什么是IoT 滲透測試
根據定義�����,物聯(lián)網(loT)的關鍵是需要創(chuàng)建一個內含大量分布式設備(loT 中的“物”)的生態(tài)系統(tǒng)��,這些設備通過專用通信基礎設施或開放互聯(lián)網進行連接����。將廣泛分布且成本低廉的設備通過任意網絡連接或與云應用相結合后,可能會導致物聯(lián)網生態(tài)系統(tǒng)易受各種安全威脅的攻擊���。為確保生態(tài)系統(tǒng)的物理和數(shù)字資產得到適當保護����。物聯(lián)網滲透測試就是在授權情況下�����,對物聯(lián)網設備中存在的各種組件進行安全評估和利用����,以確保物聯(lián)網設備更安全�。為物聯(lián)網生態(tài)系統(tǒng)在整個生命周期中的信任鏈、可控性和完整性奠定基礎��。
IoT 滲透測試的內容
1. 物聯(lián)網設備硬件安全測試
對設備物理接口進行安全評估���,以識別安全威脅�����,例如:特權升級��、物聯(lián)網設備利用���、加密密鑰優(yōu)先級�����、設備級別風險�,以提供可行的緩解措施步驟���。
2. 物聯(lián)網設備應用安全測試
對物聯(lián)網應用進行安全評估���,發(fā)現(xiàn)應用漏洞,并準備工作 POC, 以展示應用程序中的漏洞并提供可行的緩解建議����。
3.物聯(lián)網設備固件安全評估
在固件安全評估中非常重要的一部分工作是分析固件并確保維護最低基準、硬編碼純文本密碼�����、加密密鑰和后備賬戶不存在�。不局限于清單,并且使用自己的方法來評估固件��。
4.物聯(lián)網設備網絡服務安全測試
對設備網絡服務進行安全評估,以發(fā)現(xiàn)網絡服務中的潛在漏洞���,例如:重放攻擊��、無有效載荷驗證���、未加密服務、各種注入以及提供可行的緩解建議�����。
5. 物聯(lián)網云網絡安全測試
對云服務執(zhí)行安全測試����。云 API 可用于與物聯(lián)網設備、傳感器進行交互�。使用 POC 來展示漏洞����,并提供工作建議來減輕漏洞。
6.無線協(xié)議安全評估
對無線協(xié)議進行安全測試����。對常見協(xié)議藍牙�����,BLE, ZigBee 等協(xié)議進行嗅探分析�����,重放攻擊等測試���,以保證協(xié)議傳輸?shù)陌踩浴?/span>
服務內容
由于 IoT 是一個十分復雜的系統(tǒng),一個復雜的 IoT 設備往往由云端����,硬件,固件�����,App�����,共有協(xié)議���,私有協(xié)議組成�����,所以��,針對 IoT的安全測試也是根據 IoT 的組成進行測試�,由于不同部分的測試方法不同,所以測試的內容可簡單整理分為如下:
物聯(lián)網滲透測試服務項1
(65 項)
物聯(lián)網滲透測試服務項2
(65 項)
服務優(yōu)勢
像黑客一樣思考
在用戶的授權下�����,模擬黑客對物聯(lián)網設備進行入侵嘗試�,幫助用戶理解黑客的突破點,比黑客更早發(fā)現(xiàn)問題����。
深入驗證漏洞
滲透測試服務將嘗試驗證每一個漏洞的真實威脅,同時幫助用戶真正理解漏洞的成因���,做到自主可控可防��。
專家團隊服務
每一次滲透測試都由安全專家手動實施,測試完成后,還會提出專業(yè)修復建議�,幫用戶真正解決安全問題。
服務流程
1.商務洽談 信息交互 進行整體分析
2.簽訂授權 制定方案
3.安全工程師進行滲透
4.滲透進度反饋
5.滲透測試報告輸出
6.漏洞修復驗證
來源:信睿網絡
在線咨詢
在線咨詢
0371-63319761