标准机构发布物联网安全测试指南
领先的行业标准社区发布了其首个物联网安全产品测试指南,以推动独立的基准测试和认证工作。
反恶意软件测试标准组织 ( AMTSO ) 表示,其《物联网安全产品测试指南》文档是根据测试人员和供应商的意见编写的。
AMTSO 董事会成员 Vlad Iliushin 认为这是一个目前服务不足的空间,这意味着用户对市场上产品的优缺点仍然没有足够的了解。
“物联网安全解决方案的测试与反恶意软件测试完全不同,因为它们需要保护企业和家庭中大量不同的智能设备,因此测试环境的设置可能具有挑战性,”他补充道。
“此外,由于智能设备大多主要在 Linux 上运行,因此测试人员必须使用这些设备容易受到攻击的特定威胁样本,以使他们的评估具有相关性。通过我们的指导方针,我们解决了这些特殊性,希望它们提供有价值的指导,为公平的物联网安全测试设定方向。”
物联网安全产品测试指南包括以下六个关键部分:
一般原则:所有测试和基准测试都应侧重于验证所提供保护的最终结果和性能,而不是产品在后端的运行方式。因此,指南建议,只要结果相同,就不应在使用机器学习或制造商使用说明等产品的产品之间进行评级差异。
样品选择:该指南为针对物联网安全解决方案基准测试选择正确样本的挑战提供了指导。对于相关测试,测试人员需要选择仍处于活动状态且实际针对智能设备运行的操作系统的样本。该指南还建议,理想情况下,样本可以分为工业和非工业,进一步分为操作系统、CPU 架构和严重性评分。
确定“检测”:在检测和采取的措施方面,物联网安全解决方案与传统网络安全产品的工作方式大不相同,例如,一些解决方案将简单地检测和阻止威胁而不通知用户。该指南建议将威胁与可由测试人员控制的管理控制台一起使用,或者使用在进行攻击时可以看到攻击的设备。另一种选择是通过网络嗅探观察设备“受到攻击”。
测试环境:在理想情况下,所有测试和基准测试都将在使用真实设备的可控环境中执行。但是,设置可能很复杂,如果测试人员决定不在测试环境中使用真实设备,建议他们通过在禁用安全设备的安全功能的情况下运行所需的场景并检查攻击执行来验证他们的方法和成功。该指南还就使用 Raspberry Pi 等真实设备的替代品来模仿真实的物联网设备以及创建定制的物联网恶意软件样本(如 Mirai)提供建议,以测试从未见过的恶意软件。
测试特定的安全功能:指南包含针对不同攻击阶段的建议,包括侦察、初始访问和执行。他们概述了单独测试每个阶段与同时经历整个攻击的可能性。对此的选择应记录在测试方法中。此外,指南建议将平台无关测试视为当今许多威胁针对多种架构,并可用于物联网和非物联网设备等。
性能基准测试:指南还提供了有关性能基准测试的注意事项,例如建议区分各种用例,例如消费者与企业,或延迟的严重性或每个协议的吞吐量降低,这取决于其目的。
Vulcan Cyber的高级技术工程师 Mike Parkin认为物联网设备很难修补,这意味着它们依赖外部安全工具来帮助保护攻击面。
通过 AMTSO 的指导方针,组织可以更好地了解哪些工具最有效且最适合他们的环境。
这遵循反恶意软件、反病毒和防火墙的各种其他测试标准。新标准在实践中的有效性还有待观察,但这是一个很好的起点。
物联网安全产品测试指南、其他指南和标准文档可在以下网址下载:
https ://www.amtso.org/documents/
上列文件无法访问下载关注回复 20220905 获取
关于 AMTSO:
AMTSO 是网络安全行业的测试标准社区,由来自世界各地的 60 多家安全和测试成员公司组成。该组织为反恶意软件测试和其他网络安全产品评估的客观标准和最佳实践提供知识共享和协作平台。AMTSO 标准提高了网络安全测试的标准,有助于提高行业的公平性,并为寻求最佳数字保护的消费者和企业创造透明度。
标准机构发布物联网安全测试指南相关推荐
- 全球零碳产业园标准率先发布;黑芝麻智能与江汽集团战略合作 | 美通企业日报...
