با پذیرش رو به رشد اینترنت اشیا و دستگاه های متصل، سازمان ها باید بر امنیت سیستم های تعبیه شده خود تمرکز کنند.
در حالی که بسیاری از سازمان ها به طور منظم برنامه و تست نفوذ شبکه، اغلب فراموش می کنند دستگاه های متصل را از نظر آسیب پذیری ارزیابی کنند. تست قلم تعبیه شده دستگاه های متصل، از جمله محصولات اینترنت اشیا را برای نقاط ضعف احتمالی تجزیه و تحلیل می کند.
Jean-Georges Valle نوشت: برای کمک به تیم های امنیتی و افراد علاقه مند در انجام آزمایش قلم جاسازی شده مناسب تست عملی سخت افزار. During Valle’s career, he has worked in embedded pen testing, security architecture and مدیریت ریسک. او در حال حاضر به عنوان معاون ارشد در Kroll، یک مشاور ریسک سایبری و خدمات مالی، خدمت می کند.
این کتاب که در حال حاضر در چاپ دوم خود است، به خوانندگان می آموزد که چگونه تکنیک های تهاجمی را برای آزمایش دستگاه های تعبیه شده برای آسیب پذیری ها و نقاط ضعف انجام دهند.
در حالی که هدف همان است تست قلم نرم افزاری, it’s a different experience for the tester. “It’s a practical activity,” Valle said. “You’re physically interacting with the devices: You’re soldering, opening up parts and reverse-engineering a physical device.”
واله در مصاحبهای درباره چالشهای امنیت سیستمهای جاسازی شده، تست قلم تعبیهشده و نحوه انجام تست قلم صحبت کرد.
یادداشت سردبیر: مصاحبه زیر برای وضوح و طولانی بودن ویرایش شده است.
What’s the biggest weakness when it comes to embedded systems security that organizations need to better account for?
Jean-Georges Valle: بزرگترین ضعف این است که سیستم های تعبیه شده هرگز به تنهایی وجود ندارند. آنها همیشه با چیزی در قسمت پشتی و با سایر خدمات در جایی در ابر تعامل دارند. مشکل از آنجاست که این سیستمها و دستگاههای تعبیهشده عموماً کاملاً قابل اعتماد و نه یک بردار حمله در نظر گرفته میشوند.
This mindset is not at all true, I’ve found and I’m sorry to say. Attackers can leverage embedded devices and systems as an attack pathway into an organization’s IT infrastructure and go from there. Due to this faulty idea of trust regarding embedded devices, the usual اصول کمترین امتیاز, سخت شدن، تقسیم بندی و غیره فراموش می شوند. سازمان ها ممکن است دستگاه های تعبیه شده و آسیب پذیری های بالقوه آنها را نادیده بگیرند. این آنها را به روی بردارهای حمله رایج مانند تزریق فرمان باز می کند یا منجر به دسترسی دستگاه های جاسازی شده به اسرار می شود، مانند کلیدهای API، که مهاجمان می توانند از آن برای حفاری عمیق تر در زیرساخت های فناوری اطلاعات استفاده کنند.
آیا متوجه شناخت اخیر سازمان ها در مورد بهبود امنیت اینترنت اشیا و دستگاه های مشابه شده اید؟
واله: کمی، اما این تا حد زیادی به دلیل سرکوب امنیت سیستم های تعبیه شده توسط اتحادیه اروپا است. اتحادیه اروپا در یک پیشنهاد در سال 2022 محدودیت های قانونی را برای این نوع دستگاه ها معرفی کرد قانون تاب آوری سایبری. The act establishes security baselines that connected devices must comply with or they don’t get the CE marking, which effectively means you cannot sell in the Europe Economic Area. Due to a lack of industry incentive to harden embedded devices, regulators had to step in and start cracking down.
Too often, vendors treat digital products differently than most other industries and refuse to accept any liability following security incidents. For example, if you go to the store and buy an apple pie and get poisoned, the manufacturer of that food item is liable. This isn’t really how it has worked for digital products, but that’s changing from a regulatory perspective, which is a good thing. Now, if a manufacturer sells a vulnerable digital product, they can be held liable. This makes manufacturers rethink their products and focus less on providing cheap and insecure connected devices.
