據(jù)該研究人員介紹，與產(chǎn)品相關(guān)的所有元素建立有效的測(cè)試流程是確保物聯(lián)網(wǎng)的關(guān)鍵

　　“最重要的一點(diǎn)是，當(dāng)我們考慮物聯(lián)網(wǎng)的安全性時(shí)，我們不要過分關(guān)注嵌入式技術(shù)硬件，這是研究人員，測(cè)試人員，公司和客戶傾向于做的事情。”他告訴“計(jì)算機(jī)周刊”。

　　“包括產(chǎn)品的整個(gè)生態(tài)系統(tǒng)很重要。當(dāng)我們考慮整體安全模型和產(chǎn)品的風(fēng)險(xiǎn)時(shí)，需要考慮制定IoT解決方案工作的所有部分，而不僅僅是設(shè)備硬件。“

　　這些元素通常包括諸如網(wǎng)絡(luò)通信，射頻通信，云API(應(yīng)用程序接口)，移動(dòng)應(yīng)用，云服務(wù)以及在移動(dòng)和基于云的IoT系統(tǒng)中發(fā)現(xiàn)的命令和控制應(yīng)用程序。

　　據(jù)Heiland介紹，構(gòu)成物聯(lián)網(wǎng)系統(tǒng)的這些元素中的每一個(gè)元素都有問題，但它們通常處于不同的嚴(yán)重程度。

　　Heiland說，設(shè)備制造商是在進(jìn)入市場(chǎng)之前進(jìn)行安全測(cè)試流程來評(píng)估產(chǎn)品和服務(wù)的最明顯的組織，這可以緩解“大量的風(fēng)險(xiǎn)”。

　　制造商需要確保他們有有效的修補(bǔ)或軟件更新機(jī)制和流程，所以問題可以在出現(xiàn)時(shí)被修復(fù)。

　　Heiland表示：“脆弱性永遠(yuǎn)不會(huì)消失，但像微軟一樣，這個(gè)問題可以通過有效的修補(bǔ)過程來大大降低風(fēng)險(xiǎn)，消費(fèi)者，組織和個(gè)人都應(yīng)該期望和制造商的需求。” 。

　　“在組織承諾使用特定設(shè)備和服務(wù)之前，他們應(yīng)該要求證明產(chǎn)品已進(jìn)行安全測(cè)試，以避免組織面臨不必要的風(fēng)險(xiǎn)。

　　“在大型實(shí)施項(xiàng)目上開展工作的大型組織也應(yīng)該確保他們有一個(gè)有效的測(cè)試過程，有些已經(jīng)在采用這種方法。”

　　發(fā)現(xiàn)的安全問題

　　Heiland與幾家組織合作測(cè)試了物聯(lián)網(wǎng)系統(tǒng)，并幫助他們與制造商合作解決和披露發(fā)現(xiàn)的安全問題。

　　一個(gè)例子就是一個(gè)GPS樣式的追蹤裝置，讓父母在失蹤時(shí)找到自己的孩子。

　　Heiland說：“綁定到這個(gè)產(chǎn)品中的云API有更多的安全問題，”他說，這意味著全部陌生人可以訪問設(shè)備上的所有GPS跟蹤數(shù)據(jù)，與設(shè)備相關(guān)的電話號(hào)碼，其他聯(lián)系信息，甚至是國(guó)際移動(dòng)設(shè)備身份(IMEI)設(shè)備數(shù)量。

　　由于通過API從設(shè)備到關(guān)聯(lián)的Web界面的通信安全性差，任何擁有系統(tǒng)帳戶的人也可以訪問其他帳戶并更改或重新配置設(shè)備。

　　Heiland表示：“云API和網(wǎng)絡(luò)服務(wù)遭遇了許多安全漏洞，幾乎允許任何人訪問數(shù)據(jù)，任何人都可以使用帳戶來更改數(shù)據(jù)。”

　　雖然小型公司不太可能擁有進(jìn)行安全測(cè)試所需的技能，但他表示，只要知道與物聯(lián)網(wǎng)系統(tǒng)的所有組件相關(guān)的潛在風(fēng)險(xiǎn)，可以幫助他們以更安全的方式實(shí)施物聯(lián)網(wǎng)系統(tǒng)。

　　Heiland說：“通過考慮構(gòu)成生態(tài)系統(tǒng)的部分，小型公司可以通過遵循最佳實(shí)踐并強(qiáng)制具體的政策和流程來確定適當(dāng)?shù)姆绞絹頊p輕其特定環(huán)境的風(fēng)險(xiǎn)，”他補(bǔ)充說，有一個(gè)漏洞。

　　為了開展有效的測(cè)試過程，組織必須首先了解典型的物聯(lián)網(wǎng)生態(tài)系統(tǒng)的結(jié)構(gòu)，了解物聯(lián)網(wǎng)系統(tǒng)的一般測(cè)試方法，并熟悉物聯(lián)網(wǎng)系統(tǒng)中的常見漏洞。

　　雖然海南認(rèn)為有效的安全測(cè)試過程是至關(guān)重要的，應(yīng)該盡快實(shí)施，但他也認(rèn)為物聯(lián)網(wǎng)周圍的安全恐懼已經(jīng)被夸大了。

　　“在短期內(nèi)，有些人認(rèn)為生命和肢體的風(fēng)險(xiǎn)肯定是巨大的，但隨著物聯(lián)網(wǎng)系統(tǒng)變得越來越普遍，特別是在醫(yī)療保健和私人車輛方面，我們需要加強(qiáng)我們對(duì)安全的了解。”他說。

　　Heiland將目前在物聯(lián)網(wǎng)系統(tǒng)中發(fā)現(xiàn)的許多安全問題描述為與任何新技術(shù)相關(guān)的“典型的成長(zhǎng)痛苦”。

　　然而，與物聯(lián)網(wǎng)的巨大差異在于，涉及的數(shù)量比以往任何時(shí)候都大得多。預(yù)計(jì)隨著時(shí)間的推移，物聯(lián)網(wǎng)設(shè)備和系統(tǒng)的數(shù)量將迅速增長(zhǎng)，物聯(lián)網(wǎng)很可能在不久的將來幾乎處于生活的各個(gè)方面。

　　Heiland說：“存在安全挑戰(zhàn)，就像任何技術(shù)一樣，但并不是世界的盡頭，因?yàn)樵谶@個(gè)行業(yè)正在開展工作的角落里有解決方案。”

　　有效的修補(bǔ)機(jī)制

　　他認(rèn)為有效的補(bǔ)丁機(jī)制和流程可能是解決物聯(lián)網(wǎng)系統(tǒng)中許多安全風(fēng)險(xiǎn)的最佳和最快捷的方式，特別是一旦系統(tǒng)得到實(shí)施。

　　他說：“我和其他人發(fā)現(xiàn)的大多數(shù)漏洞都是幾乎相同的模式。” “他們通?？梢院苋菀捉鉀Q的問題，應(yīng)該在測(cè)試中得到回應(yīng)，以至于它們從未在市場(chǎng)上首先出現(xiàn)。”

 1/2    1 2 下一頁(yè) 尾頁(yè)