• 正文
    • 一、物聯(lián)網(wǎng)應(yīng)用安全始于產(chǎn)品開(kāi)發(fā)
    • 二、物聯(lián)網(wǎng)應(yīng)用代碼的安全測(cè)試
    • 三、物聯(lián)網(wǎng)應(yīng)用自動(dòng)化測(cè)試
  • 相關(guān)推薦
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

物聯(lián)網(wǎng)應(yīng)用領(lǐng)域:物聯(lián)智能安全始于產(chǎn)品開(kāi)發(fā)

加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

一、物聯(lián)網(wǎng)應(yīng)用安全始于產(chǎn)品開(kāi)發(fā)

為什么圍繞物聯(lián)網(wǎng)設(shè)備存在如此多的安全問(wèn)題,我們可以采取哪些簡(jiǎn)單的步驟來(lái)提高這些設(shè)備的安全性?我相信這些問(wèn)題的答案在于產(chǎn)品開(kāi)發(fā)的各個(gè)階段。

項(xiàng)目有許多階段,根據(jù)所遵循的方法(例如,瀑布式、螺旋式或敏捷),這些階段可能包括各種需求、分析、設(shè)計(jì)、編碼、實(shí)施、測(cè)試、部署和維護(hù)。在每個(gè)發(fā)展階段都有機(jī)會(huì)加強(qiáng)安全。

那么,一個(gè)項(xiàng)目如何有助于保護(hù)我們的家庭網(wǎng)絡(luò)以及我們?cè)诳Х瑞^、機(jī)場(chǎng)和整個(gè)社會(huì)中偶然發(fā)現(xiàn)的更廣泛的網(wǎng)絡(luò),以抵御來(lái)自不安全的物聯(lián)網(wǎng)設(shè)備的潛在威脅?

根據(jù)Networkworld.com 的說(shuō)法,增強(qiáng)物聯(lián)網(wǎng)安全所需的一些步驟是確保對(duì)源代碼進(jìn)行了充分的安全測(cè)試,實(shí)施了安全訪問(wèn)控制,并遵循了正確的安全標(biāo)準(zhǔn)級(jí)別。簡(jiǎn)單但經(jīng)常被遺忘的技術(shù),例如網(wǎng)絡(luò)隔離,對(duì)限制風(fēng)險(xiǎn)大有幫助。

小編認(rèn)為安全的責(zé)任在于兩個(gè)不同的領(lǐng)域:

制造商:物聯(lián)網(wǎng)設(shè)備制造商需要在項(xiàng)目的核心提供內(nèi)置安全的便利性,并遵循“設(shè)計(jì)安全”的方法。他們確保在進(jìn)入市場(chǎng)之前,已經(jīng)針對(duì)應(yīng)用程序/固件代碼進(jìn)行了以下安全測(cè)試。

最終用戶——無(wú)論消費(fèi)者是企業(yè)用戶還是家庭用戶,安全預(yù)防措施都不能只限于制造商。(另請(qǐng)閱讀:直接來(lái)自專家:如何使用工作場(chǎng)所物聯(lián)網(wǎng)來(lái)限制風(fēng)險(xiǎn)。)

二、物聯(lián)網(wǎng)應(yīng)用代碼的安全測(cè)試

可以想象,應(yīng)用程序或固件中的代碼量可能相差很大,從幾行代碼到幾千行代碼不等。因此,在此級(jí)別執(zhí)行手動(dòng)代碼審查是不經(jīng)濟(jì)的,并且會(huì)消耗大量人力資源。

手動(dòng)測(cè)試

手動(dòng)測(cè)試涉及代碼審查、同行代碼審查或傳遞。這些技術(shù)是有意識(shí)地、系統(tǒng)地召集其他程序員一起檢查彼此的代碼是否有錯(cuò)誤的行為,并且已反復(fù)證明可以加速和簡(jiǎn)化軟件開(kāi)發(fā)過(guò)程。

第二雙眼睛是要求兩個(gè)人批準(zhǔn)某事才能采取行動(dòng)。四眼原則有時(shí)被稱為兩人規(guī)則或兩人規(guī)則,符合雙重控制的安全實(shí)踐。

三、物聯(lián)網(wǎng)應(yīng)用自動(dòng)化測(cè)試

1、自動(dòng)化測(cè)試主動(dòng)加快安全測(cè)試的整個(gè)過(guò)程,并通過(guò)靜態(tài)(白盒)應(yīng)用程序或動(dòng)態(tài)(黑盒)方法完成。

靜態(tài)應(yīng)用程序安全測(cè)試 (SAST),也稱為“白盒測(cè)試”,已經(jīng)存在十多年了。它允許開(kāi)發(fā)人員在軟件開(kāi)發(fā)生命周期的早期發(fā)現(xiàn)應(yīng)用程序源代碼中的安全漏洞。

2、動(dòng)態(tài)應(yīng)用程序安全測(cè)試 (DAST)是一種黑盒測(cè)試方法,它在應(yīng)用程序運(yùn)行時(shí)對(duì)其進(jìn)行檢查,以發(fā)現(xiàn)攻擊者可以利用的漏洞。

自動(dòng)化測(cè)試可確保根據(jù)合規(guī)性要求進(jìn)行測(cè)試,例如美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院 (NIST)、健康保險(xiǎn)流通與責(zé)任法案 (HIPPA)和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI- DSS)。

安全掃描可發(fā)現(xiàn)OWASP IoT Top 10 中列出的漏洞,包括:

1、弱、易于猜測(cè)或硬編碼的密碼。

2、缺乏安全的更新機(jī)制。

3、使用遺留組件。

4、隱私保護(hù)不足。

值得注意的是,從歷史上看,自動(dòng)化代碼審查由于成本原因被排除在項(xiàng)目之外,或者只是沒(méi)有被視為一項(xiàng)要求。

相關(guān)推薦