數(shù)字化轉(zhuǎn)型涉及數(shù)據(jù)驅(qū)動的決策與人工智能（AI）的結(jié)合。重要數(shù)據(jù)通過物聯(lián)網(wǎng)（IoT）設(shè)備和智能組件進行傳播。由于物聯(lián)網(wǎng)設(shè)備常常處于不安全的環(huán)境，而且由于缺乏內(nèi)生安全機制的脆弱性，很難免于潛在的網(wǎng)絡(luò)攻擊。以下是一些用于實現(xiàn)安全審計的開源工具，可以降低此類攻擊風(fēng)險。

網(wǎng)絡(luò)攻擊者和嗅探器可以從物聯(lián)網(wǎng)設(shè)備中獲取敏感數(shù)據(jù)，并利用這些信息對其他相關(guān)系統(tǒng)發(fā)起攻擊。反病毒和計算機安全服務(wù)公司卡巴斯基表示，在 2021，物聯(lián)網(wǎng)黑客數(shù)量同比增長了四倍多。

在很大程度上，黑客通過使用 Telnet 協(xié)議訪問物聯(lián)網(wǎng)網(wǎng)絡(luò)，該協(xié)議為通過互聯(lián)網(wǎng)與設(shè)備或服務(wù)器進行通信提供了命令行接口。根據(jù)研究報告，超過 58% 的物聯(lián)網(wǎng)入侵使用各種協(xié)議以求實現(xiàn)挖掘加密貨幣、通過分布式拒絕服務(wù)（DDoS）攻擊關(guān)閉系統(tǒng)、竊取機密數(shù)據(jù)的目的。

由于人們在疫情期間居家使用物聯(lián)網(wǎng)設(shè)備的時間增加，安全風(fēng)險也隨之上升。這些物聯(lián)網(wǎng)組件中的大部分無論是個人用還是商用，都缺乏基本的安全措施。人工智能和邊緣計算等新技術(shù)也使網(wǎng)絡(luò)和數(shù)據(jù)安全形勢復(fù)雜化?？ò退够囊晃话踩珜＜?Dan Demeter 表示：智能組件變得流行，攻擊的數(shù)量也隨之上升了。

Key components in PENIOT

物聯(lián)網(wǎng)組件的安全審計需求

網(wǎng)絡(luò)攻擊一直在演變，商業(yè)公司和政府部門都在采用越來越復(fù)雜的網(wǎng)絡(luò)安全設(shè)施以防止他們的應(yīng)用和基礎(chǔ)設(shè)施免于在線攻擊。全球滲透測試市場預(yù)計將從 2021 的 16 億美元增長到 2026 年的 30 億美元，2021 至 2026 年的復(fù)合年增長率為 13.8%。

物聯(lián)網(wǎng)設(shè)備的滲透測試是一個熱門話題，在這一領(lǐng)域有大量研究。即使采用“設(shè)計安全”的方法，滲透對于識別真正的安全危險并采取適當(dāng)?shù)念A(yù)防措施也是至關(guān)重要的。

物聯(lián)網(wǎng)部署中需要安全和隱私的關(guān)鍵部分和協(xié)議包括：

受限應(yīng)用協(xié)議Constraint application protocol（CoAP）

低功耗藍牙Bluetooth low energy（BLE）

高級消息隊列協(xié)議Advanced message queuing protocol（AMQP）

消息隊列遙測傳輸Message queuing telemetry transport（MQTT）

攻擊者有多種可能的入口訪問到聯(lián)網(wǎng)設(shè)備。在物聯(lián)網(wǎng)滲透測試（或安全審計）時，要測試完整的物聯(lián)網(wǎng)場景和生態(tài)。測試內(nèi)容包括從單個層和嵌入式軟件到通信協(xié)議和服務(wù)器的所有內(nèi)容。對服務(wù)器、在線接口和移動應(yīng)用的測試并非物聯(lián)網(wǎng)獨有，但至關(guān)重要，因為它們涵蓋了故障可能性很高的領(lǐng)域。物聯(lián)網(wǎng)漏洞是電氣、嵌入式軟件和通信協(xié)議測試的重點。

