研究人员说,测试是物联网安全的关键

据该研究人员介绍,与产品相关的所有元素建立有效的测试流程是确保物联网的关键

“最重要的一点是,当我们考虑物联网的安全性时,我们不要过分关注嵌入式技术硬件,这是研究人员,测试人员,公司和客户倾向于做的事情。”他告诉“计算机周刊”。

“包括产品的整个生态系统很重要。当我们考虑整体安全模型和产品的风险时,需要考虑制定IoT解决方案工作的所有部分,而不仅仅是设备硬件。“

这些元素通常包括诸如网络通信,射频通信,云API(应用程序接口),移动应用,云服务以及在移动和基于云的IoT系统中发现的命令和控制应用程序。

据Heiland介绍,构成物联网系统的这些元素中的每一个元素都有问题,但它们通常处于不同的严重程度。

Heiland说,设备制造商是在进入市场之前进行安全测试流程来评估产品和服务的最明显的组织,这可以缓解“大量的风险”。

制造商需要确保他们有有效的修补或软件更新机制和流程,所以问题可以在出现时被修复。

Heiland表示:“脆弱性永远不会消失,但像微软一样,这个问题可以通过有效的修补过程来大大降低风险,消费者,组织和个人都应该期望和制造商的需求。” 。

“在组织承诺使用特定设备和服务之前,他们应该要求证明产品已进行安全测试,以避免组织面临不必要的风险。

“在大型实施项目上开展工作的大型组织也应该确保他们有一个有效的测试过程,有些已经在采用这种方法。”

发现的安全问题

Heiland与几家组织合作测试了物联网系统,并帮助他们与制造商合作解决和披露发现的安全问题。

一个例子就是一个GPS样式的追踪装置,让父母在失踪时找到自己的孩子。

Heiland说:“绑定到这个产品中的云API有更多的安全问题,”他说,这意味着全部陌生人可以访问设备上的所有GPS跟踪数据,与设备相关的电话号码,其他联系信息,甚至是国际移动设备身份(IMEI)设备数量。

由于通过API从设备到关联的Web界面的通信安全性差,任何拥有系统帐户的人也可以访问其他帐户并更改或重新配置设备。

Heiland表示:“云API和网络服务遭遇了许多安全漏洞,几乎允许任何人访问数据,任何人都可以使用帐户来更改数据。”

虽然小型公司不太可能拥有进行安全测试所需的技能,但他表示,只要知道与物联网系统的所有组件相关的潜在风险,可以帮助他们以更安全的方式实施物联网系统。

Heiland说:“通过考虑构成生态系统的部分,小型公司可以通过遵循最佳实践并强制具体的政策和流程来确定适当的方式来减轻其特定环境的风险,”他补充说,有一个漏洞。

为了开展有效的测试过程,组织必须首先了解典型的物联网生态系统的结构,了解物联网系统的一般测试方法,并熟悉物联网系统中的常见漏洞。

虽然海南认为有效的安全测试过程是至关重要的,应该尽快实施,但他也认为物联网周围的安全恐惧已经被夸大了。

“在短期内,有些人认为生命和肢体的风险肯定是巨大的,但随着物联网系统变得越来越普遍,特别是在医疗保健和私人车辆方面,我们需要加强我们对安全的了解。”他说。

Heiland将目前在物联网系统中发现的许多安全问题描述为与任何新技术相关的“典型的成长痛苦”。

然而,与物联网的巨大差异在于,涉及的数量比以往任何时候都大得多。预计随着时间的推移,物联网设备和系统的数量将迅速增长,物联网很可能在不久的将来几乎处于生活的各个方面。

Heiland说:“存在安全挑战,就像任何技术一样,但并不是世界的尽头,因为在这个行业正在开展工作的角落里有解决方案。”

有效的修补机制

他认为有效的补丁机制和流程可能是解决物联网系统中许多安全风险的最佳和最快捷的方式,特别是一旦系统得到实施。

他说:“我和其他人发现的大多数漏洞都是几乎相同的模式。” “他们通常可以很容易解决的问题,应该在测试中得到回应,以至于它们从未在市场上首先出现。”

他说,有效的测试过程将摆脱所有常见的,容易解决的安全风险,这将使研究人员能够专注于寻找不那么明显,难以找到的更复杂的风险。

“安全研究人员希望深入挖掘,而不用浪费时间找到一个很好的测试过程将会发现的所有简单的东西,所以他们可以找到更加核心的东西,使IoT系统和设备更加安全,”Heiland说。

最后,他表示组织需要确保他们有一个有效的扫描系统,使他们能够识别可能连接到公司网络的任何流氓或未经授权的物联网设备,以便他们评估和减轻任何相关风险。

原文发布于微信公众号 - 智能计算时代(intelligentinterconn)

原文发表时间:2017-05-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(63)-SOP-制造成本中心计划

SOP 176 制造成本中心计划 目的 在年度预算流程中,制造成本中心经理为他们各自成本中心的各种成本类型/要素计划成本。这些计划通常的起点是本年度/上一年度的...

27430
来自专栏纯洁的微笑

周末聊几件小事

13350
来自专栏云计算D1net

云计算可以帮助企业的业务达到新的水平

建设和运营数据中心,对于大企业来说通常可以支付更多的费用,而小企业却无力承担,因此采用云计算对很多企业来说是一个福音。企业将其业务迁移到云端是安全且明智的一步,...

16560
来自专栏大数据文摘

2014年微博用户发展报告(44PPT)

14220
来自专栏云计算D1net

云计算的大步前进带动虚拟化应用的爆发

谈到互联网的发展大家都非常的看好云计算是互联网发展的未来,所以在了解这方面内容的同时决定如下内容对云计算这个概念的理解和说法还是比较好的,所以分享出来希望对关注...

36670
来自专栏云市场·精选汇

热点|小程序的核心优势盘点

我们可以把微信看作是一个独立终端,它的通讯录维度是远超其他应用的。我们的从原来只有几十几百熟人关系的手机原生通讯录,到现在成百上千熟人半熟人关系的微信通讯录;关...

10810
来自专栏ThoughtWorks

为数字化企业注入安全基因|商业洞见

企业面临的安全挑战已经发生改变 如今,越来越多的企业选择部署移动技术和数字化来强化自己的业务,传统的业务模式在新的技术革命中面临新的安全问题和挑战。这些挑战集中...

41260
来自专栏SDNLAB

Gartner战略技术趋势分析:需要为智慧世界提供强大的边缘和网络

上周,Gartner发布了2019年的十大战略技术趋势,并不令人感到意外的是,在这个名单中边缘和区块链技术从去年开始持续到了2019年。

13610
来自专栏做全栈攻城狮

语音合成技术,助你把文字变成声音

文章不是简单的的Ctrl C与V,而是一个字一个标点符号慢慢写出来的。我认为这才是是对读者的负责,本教程由技术爱好者成笑笑(博客:http://www.chen...

25110
来自专栏云计算D1net

如何以最小代价削减云计算成本

云计算得到广泛应用的原因有很多,其中节省更多成本是其应用的主要原因。然而,由于经验不足或计划不周,许多组织没有更好地节省成本。云计算资源调度服务商Park My...

13120

扫码关注云+社区

领取腾讯云代金券