在过去的几年中,基于IoT设备不断上涨的数量、为业务提供的便利性、自身的易用性以及为信息安全带来的潜在风险等诸多因素,IoT设备赢得了广泛关注。由而对IoT和互联网越来越高的依赖度使得人们不由地对人身安全、隐私安全与信息安全产生了担忧。同时,IoT设备几乎已经用在所有行业领域,如消费、娱乐业、工商业、医疗业、工业、能源业以及制造业等领域。但是,过往案例已经证明了无论是消费者还是将IoT技术商用的厂商和开发者,都难以采取有效的方式来确保设备安全。
新潮信息针对物联网设备进行安全检测,测试对象包括设备Web端、设备固件、网关、传感器、云托管平台、移动设备、Wifi、Zigbee、蓝牙协议同等通信协议。
无论是否出现攻击事件,对应用、网络和设备开展安全测试、查找其中隐藏的漏洞对于保障互联网安全都是至关重要的。物联网渗透测试方法的选择都取决于能够提供给测试人员的信息。理想情况下,一次全面的测试应该包括整个IoT系统及其基础设施,而不仅仅是IoT设备本身,但考虑到成本与技术能力,现实中的通常只针对IoT系统中的某个子集开展测试。
由于黑盒测试成本相对较低,因此黑盒测试是最为常见的测试方法。黑盒测试是在不了解设备所采用的技术原理或实现方式的情况下进行的测试。通常情况下,公司会采用黑盒测试方法进行风险评估。
如果测试厂商能够提供源代码、网络拓扑图、架构图、数据流图以及其他目标设备所采用技术的详细信息,那么此时开展的测试即白盒测试。通常来说,预先能够向测试人员提供的目标设备或应用的信息越多,测试效果就会越好。白盒测试的成本相对较高,但能够确保对设备的安全控制措施及其实现情况进行更加全面、彻底的筛查。
相对于被测机构内部人员而言,如果测试人员对被测系统的了解有限,仅能获取到被测系统的部分信息,那么此时所开展的测试即灰盒测试。在灰盒测试过程中,测试人员通常只知道所用到的应用程序栈和库文件,但是没有关于API的详细文档。