IoT:n ja yhdistettyjen laitteiden yleistyessä organisaatioiden on keskityttävä sulautettujen järjestelmiensä turvallisuuteen.
Vaikka monet organisaatiot tekevät säännöllistä hakemusta ja verkon läpäisytestaus, he unohtavat usein arvioida yhdistettyjen laitteiden haavoittuvuuksia. Sulautettu kynätestaus analysoi yhdistetyt laitteet, mukaan lukien IoT-tuotteet, mahdollisten heikkouksien varalta.
Jean-Georges Valle kirjoitti, että auttaakseen turvatiimejä ja kiinnostuneita henkilöitä suorittamaan asianmukaisia upotettuja kynätestejä Käytännön laitteiston testaus. Vallen uran aikana hän on työskennellyt sulautettujen kynätestausten, tietoturva-arkkitehtuurin ja riskienhallinta. Hän toimii tällä hetkellä kyberriskejä ja rahoituspalveluita tarjoavan Krollin varatoimitusjohtajana.
Kirja, joka on parhaillaan toisessa painoksessa, opettaa lukijoille, kuinka käyttää loukkaavia tekniikoita sulautettujen laitteiden haavoittuvuuksien ja heikkouksien testaamiseksi.
Vaikka tavoite on sama kuin ohjelmiston kynätestaus, se on erilainen kokemus testaajalle. "Se on käytännön toimintaa", Valle sanoi. "Olet fyysisessä vuorovaikutuksessa laitteiden kanssa: juotat, avaat osia ja käännät fyysistä laitetta takaisin."
Haastattelussa Valle keskusteli sulautettujen järjestelmien turvallisuuden haasteista, sulautetun kynätestauksesta ja siitä, miten hän suorittaa kynätestin.
Toimittajan huomautus: Seuraava haastattelu on muokattu selvyyden ja pituuden vuoksi.
Mikä on suurin heikkous sulautettujen järjestelmien tietoturvassa, joka organisaatioiden on otettava paremmin huomioon?
Jean-Georges Valle: Suurin heikkous on, että sulautettuja järjestelmiä ei koskaan ole olemassa yksinään. Ne ovat aina vuorovaikutuksessa jonkin taustapään ja muiden palvelujen kanssa jossain pilvessä. Ongelmana on, että näitä sulautettuja järjestelmiä ja laitteita pidetään yleensä täysin luotettavina eikä hyökkäysvektorina.
Tämä ajattelutapa ei ole ollenkaan totta, olen havainnut ja olen pahoillani. Hyökkääjät voivat hyödyntää sulautettuja laitteita ja järjestelmiä hyökkäysväylänä organisaation IT-infrastruktuuriin ja lähteä sieltä. Tämän sulautettuja laitteita koskevan virheellisen luottamuksen vuoksi tavallinen vähiten etuoikeuksien periaatteita, karkaisu, segmentointi jne. unohtuvat. Organisaatiot voivat jättää huomioimatta sulautetut laitteet ja niiden mahdolliset haavoittuvuudet. Tämä avaa ne yleisille hyökkäysvektoreille, kuten komentojen lisäykselle, tai johtaa sulautettuihin laitteisiin, joilla on pääsy salaisuuksiin, kuten API-avaimet, jota hyökkääjät voivat sitten käyttää syvemmälle IT-infrastruktuuriin.
Oletko huomannut viimeaikaisia tunnustuksia organisaatioilta IoT:n ja vastaavien laitteiden turvallisuuden parantamisesta?
Valle: Vähän, mutta tämä johtuu suurelta osin siitä, että Euroopan unioni on hillinnyt sulautettujen järjestelmien turvallisuutta. EU asetti tämäntyyppisiä laitteita koskevia oikeudellisia rajoituksia vuoden 2022 ehdotuksessaan Cyber Resilience Act. Laki asettaa turvallisuuden perusviivat, joita kytkettyjen laitteiden on täytettävä tai ne eivät saa CE-merkintää, mikä tarkoittaa käytännössä sitä, että et voi myydä Euroopan talousalueella. Koska teollisuudella ei ollut kannustimia sulautettujen laitteiden lujittamiseen, sääntelijöiden oli ryhdyttävä toimenpiteisiin.
Liian usein myyjät kohtelevat digitaalisia tuotteita eri tavalla kuin useimmat muut teollisuudenalat ja kieltäytyvät ottamasta vastuuta tietoturvahäiriöiden jälkeen. Jos esimerkiksi käyt kaupassa ostamassa omenapiirakkaa ja saat myrkytyksen, kyseisen ruoan valmistaja on vastuussa. Tämä ei todellakaan ole toiminut digitaalisissa tuotteissa, mutta se on muuttumassa sääntelyn näkökulmasta, mikä on hyvä asia. Nyt, jos valmistaja myy haavoittuvan digitaalisen tuotteen, hänet voidaan asettaa vastuuseen. Tämä saa valmistajat harkitsemaan tuotteitaan uudelleen ja keskittymään vähemmän halpojen ja turvattomien kytkettyjen laitteiden tarjoamiseen.
