在测试物联网网络的安全性时，人们自然会将嵌入式设备作为关键测试对象。这种方法虽然方便，但只能部分地了解整个端到端生态系统。有效的评估方法应考虑整个物联网解决方案或整个物联网产品生态系统。简而言之，安全团队应在整个物联网产品生态系统的背景下评估产品安全评估中的每个项目。

端到端的生态系统方法论

物联网产品生态系统包括以下几个方面：

嵌入式设备与相关传感器，接收器和执行器之间的关系。

移动应用程序和命令控制软件之间的关系。

云API与相关网络服务之间的关系。开发人员可以使用云API进行编码，每个API都有云提供商的服务。

使用的所有相关网络通信协议，例如以太网，802.11无线网络协议和组件间通信协议（Zigbee，Z-Wave和蓝牙）。

下图显示了完整的物联网产品生态系统：

安全团队必须对整个物联网生态系统进行全面的安全检查，以确保所有相关产品或组件的安全。产品生态系统中任何组件的故障都可能影响生态系统的安全性。例如，由于云API的安全漏洞，黑客很容易在未经授权的情况下访问和控制嵌入式硬件。因此，他们可以对用户的物联网产品（如冰箱和DVD等）发起恶意攻击。

我们将展示如何进行完整的物联网安全评估，涵盖物联网产品生态系统的各个方面。

配置安全测试环境

在测试物联网产品生态系统时，我们将首先根据通用产品规范配置物联网产品的各种功能。为了获得更好的测试效果，我们需要配置两个相互独立的Internet产品运行环境来测试攻击的危险性。这是因为黑客可能会在两个独立环境中实施跨用户或跨系统攻击。此外，我们可以使用两个独立的环境来比较产品的安全配置。通过测试每个产品的功能，我们可以有效地评估产品生态系统中每个产品的功能安全特性，组件特征和通信路径，从而覆盖整个物联网产品生态系统。

除测试外，我们还需要获取与测试产品相关的所有物联网信息。这种数据包括有关相关产品组件的信息，支持产品运行的基础架构，运行产品所需的支持软件，以及用于实现产品的各种云功能的外部组件。

云安全测试

物联网网络通常使用各种网络服务进行远程控制，数据收集和产品管理。通常，网络服务和云API是物联网产品生态系统中最薄弱的部分。开发人员可以使用云API进行编码，每个API都有云提供商的服务。同时，云API可能会给云应用带来安全风险，因为威胁参与者可以轻松攻击API，从而将敏感服务数据置于风险之中。这意味着提供商和软件开发人员必须优先确定云API的安全性。

因此，为了确保云上的身份验证安全性，我们需要测试云服务与物联网产品生态系统中所有组件之间的功能和通信，以对相关云服务进行全面评估。通过这种方式，我们可以验证产品的一般安全状态，并确认由云引起的安全问题。因此，我们可以评估这些问题对组件之间安全性的影响。

此外，我们将在云测试期间使用OWASP Top10进行焦点测试。

注意：Open Web Application Security Project（OWASP）是一个开放社区，致力于讨论应用程序和代码开发威胁。OWASP Top10旨在找出企业或组织面临的前十大风险，以增加人们对应用程序安全性的担忧。

移动应用或控制系统测试

物联网技术通常使用各种类型的远程控制服务，例如移动应用程序（Android或iOS）来远程管理和控制物联网。在此测试过程中，我们对用于管理物联网产品的移动和远程应用程序进行深入测试和分析。与云测试一样，我们测试移动应用程序与物联网产品生态系统中所有组件之间的所有功能和通信，以验证产品的一般安全状态。此外，我们将在移动应用程序测试期间使用OWASP Top10进行焦点测试。

物联网通常使用标准网络通信路径（如以太网和Wi-Fi）来访问各种服务。这很方便，但也带来了很多风险。在此测试阶段，我们将识别连接到产品的物联网生态系统基础架构中的所有TCP和UDP端口。通过这些端口，我们可以进行彻底的渗透测试，以识别易受攻击或配置错误的服务。黑客经常使用这些服务漏洞来攻击物联网系统并获取密钥访问信息。

物联网设备（硬件）安全测试

我们还将检查IoT设备以评估针对物理层攻击的安全性。被检查对象还包括具有JTAG端口和串行端口的设备，各种组件的电源设备以及数据和控制引脚。虽然设备具有不同的组件或配置，但它们具有一些常见的攻击向量，例如：

外部USB端口

从外部渠道访问

位置和存储媒体

访问调试控制台的可用性

拆卸设备所需的操作

由简单的物理访问设备引起的风险

扩展物理访问设备引起的风险

连接媒体引起的风险，如无线连接，有线连接和蓝牙

对设备进行物理检查是阻止物理攻击的关键。如前所述，在检查设备的每个组件后，我们可以开始物理攻击测试。虽然攻击媒体可能不同，但措施和方法与我们上面列出的相同：

通过可用端口启动攻击

禁用设备保护，例如“引导加载程序”限制或限制BIOS

访问和修改设备配置

用户使用云服务时窃取用户的访问凭据

访问只能由用户访问的固件

当设备与云组件通信时，通过访问后台或运行日志来监控操作

目前，大多数物联网设备仍然依赖于无线电通信。测试通信方法的安全性也是安全评估的关键任务。为此，我们对无线电通信进行专门的测试和分析，以检查通信是否满足以下预期的加密和保护要求：

装配配对过程是防篡改的。

系统禁止未经授权的访问或控制。

黑客很难将通信与底层命令进行映射并控制流量。

很难发起转播攻击。

结论

我们希望本文能够为网络安全从业者提供一个新的视角，用于评估物联网设备世界的安全性。

最后

以上就是坚强蜜粉为你收集整理的下一个十年的物联网安全评估方法在测试物联网网络的安全性时，人们自然会将嵌入式设备作为关键测试对象。这种方法虽然方便，但只能部分地了解整个端到端生态系统。有效的评估方法应考虑整个物联网解决方案或整个物联网产品生态系统。简而言之，安全团队应在整个物联网产品生态系统的背景下评估产品安全评估中的每个项目。的全部内容，希望文章能够帮你解决下一个十年的物联网安全评估方法在测试物联网网络的安全性时，人们自然会将嵌入式设备作为关键测试对象。这种方法虽然方便，但只能部分地了解整个端到端生态系统。有效的评估方法应考虑整个物联网解决方案或整个物联网产品生态系统。简而言之，安全团队应在整个物联网产品生态系统的背景下评估产品安全评估中的每个项目。所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。