎng)絡安全戰(zhàn)略的保護傘更具彈性。向利益相關者和管理團隊報告這些發(fā)現(xiàn),以提高透明度并繼續(xù)進行研究和開發(fā)。
分析師會看到什么好處?
除了這些有望阻止網(wǎng)絡犯罪分子的物聯(lián)網(wǎng)產(chǎn)品的聲譽提高之外,對物聯(lián)網(wǎng)設備進行滲透測試還有很多好處。從商業(yè)角度來看,最突出的是節(jié)省資金。物聯(lián)網(wǎng)技術越有彈性,實體就越不需要為勒索軟件攻擊或第三方幫助隔離僵尸網(wǎng)絡攻擊而付出代價。
此外,其將提高公民對關鍵物聯(lián)網(wǎng)采用的支持。如果全世界的客戶仍然對這些設備的安全性持懷疑態(tài)度,那么很少有人會使用,這意味著其為促進社會進步而收集的數(shù)據(jù)將不全面或不實用。規(guī)范白帽道德黑客將使技術用戶感到更安全。
個人、企業(yè)和城市所依賴的物聯(lián)網(wǎng)設備越多,從理論上講,一切的效率和自動化程度就越高。然而,其只能隨著信息的增加而改善,而這些設備越有價值,黑客就會越多地瞄準。滲透測試人員可以為物聯(lián)網(wǎng)設備帶來的最重要的好處是,威脅行為者甚至無法想象打破的堅不可摧的墻壁。有了全面的網(wǎng)絡安全,物聯(lián)網(wǎng)攻擊就會減少,因為滲透測試找到了針對大多數(shù)攻擊變體的解決方案。
通過滲透測試發(fā)現(xiàn)物聯(lián)網(wǎng)中的漏洞
現(xiàn)在,大量物聯(lián)網(wǎng)的應用正在進行,例如在自然災害相關的緊急情況下,關閉房屋的燈,以及關鍵的基礎設施,例如能夠在自然災害相關的緊急情況下分配電力的電網(wǎng)。無論是何種應用,滲透測試都可以幫助這些電子產(chǎn)品獲得更好的聲譽,從而阻止威脅行為者企圖破壞。