آیا هدف از تست قلم تعبیه شده با تست قلم کلاسیک شبکه یا اپلیکیشن یکی است؟
Valle: Yes. It’s commonplace to find and let manufacturers know about the problems with their devices and help them manage their own risks. In the end, it’s all the same goal for helping with risk management, whether you’re pen testing a car, industrial PLC [programmable logic controller], an IoT product or a website. Just because IoT devices aren’t obviously a computer at first glance because they aren’t a box with blinking LEDs doesn’t mean they don’t need testing to help a manufacturer or organization take ownership of their risks. They still want to know about the risks they’re exposed to.
آیا احساس میکنید که امروزه سازمانها به آزمایش قلم تعبیهشده فکر میکنند یا اغلب فراموش میشوند؟
Valle: Thankfully, it is becoming less and less of an afterthought, especially for companies that are mature in their security lifecycle management. They realize they are at risk from IoT devices and that regulations are coming, especially in the EU. Other countries will follow in time, requiring manufacturers, especially, to ensure their connected devices aren’t security risks.
Historically, embedded systems were produced with the goal of cost reduction, and risk management wasn’t given much thought. Manufacturers were more worried about competing against constantly falling prices and didn’t look at their products through the prism of security and risk management for a very long time. Security would come third, fourth or fifth in their list of priorities, but their mentality is starting to change. But it’s not an on/off switch, so it takes time to change their mindset.
سخت ترین جنبه تست قلم جاسازی شده چیست؟
Valle: Every product and device you approach is a snowflake; they’re all different. To me, this is both the most difficult aspect, as well as the most rewarding part. When you look at network and application pen testing, you have a lot more common software and shared technology that you’ll be testing and examining. For example, 90% of the enterprise environments you pen test will have a Windows OS and use applications such as Active Directory and VMware [desktop hypervisor].
This isn’t necessarily true for embedded systems. You have a lot of different IoT vendors, and they all use different physical components for their devices to create their specialized devices and systems. This makes things difficult for pen testers because they have to go through varied hardware ecosystems and different IoT OSes and custom-built software.
تسترهای نفوذ جاسازی شده برای موفقیت نیاز به طرز فکر خاصی دارند. آنها باید در مورد وسایلی که با آنها برخورد می کنند کنجکاو باشند و آماده باشند تا بسیاری از اسناد را یاد بگیرند و بخوانند.
That’s what I like about embedded pen testing because you never get bored and experience the same testing process as you might for software pen testing. You really need to have that hacker spirit and not expect to just check boxes on a list when going through a pen test.
هنگام انجام آزمایش قلم جاسازی شده چه اقداماتی را باید انجام داد؟
Valle: Every embedded penetration testing experience is different. I do have a typical approach I can explain, however. I usually begin by opening the device up and try to identify all the different components it uses and their functionality. I’ll figure out where data gets stored on the device and determine what code gets used to make everything function. From there, I’ll usually start to reverse-engineer the whole device and try to link digital functionalities of the device to each hardware component.
Embedded penetration testing requires a healthy dose of experience to really figure out connected devices and tease out those vulnerabilities and weaknesses. There are common attack vectors that pen testers will learn to target over time — low-hanging fruit they can attack for quick wins. In IoT devices, this will include examining the debug ports, seeing what the serial interfaces are exposing and looking over the chips used in the device. From there, pen testers can poke and prod the storage chips.
در نهایت، دستگاههای تعبیهشده همچنان رایانه هستند و همان عملکردهای اولیه مانند ذخیرهسازی، حافظه و خطوط ارتباطی را دارند. ممکن است قطعات تخصصی تر باشند، اما دستگاه همچنان یک کامپیوتر است.