Onko sulautetun kynätestauksen tavoite sama kuin perinteisen verkko- tai sovelluskynätestauksen tavoite?
Valle: Kyllä. On tavallista löytää ja kertoa valmistajille laitteidensa ongelmista ja auttaa heitä hallitsemaan omia riskejään. Loppujen lopuksi se on sama tavoite auttaa riskienhallinnassa, olitpa sitten kynätestauksessa autoa, teollista PLC:tä [ohjelmoitava logiikkaohjain], IoT-tuotetta tai verkkosivustoa. Se, että IoT-laitteet eivät ensisilmäyksellä selvästikään ole tietokoneita, koska ne eivät ole laatikko vilkkuvilla LEDeillä, ei tarkoita, että ne eivät tarvitse testausta auttaakseen valmistajaa tai organisaatiota ottamaan riskinsä vastuulleen. He haluavat silti tietää riskeistä, joille he ovat alttiina.
Tuntuuko sinusta, että organisaatiot harkitsevat nykyään sulautettua kynätestausta vai unohdetaanko se usein?
Valle: Onneksi se on yhä vähemmän jälki-ajattelua, varsinkin yrityksille, jotka ovat kypsiä tietoturvan elinkaaren hallinnassa. He ymmärtävät olevansa IoT-laitteiden vaarassa ja että säädökset ovat tulossa, erityisesti EU:ssa. Muut maat tulevat perässä ajoissa ja vaativat erityisesti valmistajia varmistamaan, etteivät heidän kytketyt laitteet ole turvallisuusriskejä.
Historiallisesti sulautetut järjestelmät on tuotettu kustannusten alentamiseksi, eikä riskienhallintaa juurikaan mietitty. Valmistajat olivat enemmän huolissaan kilpailemisesta jatkuvasti laskevia hintoja vastaan eivätkä katsoneet tuotteitaan turvallisuuden ja riskinhallinnan prisman kautta kovin pitkään. Turvallisuus sijoittuisi heidän prioriteettiluettelossaan kolmanneksi, neljänneksi tai viidenneksi, mutta heidän mentaliteettinsa alkaa muuttua. Mutta se ei ole päälle/pois-kytkin, joten ajattelutavan muuttaminen vie aikaa.
Mikä on upotetun kynätestauksen vaikein osa?
Valle: Jokainen lähestymäsi tuote ja laite on lumihiutale; ne ovat kaikki erilaisia. Minulle tämä on sekä vaikein että palkitsevin osa. Kun tarkastelet verkko- ja sovelluskynätestausta, sinulla on paljon yleisempiä ohjelmistoja ja jaettua teknologiaa, joita testaat ja tutkit. Esimerkiksi 90 prosentissa kynätestaamistasi yritysympäristöistä on Windows-käyttöjärjestelmä ja ne käyttävät sovelluksia, kuten Active Directory ja VMware [työpöytähypervisor].
Tämä ei välttämättä pidä paikkaansa sulautetuissa järjestelmissä. Sinulla on paljon erilaisia IoT-toimittajia, ja ne kaikki käyttävät eri fyysisiä komponentteja laitteilleen erikoistuneiden laitteidensa ja järjestelmiensä luomiseen. Tämä tekee kynätestaajien asioista vaikeaa, koska heidän on käytävä läpi erilaisia laitteistoekosysteemejä ja erilaisia IoT-käyttöjärjestelmiä ja räätälöityjä ohjelmistoja.
Sulautetut läpäisytestaajat tarvitsevat erityisen ajattelutavan menestyäkseen. Heidän on oltava uteliaita kohtaamiensa laitteiden suhteen ja oltava valmiita oppimaan ja lukemaan paljon dokumentaatiota.
Tästä pidän sulautetussa kynätestauksessa, koska et koskaan kyllästy ja koet saman testausprosessin kuin ohjelmistokynätestauksessa. Sinulla on todellakin oltava hakkerihenkeä, etkä odota valitsevasi vain valintaruutuja luettelossa, kun käyt läpi kynätestin.
Mitä yleisiä toimenpiteitä on suoritettava sulautetun kynän testauksen aikana?