在評估聯(lián)網(wǎng)設(shè)備的安全性時會進行以下測試。這些測試都是使用不同的針對漏洞的高性能滲透測試和安全審計工具進行的：

通信端口中的攻擊和操縱的測試

基于無線電信號捕獲和分析的 IoT 嗅探

接口和后門測試

緩沖區(qū)溢出測試

密碼破解測試

調(diào)試

密碼學(xué)分析

固件操縱測試

逆向工程

內(nèi)存轉(zhuǎn)儲

物聯(lián)網(wǎng)安全審計使用的開源工具

物聯(lián)網(wǎng)設(shè)備在我們的日常生活中變得越來越普遍，比如，智能自行車、健身跟蹤器、醫(yī)療傳感器、智能鎖和聯(lián)動工廠等。所有這些設(shè)備和組件都可以使用開源工具來抵御網(wǎng)絡(luò)攻擊，本文將簡要介紹其中一些工具。

PENIOT

??PENIOT是一種物聯(lián)網(wǎng)滲透測試工具，使安全審計團隊能夠通過利用設(shè)備的連接來測試和破壞具有各種安全威脅的設(shè)備。可以測試主動和被動安全威脅。在確定目標(biāo)設(shè)備和相關(guān)信息（或參數(shù)）后，可以進行主動安全攻擊，例如改變系統(tǒng)資源、重放合法通信單元等。還可以分析被動安全威脅，例如破壞敏感數(shù)據(jù)的機密性或訪問網(wǎng)絡(luò)流量分析。

Objection

??Objective是一個對物聯(lián)網(wǎng)環(huán)境中使用的安卓和 iOS 應(yīng)用程序進行詳細分析和安全審計的工具。

目前許多智能組件和設(shè)備都在使用安卓和 iOS 平臺，使用該工具可以通過詳細的日志和安全審計報告對這些平臺進行分析。

Routersploit

??這個針對嵌入式設(shè)備的開源開發(fā)框架具有多個用于滲透測試和安全審計的功能和模塊：

Exploits —— 漏洞評估

Creds —— 網(wǎng)絡(luò)服務(wù)和證書的測試

Scanners —— 對目標(biāo)進行詳細的安全審計

Payloads —— 有效載荷和注入關(guān)鍵點的生成

Generic —— 執(zhí)行和測試攻擊

Wireshark

??Wireshark?是一款功能豐富的、免費的網(wǎng)絡(luò)協(xié)議分析器。MQTT 等多種物聯(lián)網(wǎng)協(xié)議可通過該工具實現(xiàn)有效分析。為了發(fā)現(xiàn)弱點，可以根據(jù)協(xié)議配置安全規(guī)則并檢查流量?？梢允褂胻cpdump??通過命令行訪問網(wǎng)絡(luò)數(shù)據(jù)包分析器。此類工具用于檢查物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)之間交換的數(shù)據(jù)包。

Binwalk

??Binwalk是一種逆向硬件設(shè)計的工具。它是 Kali Linux 的關(guān)鍵組件之一，用于滲透測試、服務(wù)器指紋識別、安全審計和取證應(yīng)用。

Firmwalker

??Firmwalker是一款自由開源的工具，用于搜索和掃描固件文件系統(tǒng)，無論是否被提取或掛載。使用這個工具可以做一個詳細的安全審計。

在物聯(lián)網(wǎng)（IoT）和萬物互聯(lián)（IoE）的時代，有必要設(shè)計并使用高性能工具包進行滲透測試和安全審計。隨著物聯(lián)網(wǎng)設(shè)備數(shù)量的增加，安全風(fēng)險也在增加。為了物聯(lián)網(wǎng)和萬物互聯(lián)部署有更高級別的安全和隱私，有必要根據(jù)最新的協(xié)議和動態(tài)的流量定制化自由及開源的工具箱和軟件包。