内容简介:学习如何避免物联网设备的设计缺陷。
学习如何避免物联网设备的设计缺陷。
作者 | Ed Adams
译者 | 谭开朗,责编 | 屠敏
出品 | CSDN(ID:CSDNnews)
以下为译文:
现如今,我们都知道物联网设备已渗透于现代互联时代中。然而,我们仍需努力,要了解物理网设备是如何受到攻击的,弱点在哪里,以及如何采取基于风险的方法来保护它们。
物联网之前的设备就仅仅是设备。它们借助于代码来运行,并且是为特定功能而设计的。现在,所有这些设备都是相互连接的,并通过中央控制系统和服务进行相互通信,由此成倍地增加了受攻击面。
让我们先看看物联网系统的漏洞往往出现在哪里:
-
设备层面 ——一些IT领导者坚持认为,如果他们能够将攻击者挡在网络之外,他们就不必担心单个设备的安全性。但是将攻击者挡在网络之外几乎是不可能的,特别是当您接受单个恶意雇员、承包商、供应商或客户时,这都有可能成为内部黑客。当恶意软件能够跨越系统之间的鸿沟时,即使是空隙系统也很容易受到攻击,比如著名的Stuxnet病毒。
-
软件层面 ——物联网设备最大的攻击面是运行在设备及其通信服务器上的软件。物联网组织可能会借鉴软件业的做法,强调在设计、实现和部署的所有阶段进行持续的软件测试。最负责任的软件公司还通过在编写代码之前对开发人员、测试人员和工程师进行适当的培训来确保应用程序的安全性。
在部署新的(或增强现有的)物联网系统时,其安全性与功能性同等重要。考虑到这一点,安全需求和系统漏洞应该在需求、体系结构和设计阶段完整地记录下来。
对于物联网设备,架构阶段是划分硬件和软件功能的阶段。对于整个物联网系统,这可能是确定外部安全服务的地方,如验证码、证书服务或其他形式的双因素认证。除了详细说明物联网系统如何满足需求外,这里还定义了各种与安全相关的支持参数,例如参数化的用户id、设备id、密码、令牌、证书、登录时间和访问权限。
下面是需要考虑到的高层问题的概要。它并不是一个全面的清单,而是帮您思考用户和设备的功能与风险。
用户访问
用户如何访问物联网系统?
-
他们可以直接登录云账户或物联网设备吗?
-
是否有支持访问的移动应用程序?
-
有哪些身份验证机制?
用户的分类是什么?这些分类将会影响到可获得的资源和服务。
-
哪些用户可以访问哪些资源和服务?
-
谁可以修改信息?
-
每个用户角色可以使用哪些特性和功能?
每个用户需要做什么安全检查?
-
应该使用密码或pin码吗?
-
是否应提供电子令牌或证书?
-
也许可以将动态验证码考虑在内,以确定一个实际的人是否正在访问物联网系统?
设备访问
什么类型的设备可以连接到系统?与用户访问一样,确定扩展到这些外部设备的访问类型。
-
他们能查询信息吗?
-
它们能控制某些特定的属性和功能吗?
-
允许移动设备访问?
-
允许使用哪些诊断工具?
-
外部基于云的系统或以前未知的/新的物联网设备呢?
设备如何连接到物联网系统?
-
无线?
-
网线?
-
互联网/ IP ?
什么是设备分类?
-
用户可以更改信息吗?
-
它们能控制某些特定的属性和功能吗?
-
他们能授予其他用户或设备访问系统的权限吗?
-
他们能查询信息吗?
对于每个外部设备,需要哪种类型的安全检查?
-
是否应提供电子令牌或证书?
-
软件狗应该是物理连接的吗?
-
它们如何与用户访问相关联?
如果能确保以上问题在设计过程中就得到了恰当的处理,那么将会成倍地降低风险。
原文:https://dzone.com/articles/avoiding-iot-design-flaws
本文为 CSDN 翻译,转载请注明来源出处。
【End】
热 文推 荐
☞Python 最抢手、 Java 最流行、 Go 最有前途,7000 位 程序员 揭秘 2019 软件开发现状
☞ Google 员工公开 Windows 10 零日漏洞隐藏 Bug!
☞第二! 他排中本聪与V神中间, 单靠文字就“打败”了敲代码的程序员!
点击阅读原文,输入关键词,即可搜索您想要的 CSDN 文章。。
你点的每个“在看”,我都认真当成了喜欢
以上所述就是小编给大家介绍的《频遭黑客攻击的物联网,这里有妙招!》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 【得得分析】EOS沦为“博彩”公链,开发者频遭黑客攻击
- JavaScript 太糟糕,JVM 有妙招!
- 如何提高机器学习项目的准确性?我们有妙招!
- 别说停车管理难!这套智慧场景应用方案有妙招 | 智慧产品圈
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
SCWCD Exam Study Kit Second Edition
Hanumant Deshmukh、Jignesh Malavia、Matthew Scarpino / Manning Publications / 2005-05-20 / USD 49.95
Aimed at helping Java developers, Servlet/JSP developers, and J2EE developers pass the Sun Certified Web Component Developer Exam (SCWCD 310-081), this study guide covers all aspects of the Servlet an......一起来看看 《SCWCD Exam Study Kit Second Edition》 这本书的介绍吧!