频遭黑客攻击的物联网，这里有妙招！

学习如何避免物联网设备的设计缺陷。

作者 | Ed Adams

译者 | 谭开朗，责编 | 屠敏

出品 | CSDN（ID：CSDNnews）

以下为译文：

现如今，我们都知道物联网设备已渗透于现代互联时代中。然而，我们仍需努力，要了解物理网设备是如何受到攻击的，弱点在哪里，以及如何采取基于风险的方法来保护它们。

物联网之前的设备就仅仅是设备。它们借助于代码来运行，并且是为特定功能而设计的。现在，所有这些设备都是相互连接的，并通过中央控制系统和服务进行相互通信，由此成倍地增加了受攻击面。

让我们先看看物联网系统的漏洞往往出现在哪里:

• 设备层面 ——一些IT领导者坚持认为，如果他们能够将攻击者挡在网络之外，他们就不必担心单个设备的安全性。但是将攻击者挡在网络之外几乎是不可能的，特别是当您接受单个恶意雇员、承包商、供应商或客户时，这都有可能成为内部黑客。当恶意软件能够跨越系统之间的鸿沟时，即使是空隙系统也很容易受到攻击，比如著名的Stuxnet病毒。

• 软件层面 ——物联网设备最大的攻击面是运行在设备及其通信服务器上的软件。物联网组织可能会借鉴软件业的做法，强调在设计、实现和部署的所有阶段进行持续的软件测试。最负责任的软件公司还通过在编写代码之前对开发人员、测试人员和工程师进行适当的培训来确保应用程序的安全性。

在部署新的(或增强现有的)物联网系统时，其安全性与功能性同等重要。考虑到这一点，安全需求和系统漏洞应该在需求、体系结构和设计阶段完整地记录下来。

对于物联网设备，架构阶段是划分硬件和软件功能的阶段。对于整个物联网系统，这可能是确定外部安全服务的地方，如验证码、证书服务或其他形式的双因素认证。除了详细说明物联网系统如何满足需求外，这里还定义了各种与安全相关的支持参数，例如参数化的用户id、设备id、密码、令牌、证书、登录时间和访问权限。

下面是需要考虑到的高层问题的概要。它并不是一个全面的清单，而是帮您思考用户和设备的功能与风险。

用户访问

用户如何访问物联网系统?

• 他们可以直接登录云账户或物联网设备吗?

• 是否有支持访问的移动应用程序?

• 有哪些身份验证机制?

用户的分类是什么?这些分类将会影响到可获得的资源和服务。

• 哪些用户可以访问哪些资源和服务?

• 谁可以修改信息?

• 每个用户角色可以使用哪些特性和功能?

每个用户需要做什么安全检查?

• 应该使用密码或pin码吗?

• 是否应提供电子令牌或证书?

• 也许可以将动态验证码考虑在内，以确定一个实际的人是否正在访问物联网系统?

设备访问

什么类型的设备可以连接到系统?与用户访问一样，确定扩展到这些外部设备的访问类型。

• 他们能查询信息吗?

• 它们能控制某些特定的属性和功能吗?

• 允许移动设备访问?

• 允许使用哪些诊断工具?

• 外部基于云的系统或以前未知的/新的物联网设备呢?

设备如何连接到物联网系统?

• 无线?

• 网线?

• 互联网/ IP ?

什么是设备分类?

• 用户可以更改信息吗?

• 它们能控制某些特定的属性和功能吗?

• 他们能授予其他用户或设备访问系统的权限吗?

• 他们能查询信息吗?

对于每个外部设备，需要哪种类型的安全检查?

• 是否应提供电子令牌或证书?

• 软件狗应该是物理连接的吗?

• 它们如何与用户访问相关联?

如果能确保以上问题在设计过程中就得到了恰当的处理，那么将会成倍地降低风险。

原文：https://dzone.com/articles/avoiding-iot-design-flaws

本文为 CSDN 翻译，转载请注明来源出处。

【End】

 热 文推 荐 

☞5G 时代连接 70 亿人，安全如何保障？

☞Python 最抢手、 Java 最流行、 Go 最有前途，7000 位 程序员 揭秘 2019 软件开发现状

☞ Google 员工公开 Windows 10 零日漏洞隐藏 Bug！

☞不是码农，不会敲代码的她，却最懂程序员！| 人物志

☞10分钟读懂什么是容器云？

☞第二! 他排中本聪与V神中间, 单靠文字就“打败”了敲代码的程序员!

☞不让华为收专利费？美议员提案“秀下限”

☞直播写代码｜英伟达工程师亲授如何加速YOLO目标检测

☞她说：程序员离开电脑就是 “废物” ！

点击阅读原文，输入关键词，即可搜索您想要的 CSDN 文章。。

你点的每个“在看”，我都认真当成了喜欢