یک سازمان پس از آزمون قلم تعبیه شده چه باید بکند؟
Valle: Prioritize addressing the vulnerabilities and weaknesses discovered through the penetration test. Organizations usually have a limited budget for addressing security issues; it’s wise to focus on vulnerabilities that are very exposed and very easy to solve. Organizations have remediation costs to address and need to figure out the استراتژی مدیریت ریسک that works best for them. Really, it’s the same process that any organization will go through following any other pen test — it’s all about risk management.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- ChartPrime. بازی معاملاتی خود را با ChartPrime ارتقا دهید. دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.techtarget.com/searchsecurity/feature/Adopt-embedded-penetration-testing-to-keep-IoT-devices-secure
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 2022
- a
- درباره ما
- پذیرفتن
- دسترسی
- حساب
- در میان
- عمل
- فعال
- اکتیو دایرکتوری
- فعالیت
- نشانی
- خطاب به
- اتخاذ
- اتخاذ
- پس از
- در برابر
- معرفی
- همیشه
- an
- تجزیه و تحلیل
- و
- هر
- اپل
- کاربرد
- برنامه های کاربردی
- روش
- معماری
- هستند
- محدوده
- دور و بر
- AS
- ظاهر
- At
- حمله
- به عقب
- اساسی
- BE
- زیرا
- تبدیل شدن به
- بوده
- شروع
- بهترین
- بهتر
- بزرگترین
- کتاب
- بی حوصله
- هر دو
- جعبه
- جعبه
- بودجه
- اما
- خرید
- by
- CAN
- نمی توان
- ماشین
- کاریابی
- چالش ها
- تغییر دادن
- متغیر
- ارزان
- بررسی
- چیپس
- وضوح
- کلاسیک
- ابر
- رمز
- بیا
- می آید
- آینده
- مشترک
- ارتباط
- شرکت
- رقابت
- مطابق
- جزء
- اجزاء
- کامپیوتر
- کامپیوتر
- رفتار
- انجام
- هدایت می کند
- متصل
- دستگاه های متصل
- در نظر بگیرید
- در نظر گرفته
- به طور مداوم
- محدودیت ها
- مشاوره
- کنترل کننده
- هزینه
- کاهش هزینه
- هزینه
- کشور
- ایجاد
- کنجکاو
- در حال حاضر
- سفارشی
- سایبر
- خطر سایبری
- داده ها
- روز
- عمیق تر
- دسکتاپ
- مشخص کردن
- دستگاه
- دستگاه ها
- مختلف
- مشکل
- DIG
- دیجیتال
- کشف
- بحث کردیم
- do
- مستندات
- ندارد
- دان
- مقدار
- پایین
- دو
- در طی
- هر
- ساده
- اقتصادی
- اکوسیستم
- edited,en
- چاپ
- به طور موثر
- جاسازی شده
- پایان
- اطمینان حاصل شود
- سرمایه گذاری
- محیط
- به خصوص
- ایجاد می کند
- و غیره
- اتر (ETH)
- EU
- اروپا
- اروپایی
- اتحادیه اروپا
- ارزیابی
- هر
- همه چیز
- در حال بررسی
- مثال
- وجود داشته باشد
- انتظار
- تجربه
- توضیح دهید
- قرار گرفتن در معرض
- سقوط
- معیوب
- احساس
- پنجم
- شکل
- مالی
- خدمات مالی
- پیدا کردن
- نام خانوادگی
- تمرکز
- به دنبال
- پیروی
- غذا
- برای
- فراموش
- یافت
- چهارم
- از جانب
- کاملا
- تابع
- ویژگی های
- قابلیت
- عموما
- دریافت کنید
- داده
- نگاه
- Go
- هدف
- رفتن
- خوب
- در حال رشد
- هکر
- بود
- سخت افزار
- آیا
- داشتن
- he
- سالم
- برگزار شد
- کمک
- کمک
- چگونه
- چگونه
- اما
- HTTPS
- i
- اندیشه
- شناسایی
- if
- بهبود
- in
- انگیزه
- شامل
- از جمله
- افراد
- صنعتی
- لوازم
- صنعت
- شالوده
- ناامن
- تعامل
- تعامل
- علاقه مند
- رابط
- مصاحبه
- به
- معرفی
- اینترنت اشیا
- دستگاه های iot
- نیست
- مسائل
- IT
- ITS
- JPG
- تنها
- نگاه داشتن
- دانستن
- عدم
- تا حد زیادی
- یاد گرفتن
- کمترین
- قانونی
- طول
- کمتر
- اجازه
- قدرت نفوذ
- بدهی
- wifecycwe
- پسندیدن
- محدود شده
- خطوط
- ارتباط دادن
- فهرست
- کوچک
- ll
- منطق
- طولانی
- مدت زمان طولانی
- نگاه کنيد
- به دنبال
- خیلی
- ساخت
- باعث می شود
- مدیریت
- مدیریت
- سازنده
- تولید کنندگان
- بسیاری
- علامت گذاری
- بالغ
- ممکن است..