Valle: Jokainen sulautettujen läpäisevyyden testauskokemus on erilainen. Minulla on kuitenkin tyypillinen lähestymistapa, jonka voin selittää. Aloitan yleensä avaamalla laitteen ja yritän tunnistaa kaikki sen käyttämät komponentit ja niiden toiminnallisuus. Selvitän, mihin tiedot tallennetaan laitteelle, ja määritän, mitä koodia käytetään, jotta kaikki toimisi. Siitä lähtien aloitan yleensä koko laitteen käänteissuunnittelun ja yritän linkittää laitteen digitaaliset toiminnot jokaiseen laitteistokomponenttiin.
Sulautettu läpäisytestaus vaatii terveen annoksen kokemusta liitettyjen laitteiden todella selvittämiseksi ja haavoittuvuuksien ja heikkouksien poistamiseksi. On olemassa yleisiä hyökkäysvektoreita, joihin kynätestaajat oppivat kohdistamaan ajan mittaan – alhaalla roikkuvat hedelmät he voivat hyökätä nopeita voittoja vastaan. IoT-laitteissa tämä sisältää virheenkorjausporttien tutkimisen, sarjaliitäntöjen paljastamisen ja laitteessa käytettyjen sirujen tarkastelun. Sieltä kynätestaajat voivat pistää ja työntää tallennussiruja.
Sulautetut laitteet ovat loppujen lopuksi edelleen tietokoneita, ja niissä on samat perustoiminnot, kuten tallennus, muisti ja tietoliikennelinjat. Komponentit voivat olla erikoistuneempia, mutta laite on silti tietokone.
Mitä organisaation tulee tehdä sulautetun kynätestin jälkeen?
Valle: Priorisoi tunkeutumistestin kautta löydettyjen haavoittuvuuksien ja heikkouksien korjaaminen. Organisaatioilla on yleensä rajoitettu budjetti turvallisuusongelmien ratkaisemiseen; on viisasta keskittyä haavoittuvuuksiin, jotka ovat erittäin paljaita ja erittäin helppoja ratkaista. Organisaatioilla on korjauskuluja ratkaistavaksi ja ne on selvitettävä riskienhallintastrategia joka toimii heille parhaiten. Todellakin, se on sama prosessi, jonka mikä tahansa organisaatio käy läpi minkä tahansa muun kynätestin jälkeen – kyse on riskienhallinnasta.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
- BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
- Lähde: https://www.techtarget.com/searchsecurity/feature/Adopt-embedded-penetration-testing-to-keep-IoT-devices-secure
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 2022
- a
- Meistä
- Hyväksyä
- pääsy
- Tili
- poikki
- Toimia
- aktiivinen
- Active Directory
- toiminta
- osoite
- käsitellään
- hyväksyä
- Hyväksyminen
- Jälkeen
- vastaan
- Kaikki
- aina
- an
- analyysit
- ja
- Kaikki
- omena
- Hakemus
- sovellukset
- lähestymistapa
- arkkitehtuuri
- OVAT
- ALUE
- noin
- AS
- ulkomuoto
- At
- hyökkäys
- takaisin
- perustiedot
- BE
- koska
- tulossa
- ollut
- alkaa
- PARAS
- Paremmin
- Suurimmat
- kirja
- Kyllästynyt
- sekä
- Laatikko
- laatikot
- talousarvio
- mutta
- Ostetaan
- by
- CAN
- ei voi
- auto
- Ura
- haasteet
- muuttaa
- muuttuviin
- halpa
- tarkastaa
- sirut
- selkeys
- klassinen
- pilvi
- koodi
- Tulla
- tulee
- tuleva
- Yhteinen
- Viestintä
- Yritykset
- kilpailevien
- noudatettava
- komponentti
- osat
- tietokone
- tietokoneet
- Suorittaa
- johtavat
- toimintatapoja,
- kytketty
- kytketyt laitteet
- Harkita
- harkittu
- alituisesti
- rajoitteet
- konsultointi
- ohjain
- Hinta
- kustannusten vähentäminen
- kustannukset
- maahan
- luoda
- utelias
- Tällä hetkellä
- Erikoisvalmisteinen
- cyber
- kyberriski
- tiedot
- päivä
- syvempää
- pöytä-
- Määrittää
- laite
- Laitteet
- eri
- vaikea
- DIG
- digitaalinen
- löysi
- keskusteltiin
- do
- dokumentointi
- doesnt
- Don
- annos
- alas
- kaksi
- aikana
- kukin
- helppo
- Taloudellinen
- ekosysteemit
- muokattu
- painos
- tehokkaasti
- upotettu
- loppu
- varmistaa
- yritys
- ympäristöissä
- erityisesti
- laatii
- jne.
