|
安全始于產品開發 為什么圍繞物聯網設備存在如此多的安全問題,我們可以采取哪些簡單的步驟來提高這些設備的安全性?我相信這些問題的答案在于產品開發的各個階段。 項目有許多階段,根據所遵循的方法(例如,瀑布式、螺旋式或敏捷),這些階段可能包括各種需求、分析、設計、編碼、實施、測試、部署和維護。在每個發展階段都有機會加強安全。 那么,一個項目如何有助于保護我們的家庭網絡以及我們在咖啡館、機場和整個社會中偶然發現的更廣泛的網絡,以抵御來自不安全的物聯網設備的潛在威脅? 根據Networkworld.com 的說法,增強物聯網安全所需的一些步驟是確保對源代碼進行了充分的安全測試,實施了安全訪問控制,并遵循了正確的安全標準級別。簡單但經常被遺忘的技術,例如網絡隔離,對限制風險大有幫助。 我認為安全的責任在于兩個不同的領域: 制造商:物聯網設備制造商需要在項目的核心提供內置安全的便利性,并遵循“設計安全”的方法。他們確保在進入市場之前,已經針對應用程序/固件代碼進行了以下安全測試。 最終用戶——無論消費者是企業用戶還是家庭用戶,安全預防措施都不能只限于制造商。(另請閱讀:直接來自專家:如何使用工作場所物聯網來限制風險。) 代碼的安全測試 可以想象,應用程序或固件中的代碼量可能相差很大,從幾行代碼到幾千行代碼不等。因此,在此級別執行手動代碼審查是不經濟的,并且會消耗大量人力資源。 手動測試 手動測試涉及代碼審查、同行代碼審查或傳遞。這些技術是有意識地、系統地召集其他程序員一起檢查彼此的代碼是否有錯誤的行為,并且已反復證明可以加速和簡化軟件開發過程。 第二雙眼睛是要求兩個人批準某事才能采取行動。四眼原則有時被稱為兩人規則或兩人規則,符合雙重控制的安全實踐。 自動化測試 1、自動化測試主動加快安全測試的整個過程,并通過靜態(白盒)應用程序或動態(黑盒)方法完成。 靜態應用程序安全測試 (SAST),也稱為“白盒測試”,已經存在十多年了。它允許開發人員在軟件開發生命周期的早期發現應用程序源代碼中的安全漏洞。 2、動態應用程序安全測試 (DAST)是一種黑盒測試方法,它在應用程序運行時對其進行檢查,以發現攻擊者可以利用的漏洞。 自動化測試可確保根據合規性要求進行測試,例如美國國家標準技術研究院 (NIST)、健康保險流通與責任法案 (HIPPA)和支付卡行業數據安全標準 (PCI- DSS)。 安全掃描可發現OWASP IoT Top 10 中列出的漏洞,包括: 1、弱、易于猜測或硬編碼的密碼。 2、缺乏安全的更新機制。 3、使用遺留組件。 3、隱私保護不足。 值得注意的是,從歷史上看,自動化代碼審查由于成本原因被排除在項目之外,或者只是沒有被視為一項要求。 |