- me
- متوسط
- به معنی
- حافظه
- قدرت
- ذهنیت
- بیش
- اکثر
- بسیار
- باید
- لزوما
- نیاز
- شبکه
- هرگز
- توجه داشته باشید
- اکنون
- of
- توهین آمیز
- غالبا
- on
- افتتاح
- باز می شود
- or
- کدام سازمان ها
- سازمان های
- OS
- دیگر
- خارج
- روی
- خود
- مالکیت
- بخش
- بخش
- مسیر
- نفوذ
- چشم انداز
- فیزیکی
- از نظر جسمی
- افلاطون
- هوش داده افلاطون
- PlatoData
- PLC
- بهم زدن
- بنادر
- پتانسیل
- عملی
- آماده شده
- رئيس جمهور
- قیمت
- اولویت بندی
- مشکل
- مشکلات
- روند
- ساخته
- محصول
- محصولات
- مناسب
- طرح پیشنهادی
- ارائه
- سریع
- RE
- خواندن
- خوانندگان
- تحقق بخشیدن
- واقعا
- اخیر
- به رسمیت شناختن
- کاهش
- با توجه
- منظم
- مقررات
- مقررات هستند
- رگولاتور
- تنظیم کننده
- نیاز
- حالت ارتجاعی
- نتایج
- پاداش
- خطر
- مدیریت ریسک
- خطرات
- s
- سعید
- همان
- گفتن
- دوم
- امن
- تیم امنیت لاتاری
- خطرات امنیتی
- مشاهده
- تقسیم بندی
- فروش
- فروش
- ارشد
- سریال
- خدمت
- خدمات
- به اشتراک گذاشته شده
- باید
- مشابه
- So
- نرم افزار
- حل
- برخی از
- چیزی
- یک جایی
- تخصصی
- خاص
- روح
- شروع
- راه افتادن
- گام
- مراحل
- هنوز
- ذخیره سازی
- opbevare
- ذخیره شده
- موفق
- چنین
- گزینه
- سیستم های
- T
- گرفتن
- طول می کشد
- هدف
- تیم ها
- تکنیک
- پیشرفته
- آزمون
- تسترها
- تست
- نسبت به
- که
- La
- شان
- آنها
- سپس
- آنجا.
- اینها
- آنها
- چیز
- اشیاء
- سوم
- این
- کسانی که
- فکر
- از طریق
- زمان
- به
- امروز
- طرف
- درمان
- درست
- اعتماد
- مورد اعتماد
- امتحان
- انواع
- نوعی
- اتحادیه
- استفاده کنید
- استفاده
- استفاده
- معمولا
- Ve
- فروشندگان
- بسیار
- معاون
- معاون رئیس جمهور
- آموزش VMware
- آسیب پذیری ها
- آسیب پذیر
- می خواهم
- نبود
- ضعف
- نقاط ضعف
- سایت اینترنتی
- خوب
- بود
- چی
- چه زمانی
- چه
- که
- تمام
- اراده
- پنجره
- برنده
- WISE
- با
- مشغول به کار
- با این نسخهها کار
- نگران
- خواهد بود
- نوشت
- بله
- شما
- زفیرنت