频遭黑客攻击的物联网,这里有妙招!
学习如何避免物联网设备的设计缺陷。
作者 | Ed Adams
译者 | 谭开朗,责编 | 屠敏
出品 | CSDN(ID:CSDNnews)
以下为译文:
现如今,我们都知道物联网设备已渗透于现代互联时代中。然而,我们仍需努力,要了解物理网设备是如何受到攻击的,弱点在哪里,以及如何采取基于风险的方法来保护它们。
物联网之前的设备就仅仅是设备。它们借助于代码来运行,并且是为特定功能而设计的。现在,所有这些设备都是相互连接的,并通过中央控制系统和服务进行相互通信,由此成倍地增加了受攻击面。
让我们先看看物联网系统的漏洞往往出现在哪里:
设备层面——一些IT领导者坚持认为,如果他们能够将攻击者挡在网络之外,他们就不必担心单个设备的安全性。但是将攻击者挡在网络之外几乎是不可能的,特别是当您接受单个恶意雇员、承包商、供应商或客户时,这都有可能成为内部黑客。当恶意软件能够跨越系统之间的鸿沟时,即使是空隙系统也很容易受到攻击,比如著名的Stuxnet病毒。
软件层面——物联网设备最大的攻击面是运行在设备及其通信服务器上的软件。物联网组织可能会借鉴软件业的做法,强调在设计、实现和部署的所有阶段进行持续的软件测试。最负责任的软件公司还通过在编写代码之前对开发人员、测试人员和工程师进行适当的培训来确保应用程序的安全性。
在部署新的(或增强现有的)物联网系统时,其安全性与功能性同等重要。考虑到这一点,安全需求和系统漏洞应该在需求、体系结构和设计阶段完整地记录下来。
对于物联网设备,架构阶段是划分硬件和软件功能的阶段。对于整个物联网系统,这可能是确定外部安全服务的地方,如验证码、证书服务或其他形式的双因素认证。除了详细说明物联网系统如何满足需求外,这里还定义了各种与安全相关的支持参数,例如参数化的用户id、设备id、密码、令牌、证书、登录时间和访问权限。
下面是需要考虑到的高层问题的概要。它并不是一个全面的清单,而是帮您思考用户和设备的功能与风险。
用户访问
用户如何访问物联网系统?
他们可以直接登录云账户或物联网设备吗?
是否有支持访问的移动应用程序?
有哪些身份验证机制?
用户的分类是什么?这些分类将会影响到可获得的资源和服务。
哪些用户可以访问哪些资源和服务?
谁可以修改信息?
每个用户角色可以使用哪些特性和功能?
每个用户需要做什么安全检查?
应该使用密码或pin码吗?
是否应提供电子令牌或证书?
也许可以将动态验证码考虑在内,以确定一个实际的人是否正在访问物联网系统?
设备访问
什么类型的设备可以连接到系统?与用户访问一样,确定扩展到这些外部设备的访问类型。
他们能查询信息吗?
它们能控制某些特定的属性和功能吗?
允许移动设备访问?
允许使用哪些诊断工具?
外部基于云的系统或以前未知的/新的物联网设备呢?
设备如何连接到物联网系统?
无线?
网线?
互联网/ IP ?
什么是设备分类?
用户可以更改信息吗?
它们能控制某些特定的属性和功能吗?
他们能授予其他用户或设备访问系统的权限吗?
他们能查询信息吗?
对于每个外部设备,需要哪种类型的安全检查?
是否应提供电子令牌或证书?
软件狗应该是物理连接的吗?
它们如何与用户访问相关联?
如果能确保以上问题在设计过程中就得到了恰当的处理,那么将会成倍地降低风险。
原文:https://dzone.com/articles/avoiding-iot-design-flaws
本文为 CSDN 翻译,转载请注明来源出处。
看完就懂!这样学python最高效
https://edu.csdn.net/topic/python115?utm_source=csdn_bw
【End】
热 文 推 荐
5G 时代连接 70 亿人,安全如何保障?
☞Python 最抢手、Java 最流行、Go 最有前途,7000 位程序员揭秘 2019 软件开发现状
Google 员工公开 Windows 10 零日漏洞隐藏 Bug!
不是码农,不会敲代码的她,却最懂程序员!| 人物志
10分钟读懂什么是容器云?
第二! 他排中本聪与V神中间, 单靠文字就“打败”了敲代码的程序员!
不让华为收专利费?美议员提案“秀下限”
直播写代码|英伟达工程师亲授如何加速YOLO目标检测
她说:程序员离开电脑就是 “废物” !
点击阅读原文,输入关键词,即可搜索您想要的 CSDN 文章。。
你点的每个“在看”,我都认真当成了喜欢
频遭黑客攻击的物联网,这里有妙招!相关推荐
- 频遭黑客攻击 现货交易平台抗风险能力是否合格?
商通社了解到,近期多家现货交易平台向旗下会员及投资者发布公告称,由于不明黑客攻击,公司网站及系统需要进一步维护,投资者出入金等暂时无法操作,预计将在最短时间内完成维护,请谅解. 通过进一步了解,这些交 ...
