一����、物聯(lián)網(wǎng)應用安全始于產(chǎn)品開發(fā)
為什么圍繞物聯(lián)網(wǎng)設備存在如此多的安全問題,我們可以采取哪些簡單的步驟來提高這些設備的安全性����?我相信這些問題的答案在于產(chǎn)品開發(fā)的各個階段。
項目有許多階段�,根據(jù)所遵循的方法(例如,瀑布式����、螺旋式或敏捷),這些階段可能包括各種需求���、分析���、設計、編碼、實施���、測試����、部署和維護��。在每個發(fā)展階段都有機會加強安全�。
那么����,一個項目如何有助于保護我們的家庭網(wǎng)絡以及我們在咖啡館、機場和整個社會中偶然發(fā)現(xiàn)的更廣泛的網(wǎng)絡��,以抵御來自不安全的物聯(lián)網(wǎng)設備的潛在威脅��?
根據(jù)Networkworld.com 的說法����,增強物聯(lián)網(wǎng)安全所需的一些步驟是確保對源代碼進行了充分的安全測試,實施了安全訪問控制�,并遵循了正確的安全標準級別。簡單但經(jīng)常被遺忘的技術���,例如網(wǎng)絡隔離�,對限制風險大有幫助。
小編認為安全的責任在于兩個不同的領域:
制造商:物聯(lián)網(wǎng)設備制造商需要在項目的核心提供內置安全的便利性����,并遵循“設計安全”的方法。他們確保在進入市場之前�����,已經(jīng)針對應用程序/固件代碼進行了以下安全測試��。
最終用戶——無論消費者是企業(yè)用戶還是家庭用戶���,安全預防措施都不能只限于制造商��。(另請閱讀:直接來自專家:如何使用工作場所物聯(lián)網(wǎng)來限制風險���。)
二、物聯(lián)網(wǎng)應用代碼的安全測試
可以想象�����,應用程序或固件中的代碼量可能相差很大�,從幾行代碼到幾千行代碼不等。因此,在此級別執(zhí)行手動代碼審查是不經(jīng)濟的���,并且會消耗大量人力資源��。
手動測試
手動測試涉及代碼審查���、同行代碼審查或傳遞。這些技術是有意識地���、系統(tǒng)地召集其他程序員一起檢查彼此的代碼是否有錯誤的行為,并且已反復證明可以加速和簡化軟件開發(fā)過程�。
第二雙眼睛是要求兩個人批準某事才能采取行動。四眼原則有時被稱為兩人規(guī)則或兩人規(guī)則�����,符合雙重控制的安全實踐����。
三、物聯(lián)網(wǎng)應用自動化測試
1���、自動化測試主動加快安全測試的整個過程����,并通過靜態(tài)(白盒)應用程序或動態(tài)(黑盒)方法完成。
靜態(tài)應用程序安全測試(SAST)��,也稱為“白盒測試”����,已經(jīng)存在十多年了。它允許開發(fā)人員在軟件開發(fā)生命周期的早期發(fā)現(xiàn)應用程序源代碼中的安全漏洞���。
2��、動態(tài)應用程序安全測試 (DAST)是一種黑盒測試方法���,它在應用程序運行時對其進行檢查,以發(fā)現(xiàn)攻擊者可以利用的漏洞���。
自動化測試可確保根據(jù)合規(guī)性要求進行測試�,例如美國國家標準技術研究院(NIST)�����、健康保險流通與責任法案 (HIPPA)和支付卡行業(yè)數(shù)據(jù)安全標準 (PCI- DSS)���。
安全掃描可發(fā)現(xiàn)OWASP IoT Top 10 中列出的漏洞��,包括:
1�����、弱�、易于猜測或硬編碼的密碼。
2���、缺乏安全的更新機制��。
3、使用遺留組件�����。
3�����、隱私保護不足����。
值得注意的是�����,從歷史上看���,自動化代碼審查由于成本原因被排除在項目之外,或者只是沒有被視為一項要求��。