美通社要闻摘要: 全球"零碳产业园"标准率先发布.黑芝麻智能与江汽集团达成战略合作.Hyundai Bioscience向美国FDA申请猴痘治疗药物快速通道资格.礼来公司计划投资2 ...
- 天旦发布“数据驱动决策”实践指南,推进数字化转型
上海2018年9月5日电 /美通社/ -- 近日,天旦就"数字化转型罗盘"的第二维度 -- "决策转型"发布 "数据驱动决策实践指南".在数 ...
- 面向智慧城市的物联网技术应用指南(全文)
物联网的发展不但是信息技术的一大变革,对未来智慧城市的建设及发展也起着难以估量的作用.在智慧城市建设当中,物联网是其中的一项关键技术,它关系到市政管理智能化.农业园林智能化.医疗智能化.楼宇智能化.交 ...
- 《安富莱嵌入式周报》第278期:基于RUST编程语言RTOS,固态继电器芯片,微软发布物联网组件框架,支持多款蜂窝,LoRa和WiFi芯片工业物联网4.0书籍
往期周报汇总地址:嵌入式周报 - uCOS & uCGUI & emWin & embOS & TouchGFX & ThreadX - 硬汉嵌入式论坛 - P ...
- 普通话书籍计算机辅助,计算机辅助普通话水平测试指南
普通话是汉民族的共同语,是规范化的现代汉语.普通话水平测试是推广普通话工作的重要组成部分,普通话水平测试工作的健康开展必将对社会的语言生活产生深远影响. 宁夏作为中国西北区域一个少数民族地区,进行普通 ...
- 《安全测试指南》——配置管理测试【学习笔记】
配置管理测试 1.网路和基础设置配置测试(OTG-CONFIG-001) 测试方法:已知服务器漏洞(APache.IIS等).略. 2.应用平台配置测试(OTG-CONFIG-002) 测试方法: a ...
- 美国国土安全部发布物联网安全最佳实践
美国国土安全部(DHS)最近发布了其<物联网安全策略原则>.其中包含6条不具约束力的指导性原则,旨在为设计.制造和部署联网设备提供安全.里面引用了一句话:"物联网以最大化安全最小 ...
- 易宝典文章——用ISA 2006标准版发布Exchange 2010的OWA系列之生成Exchange证书申请文件...
现在我们可以进入发布OWA流程了.首先需要为Exchange Server生成一张新的受信任证书,与Exchange 2007不同的是,Exchange 2010的证书申请文件是在EMC中完成的,而不 ...
- 中国电信CTWing物联网平台接入指南(一)之开发流程
近期研究了下电信NB设备接入平台这一块,整理下电信的物联网平台的接入开发的流程,仅作为经验分享,流程梳理之用,不足之处欢迎指正. 中国电信CTWing物联网平台接入指南(一)之开发流程 中国电信CTW ...
最新文章
- option 82与DHCP中继代理
- 蓝牙通话之HFP协议
- win8.1怎么安装iis
- pandorabox php7,【恐惧交响4之潘多拉】ProjectSAM Symphobia 4 Pandora v1.0.7
- mysql创建数据库并且指定utf-8编码
- 一种监控全部账户登陆及操作命令的方法
- SAP Spartacus Unit List Component的设计明细 - UnitListComponent
- 「北京」京东 JD.COM 招聘中/高级前端工程师
- Linux磁盘读写速率测试
- linux文件被覆盖如何恢复_在Linux下误删文件后恢复
- element ui 菜单右侧展开_Elementui Vue 菜单固定展开的问题
- JavaScript-DOM(2)
- PostgreSQL的notify 与listen (一)
- 高等数学(第七版)同济大学 习题3-4 个人解答(前8题)
- CC1101接口库在STM32上的移植
- 达梦数据库dm8使用心得
- 庖丁解牛 - 图解MySQL 8.0优化器查询解析篇
- php 将格式化时间转化为时间戳 以及数据库中将格式化时间转化为时间戳
- QT自定义Widget实现鼠标拖动窗口移动位置及鼠标拖拽窗口边缘窗口大小改变
- 2074:【21CSPJ普及组】分糖果(candy)