Language
Внедрите встроенное тестирование на проникновение, чтобы обеспечить безопасность устройств Интернета вещей.
ДомДом > Блог > Внедрите встроенное тестирование на проникновение, чтобы обеспечить безопасность устройств Интернета вещей.
ПОСЛЕДНИЕ НОВОСТИ

Внедрите встроенное тестирование на проникновение, чтобы обеспечить безопасность устройств Интернета вещей.

Aug 07, 2023

С ростом внедрения Интернета вещей и подключенных устройств организациям необходимо сосредоточиться на безопасности своих встроенных систем.

Хотя многие организации регулярно проводят тестирование приложений и сетей на проникновение, они часто забывают оценить подключенные устройства на наличие уязвимостей. Встроенное тестирование на проникновение анализирует подключенные устройства, включая продукты Интернета вещей, на наличие потенциальных слабых мест.

Чтобы помочь командам безопасности и заинтересованным лицам провести правильное встроенное тестирование на проникновение, Жан-Жорж Валле написал «Практическое тестирование аппаратного обеспечения». За свою карьеру Валле он занимался тестированием встроенных систем, архитектурой безопасности и управлением рисками. В настоящее время он занимает должность старшего вице-президента в Kroll, консалтинговой компании по киберрискам и финансовым услугам.

Книга, которая в настоящее время находится во втором издании, учит читателей, как использовать наступательные методы для проверки встроенных устройств на наличие уязвимостей и слабых мест.

Хотя цель та же, что и у тестирования программного обеспечения на проникновение, для тестировщика это другой опыт. «Это практическая деятельность», — сказал Валле. «Вы физически взаимодействуете с устройствами: вы паяете, открываете детали и проводите реверс-инжиниринг физического устройства».

В интервью Валле рассказал о проблемах безопасности встроенных систем, встроенном тестировании на проникновение и о том, как он проводит тест на проникновение.

Ознакомьтесь с отрывком из главы 10, в котором объясняется, как проводить динамическое обратное проектирование во время встроенного пен-тестирования.

Примечание редактора: следующее интервью было отредактировано для ясности и объема.

Какова самая большая слабость системы безопасности встроенных систем, которую организациям необходимо лучше учитывать?

Жан-Жорж Валле: Самая большая слабость заключается в том, что встроенные системы никогда не существуют сами по себе. Они всегда взаимодействуют с чем-то на сервере и с другими сервисами где-то в облаке. Проблема заключается в том, что эти встроенные системы и устройства обычно считаются полностью доверенными и не являются вектором атаки.

Я обнаружил, что такое мышление вовсе не соответствует действительности, и мне жаль это говорить. Злоумышленники могут использовать встроенные устройства и системы в качестве пути атаки на ИТ-инфраструктуру организации и действовать оттуда. Из-за этой ошибочной идеи доверия в отношении встроенных устройств забываются обычные принципы наименьших привилегий, усиления защиты, сегментации и т. д. Организации могут игнорировать встроенные устройства и их потенциальные уязвимости. Это открывает им доступ к распространенным векторам атак, таким как внедрение команд, или приводит к тому, что встроенные устройства получают доступ к секретам, таким как ключи API, которые злоумышленники затем могут использовать для более глубокого проникновения в ИТ-инфраструктуру.

Замечали ли вы недавнее признание со стороны организаций улучшения безопасности Интернета вещей и подобных устройств?

Валле: Немного, но во многом это связано с ужесточением Евросоюзом мер по обеспечению безопасности встроенных систем. ЕС ввел правовые ограничения в отношении этих типов устройств в предложении 2022 года по Закону о киберустойчивости. Закон устанавливает базовые уровни безопасности, которым должны соответствовать подключенные устройства, иначе они не получат маркировку CE, что фактически означает, что вы не сможете продавать их в Европейской экономической зоне. Из-за отсутствия у отрасли стимулов к усилению защиты встроенных устройств регулирующим органам пришлось вмешаться и начать ужесточать меры.

Слишком часто поставщики относятся к цифровым продуктам иначе, чем в большинстве других отраслей, и отказываются брать на себя какую-либо ответственность за инциденты, связанные с безопасностью. Например, если вы пойдете в магазин, купите яблочный пирог и отравитесь, ответственность будет нести производитель этого продукта. На самом деле это не так сработало с цифровыми продуктами, но ситуация меняется с точки зрения регулирования, и это хорошо. Теперь, если производитель продает уязвимый цифровой продукт, его можно привлечь к ответственности. Это заставляет производителей переосмысливать свою продукцию и меньше фокусироваться на выпуске дешевых и небезопасных подключенных устройств.

Является ли цель встроенного пен-тестирования такой же, как и классического пен-тестирования сети или приложения?

Валле: Да. Это обычное дело — находить и сообщать производителям о проблемах с их устройствами и помогать им управлять собственными рисками. В конце концов, цель — помощь в управлении рисками, независимо от того, тестируете ли вы автомобиль, промышленный ПЛК [программируемый логический контроллер], продукт Интернета вещей или веб-сайт. Тот факт, что устройства IoT на первый взгляд не являются компьютером, поскольку они не представляют собой коробку с мигающими светодиодами, не означает, что они не нуждаются в тестировании, чтобы помочь производителю или организации взять на себя ответственность за свои риски. Они по-прежнему хотят знать о рисках, которым они подвергаются.