|
安全始于产品开发
为什么围绕物联网设备存在如此多的安全问题,我们可以采取哪些简单的步骤来提高这些设备的安全性?我相信这些问题的答案在于产品开发的各个阶段。
项目有许多阶段,根据所遵循的方法(例如,瀑布式、螺旋式或敏捷),这些阶段可能包括各种需求、分析、设计、编码、实施、测试、部署和维护。在每个发展阶段都有机会加强安全。
那么,一个项目如何有助于保护我们的家庭网络以及我们在咖啡馆、机场和整个社会中偶然发现的更广泛的网络,以抵御来自不安全的物联网设备的潜在威胁?
根据Networkworld.com 的说法,增强物联网安全所需的一些步骤是确保对源代码进行了充分的安全测试,实施了安全访问控制,并遵循了正确的安全标准级别。简单但经常被遗忘的技术,例如网络隔离,对限制风险大有帮助。
我认为安全的责任在于两个不同的领域:
制造商:物联网设备制造商需要在项目的核心提供内置安全的便利性,并遵循“设计安全”的方法。他们确保在进入市场之前,已经针对应用程序/固件代码进行了以下安全测试。
最终用户——无论消费者是企业用户还是家庭用户,安全预防措施都不能只限于制造商。(另请阅读:直接来自专家:如何使用工作场所物联网来限制风险。)
代码的安全测试
可以想象,应用程序或固件中的代码量可能相差很大,从几行代码到几千行代码不等。因此,在此级别执行手动代码审查是不经济的,并且会消耗大量人力资源。
手动测试
手动测试涉及代码审查、同行代码审查或传递。这些技术是有意识地、系统地召集其他程序员一起检查彼此的代码是否有错误的行为,并且已反复证明可以加速和简化软件开发过程。
第二双眼睛是要求两个人批准某事才能采取行动。四眼原则有时被称为两人规则或两人规则,符合双重控制的安全实践。
自动化测试
1、自动化测试主动加快安全测试的整个过程,并通过静态(白盒)应用程序或动态(黑盒)方法完成。
静态应用程序安全测试 (SAST),也称为“白盒测试”,已经存在十多年了。它允许开发人员在软件开发生命周期的早期发现应用程序源代码中的安全漏洞。
2、动态应用程序安全测试 (DAST)是一种黑盒测试方法,它在应用程序运行时对其进行检查,以发现攻击者可以利用的漏洞。
自动化测试可确保根据合规性要求进行测试,例如美国国家标准技术研究院 (NIST)、健康保险流通与责任法案 (HIPPA)和支付卡行业数据安全标准 (PCI- DSS)。
安全扫描可发现OWASP IoT Top 10 中列出的漏洞,包括:
1、弱、易于猜测或硬编码的密码。
2、缺乏安全的更新机制。
3、使用遗留组件。
3、隐私保护不足。
值得注意的是,从历史上看,自动化代码审查由于成本原因被排除在项目之外,或者只是没有被视为一项要求。
|