渗透测试很像将殴打RAM带到堡垒的门上。继续冲击,也许找到一个秘密的后门进入。但是,如果堡垒在堡垒之外,会发生什么?随着物联网的载体,与许多设备和终点相比,对钢笔测试难以进行吗?
帕洛阿尔托网络公司42单元首席安全研究员克劳德·肖(claude Xiao)表示,如果只是用黑盒的方式在物联网设备上测试一些网络服务,其难度级别和步骤与常规的笔测试类似。但如果您是通过分析固件或分析无线通信(如蓝牙或ZigBee)来发现漏洞,那就困难得多了。
“由于物联网设备和嵌入式Linux系统的设计和实现过程中无处不在的多样性,上述每一步都可能失败。即使发现了安全漏洞,也需要一些额外的知识来编写可行的攻击代码。”
笔测试物联网的好处包括加强设备安全,防止未经授权的使用,避免特权的提升,降低妥协的风险,更好的用户和数据隐私,并设置强大的加密加密,以避免中间人(MTM)攻击。
Whitehat安全威胁研究中心的移动安全经理Don Green也同意,由于有更多的硬件,软件和通信协议,因此IOT评估本质上是更复杂的。“这转化为较大的攻击表面和更广泛的攻击载体。成功的物联网评估要求特定物联网设备的电子生态系统彻底映射,并开发了详细的评估计划,“他说。
他说,虽然物联网本身没有引入新技术,但它为开发人员和安全团队引入了更复杂的环境。了解环境的复杂性、充分研究组件以及制定全面的评估计划是确保物联网安全的关键。
ZingBox首席安全工程师Daniel Regalado表示,当你专注于物联网时,挑战是不同的,也更困难。“你要处理不同的架构、操作系统、通信协议等。这与渗透测试器面对的传统网络完全不同。”
大多数攻击都是通过引诱终端用户打开电子邮件或点击恶意链接开始的,但在物联网世界中则不同。这些设备背后没有终端用户。他说,因此,没有人可以引诱,这使得闯入嵌入式设备变得更有挑战性(像默认凭证或纯文本登录协议,如telnet等低挂的果实不被认为是挑战,因此在渗透测试中超出范围)。
传统和非传统渗透测试的主要区别在于物联网的多样性。在传统的测试中,渗透测试人员通常要面对Windows或Linux x86/x64位系统、已知的TCP/UDP协议和应用程序。但是,当你切换到物联网时,你会拥有大多数渗透测试者不常见的新架构(ARM、MIPS、SuperH、PowerPC等)。不同的通信协议,如ZigBee、SDR(软件定义无线电)、BLE(蓝牙低能量)、NFC(近场通信),都需要新的专业知识和工具来测试它们。Regalado说,处理实时操作系统(这在输液泵中很常见)可能需要渗透测试人员从零开始创建新的工具来支持这种技术。传统的渗透测试人员可能会完全迷失在嵌入式设备和这些协议的漏洞中。
Dean Weber,CTO,Mocana表示,IOC笔测试是一种基于知识的方法,与本土和商业工具混合在一起实现目标 - 但仅在设备级别。他说:“上面是一层,它是有风险的IOT系统,”他说。
今天,大多数物联网/工业物联网渗透测试人员要么是从网络渗透测试迁移过来的,要么参与了工业测试,并将渗透测试添加到他们的产品组合中。“这不会永远持续下去,你将会看到诸如nmap工业协议在每个人的手中,虽然最终套件像Metasploit将包括一个全面的设备和协议库,可以设置为一个基线平台和网络在物联网/ IIoT空间。”
思博伦描述了IoT环境的组成,以便适当地评估攻击表面。IOT环境主要包括包括以下组件:
- 网络:物联网环境在网络上运行并通过网络进行更新,如Internet、BLE、4G、LTE、Zigbee、LoRA、WiFi、MQTT、802.11.15.4等。
- 应用程序:IOT应用程序管理设备 - Web应用程序,移动应用程序,并且它们可以是Web应用程序,移动应用程序或API(SOAP,REST))。
- 固件:这是设备的软件和操作系统。
- 加密-:加密保护存储在设备上的通信和数据。
- 硬件:这是物联网设备硬件(芯片,如芯片组、存储存储、JTAG、UART端口、传感器、摄像头等)端口、传感器、摄像头或其他设备。
“通过操作IOT解决方案所需的五个级别功能,您可以看到庞大的威胁曲面。这就是为什么IOT设备的渗透测试应该包括网络,应用程序,固件,加密分析和硬件笔测试。单一的笔试验是不够的,“思博伦西斯思想思路的高级总监阿尔德迪克斯说。
NSS实验室战略副总裁Mike Spanbauer说,物联网时代的笔测试需要更多非传统设备操作系统、通信和协议的知识——连接电视、摄像头、智能建筑和其他资产不同于个人电脑和服务器。的技能和经验,如何利用数据路径工作之间的计算平台和物联网,然而正常运行时间规则的优先级不与它和所有的(至少在工业和商业物联网)改变了心态,和方法必须设计和评估系统的弱点。
“公司应避免在笔测试中”过度纠正“到IOT设备的超专注。请记住,许多这些设备实际上是由伴随云帐户,管理机构和PC的常规'攻击表面的“PC”,APPS和服务器的常规'攻击面的其他方面的弱点损害。“
那些希望调查物联网漏洞的人也将在现有的笔空间非常熟练,因为许多这些设备拥有Windows或Linux监控或管理应用程序,也必须经过彻底的笔测试。
他说:“由于监控和计算元件的分布式特性,在物联网中很难确定离散元件的概念。”
Spanbauer说,任何笔测练习的主要挑战是,它能及时发现漏洞,而现实是it环境在不断变化——“特别是”由于物联网的影响。组织必须准备并采用持续验证模型,其中除了漏洞扫描、协议检查等之外,还对关键服务和设备的行为异常进行监视。
他说:“没有什么能替代基于背景的智能,它只能来自了解你的环境,并持续监测和验证它。”
Rapid7的Reseal Heiland Reseal Lead7,说什么可以使笔测试IOT更多问题是当IoT组件分别接近时。如果单独测试,则无法考虑测试仪在产品生态系统内的组件的相互作用。这可能会导致忽视的关键安全问题。为避免这种情况,必须设置完全运行的物联网产品生态系统并在操作上测试以映射零件之间的所有交互。
Praetorian首席执行官Nathan Sportsman表示,当涉及到嵌入式设备(“物联网”)的安全性时,许多公司倾向于依赖原始设备制造商提供的保证。如果他们进行自己的审查,审查的范围通常是有限的,通常包括有限的安全评估和漏洞扫描。
步骤是什么?