- 物联网会成为黑客攻击的目标,智慧城市如何才安全?
香港如何在与数据相关的智慧城市趋势中取得成功?东盟国家虽然受益于快速的经济发展,但它们也面临着因城市人口增加而导致的住房,环境和公共安全问题.他们希望通过智慧城市解决方案解决这些问题.另一方面,英国, ...
- DHS测试使用区块链跟踪跨境人口和商品 防止黑客攻击物联网设备
据报道,美国国土安全部(DHS)正在测试使用区块链技术来保护美国入境口岸(包括边境和机场)的摄像头和其他设备,目的在于更好地检测和阻止入侵者尝试劫持这些设备和操作这些设备收集的数据. 美国和墨西哥边境 ...
- 全球最易受黑客攻击的国家:中国排第五
据国外媒体报道,信息安全公司Rapid7近期制作了一张名为"易受攻击国家指数"的互联网热区图,公布了最易遭受黑客攻击的国家排名.Rapid7扫描了互联网上所有可访问的服务器. Ra ...
- 面对黑客攻击,京东数科WAF建设这样做!
随着互联网的高速发展,Web应用越来越为丰富,但Web服务器以其强大的计算能力.处理性能及蕴含的较高价值逐渐成为主要攻击目标.SQL注入.网页篡改.网页挂马等安全事件,频繁发生.因此WAF应运而生. ...
- 细数十七种黑客攻击手段,简直防不胜防!
细数十七种黑客攻击手段,简直防不胜防! 如今,智能设备与互联网更迭迅速,用户和企业受到网络攻击的风险和频率也越来越高.网络环境危险不断逼近,因此,我们一定要有安全观念,尽量让黑客没有可乘之机. 那么黑 ...
- 细数十七种黑客攻击手段,简直防不胜防
福利:[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享 !] 如今,智能设备与互联网更迭迅速,用户和企业受到网络攻击的风险和频率也越来越高.网络环境危险不断逼近,因此,我们一定要有 ...
- 2017 八大黑客攻击事件,这一年网络安全的世界血雨腥风
编者按:岁末年终,CNN 发表了一个< 2017 年置我们于危险之中的那些黑客事件>的报道,盘点了 2017 年发生的一些重大黑客事件.一年就要过去了,雷锋网也回顾了一下对这些事件的报道, ...
- 360数科发布1月信息安全动态:“8看”妙招防范钓鱼诈骗攻击
近日,360数科信息安全小组在内部<信息安全月刊>披露1月公司信息安全治理最新数据:捕获诈骗风险12万条,拦截风险借款39次,提醒用户268万次.与此同时,信息安全小组预警近期高发的钓鱼邮 ...
最新文章
- 简单看看PageHelper的配置
- 华为程序员频交Linux内核补丁遭质疑,管理员后续回应:承认贡献,但请不要琐碎提交...
- 组态王中时间存access怎么存,组态王通过Access数据库起始截止日期查询方法
- 概率论-2.4 常用离散分布(待补充期望方差证明)
- 人工玻璃体-技术指标汇总(持续更新中)
- 小米游戏手柄pc插件_在电视上玩电脑游戏
- (数据库系统概论|王珊)第三章关系数据库标准语言SQL-第二、三节:数据定义
- matlab 非线性电感,基于Matlab/Simulink利用动态和静态电感等磁参数建立了一种开关磁阻电机的非线性磁参数模型...
- js限制input输入
- 关于使用J-Flash直接烧录bin文件的方法
- 三合一DNC(发那科Fanuc 三菱Mitsubishi 兄弟brother),(上传,下发,删除)NC程序
- 平安云:2019年云综合收入13.2亿元,云上吃紧会更好
- 邮件个性签名html,iphone发邮件添加个性签名方法
- 相邻数对和Python学习---多维缩减
- 人工智能方面有什么创业项目_人工智能创业有哪些项目,其商机前景介绍
- Jmeter接口测试之断言详解
- FPGA PROM烧写
- 福建师范大学 “挑战杯”校赛金银奖分析文档
- 今天遭到鄙视了。突然感觉自己昏昏沉沉的过日子 究竟不是个事 自己得努力了!~!
- 二目运算符是什么意思?
热门文章
- [VNC] 云服务器 Ubuntu 18.04 安装 Xfce4 桌面并配置 VNC
- 目标检测数据集制作常用脚本集合
- [Python]爬拉钩(Python职位)
- 【图像处理】参数维纳滤波(Parametric Wiener Filter)
- Material Design基础
- 农场管理软件行业调研报告 - 市场现状分析与发展前景预测
- 跌落式封隔器行业调研报告 - 市场现状分析与发展前景预测(2021-2027年)
- Java 获取项目文件路径
- kaggle比赛语言java_Kaggle调查:2018年数据科学家最常用(和最推荐)的编程语言榜单...
- mysql root 登录权限管理_MySQL基础教程(7)MySQL用户与权限管理