- Eetteri (ETH)
- EU
- Eurooppa
- Eurooppalainen
- Euroopan unioni
- arvioida
- Joka
- kaikki
- tutkii
- esimerkki
- olla
- odottaa
- experience
- Selittää
- avoin
- Falling
- viallinen
- tuntea
- viides
- Kuva
- taloudellinen
- rahoituspalvelut
- Löytää
- Etunimi
- Keskittää
- seurata
- jälkeen
- ruoka
- varten
- unohdettu
- löytyi
- Neljäs
- alkaen
- täysin
- toiminto
- toiminnallisuudet
- toiminnallisuus
- yleensä
- saada
- tietty
- silmäys
- Go
- tavoite
- menee
- hyvä
- Kasvava
- hakkeri
- HAD
- Palvelimet
- Olla
- ottaa
- he
- terve
- sankari
- auttaa
- auttaa
- Miten
- Miten
- Kuitenkin
- HTTPS
- i
- ajatus
- tunnistaa
- if
- parantaminen
- in
- kannustin
- sisältää
- Mukaan lukien
- henkilöt
- teollinen
- teollisuuden
- teollisuus
- Infrastruktuuri
- turvaton
- olla vuorovaikutuksessa
- vuorovaikutuksessa
- kiinnostunut
- rajapinnat
- Haastatella
- tulee
- käyttöön
- Esineiden internet
- ei laitteita
- ISN
- kysymykset
- IT
- SEN
- jpg
- vain
- Pitää
- Tietää
- Lack
- suureksi osaksi
- OPPIA
- vähiten
- juridinen
- Pituus
- vähemmän
- antaa
- Vaikutusvalta
- vastuu
- elinkaari
- pitää
- rajallinen
- linjat
- LINK
- Lista
- vähän
- ll
- logiikka
- Pitkät
- pitkä aika
- katso
- näköinen
- Erä
- tehdä
- TEE
- hoitaa
- johto
- Valmistaja
- Valmistajat
- monet
- merkki
- kypsä
- Saattaa..
- me
- tarkoittaa
- välineet
- Muisti
- ehkä
- ajattelutapa
- lisää
- eniten
- paljon
- täytyy
- välttämättä
- Tarve
- verkko
- ei ikinä
- huomata
- nyt
- of
- hyökkäys
- usein
- on
- avaaminen
- avautuu
- or
- organisaatio
- organisaatioiden
- OS
- Muut
- ulos
- yli
- oma
- omistus
- osa
- osat
- polku
- tunkeutuminen
- näkökulma
- fyysinen
- fyysisesti
- Platon
- Platonin tietotieto
- PlatonData
- PLC
- Söhiä
- portit
- mahdollinen
- Käytännön
- valmis
- puheenjohtaja
- Hinnat
- Asettaa etusijalle
- Ongelma
- ongelmia
- prosessi
- valmistettu
- Tuotteet
- Tuotteemme
- asianmukainen
- ehdotus
- tarjoamalla
- nopea
- RE
- Lue
- lukijoita
- ymmärtää
- ihan oikeesti
- äskettäinen
- tunnustaminen
- vähentäminen
- suhteen
- säännöllinen
- määräykset
- määräykset ovat
- Säätimet
- sääntelyn
- Vaatii
- kimmoisuus
- tulokset
- antoisa
- Riski
- riskienhallinta
- riskit
- s
- Said
- sama
- sanoa
- Toinen
- turvallinen
- turvallisuus
- turvallisuusriskit
- koska
- jakautuminen
- Myydään
- Sells
- vanhempi
- sarja
- palvelee
- Palvelut
- yhteinen
- shouldnt
- samankaltainen
- So
- Tuotteemme
- SOLVE
- jonkin verran
- jotain
- jonnekin
- erikoistunut
- erityinen
- henki
- Alkaa
- Aloita
- Vaihe
- Askeleet
- Yhä
- Levytila
- verkkokaupasta
- tallennettu
- onnistunut
- niin
- Vaihtaa
- järjestelmät
- T
- ottaa
- vie
- Kohde
- tiimit
- tekniikat
- Elektroniikka
- testi
- testaajat
- Testaus
- kuin
- että
- -
- heidän
- Niitä
- sitten
- Siellä.
- Nämä
- ne
- asia
- asiat
- kolmas
- tätä
- ne
- ajatus
- Kautta
- aika
- että
- tänään
- kohti
- kohdella
- totta
- Luottamus
- luotettu
- yrittää
- tyypit
- tyypillinen
- liitto
- käyttää
- käytetty
- käyttötarkoituksiin
- yleensä
- Ve
- myyjät
- hyvin
- pahe
- Varapresidentti
- vMware
- haavoittuvuuksia
- Haavoittuva
- haluta
- ei ollut
- heikkous
- heikkouksia
- Verkkosivu
- HYVIN
- olivat
- Mitä
- kun
- onko
- joka
- koko
- tulee
- ikkunat
- Voitot
- VIISAS
- with
- työskenteli
- toimii
- huolestunut
- olisi
- kirjoitti
- Joo
- te
- zephyrnet