Synopsys Software Integrity Group的副首席顾问Larry Trowell表示,为了测试物联网设备,你必须从所有其他安全测试实践中获得良好的技能组合,加上一些嵌入式设备特有的技能:
- 测试人员必须精通网络安全,以确定正在使用的协议以及可能存在风险的信息。
- 测试人员必须擅长正常的网络测试,以了解设备上基于网络的配置界面是否存在弱点。
- 测试人员必须精通嵌入式工程和usi。Ng工程工具查找和后门测试接口
- 测试人员必须擅长测试晦涩的操作系统实例。虽然这些设备中有很大一部分将运行Linux的某些变体,但也有许多运行QNX、VXworks、嵌入式Windows,有时还运行自定义的一次性操作系统。
- 测试仪必须擅长来自提取的固件的逆向工程和分解应用程序。一些设备,不会有一个操作系统,并将直线运行在金属上。对于这些测试,测试仪必须完全逆向工程应用程序,以确定它是否容易攻击。
物联网解决方案笔测试包括对网络、API和应用程序的测试。如果物联网环境可以通过互联网或无线网络访问,这可以远程完成。迪克西特说,对于硬件、加密和Wi-Fi笔测试,设备在实验室连接,并分析逻辑和物理安全弱点。
肖说,你可能需要解构设备,识别硬件调试接口或存储芯片,通过不同的硬件黑客技术转储固件。然后您需要分析固件并从中提取内部可执行文件和配置。最后,您将反转可执行文件并发现它们的安全缺陷。
绿色描述了微观和宏观水平的过程。他说,映射发生在宏观中,然后是微观水平。从宏观角度来看,映射需要广度来包含参与该生态系统功能的所有设备和组件。“这意味着一切。所有设备,所有通信和所有软件组件,“他说。
在微观层面,必须了解每个组件的深度和潜在的弱点。什么样的硬件,什么样的固件,什么样的通信,什么软件语言,第三方附加组件是什么?他说,这需要重大研究,以了解各个组件和弱势在组件的相互作用中的弱点。
“通过这种综合地图武装,评估员有一个蓝图,可以开发评估计划,并从黑客工具箱中选择合适的工具。此时,测试仪已完成所需的重型升降。他们了解IOT设备,它函数的景观,并开发了一个全面的评估计划,包括该工作的特定工具。现在有趣的部分开始了。执行您的评估计划和黑客该设备!“绿色说。
Regalado首先说,定义范围。其次,识别您所在的设备类型。IOT中的渗透测试涉及黑盒和白盒测试。黑箱测试中,黑客无法了解公司的网络。他是一个真正的黑客。黑匣子测试仪简单地赋予公司名称并告诉“去”。黑匣子测试仪必须找到IT资产并开始攻击它们。
在白盒测试中,公司向渗透测试人员提供更多信息,如访问系统的凭证、应用程序源代码、本地网络的访问等,目的是彻底评估其网络中的每一条路径。
在黑盒测试中,渗透测试人员发现的任何漏洞都将像真实世界中的黑客入侵一样。换句话说,如果渗透测试者可以通过一家公司的网站侵入本地网络,那么一个真正的黑客很可能也能做同样的事情,如果还没有这样做的话。
Ragalado表示,最重要的是,一些公司认为,通过黑盒测试,它们是安全的。然而,关键是要记住白盒方法将有助于理解攻击者能够做什么。
迪克西特表示,应用程序和网络需要定期扫描和笔测,物联网解决方案也应该遵循同样的安全习惯,因为它们是应用程序、网络和硬件的综合体。最低限度地,物联网解决方案应在每次更新/或发布时进行测试,以评估新发布对设备的影响,并测试自上次扫描或笔测以来可能出现的新漏洞。