物聯(lián)網(wǎng)應(yīng)用領(lǐng)域：物聯(lián)智能安全始于產(chǎn)品開發(fā)

一、物聯(lián)網(wǎng)應(yīng)用安全始于產(chǎn)品開發(fā)

為什么圍繞物聯(lián)網(wǎng)設(shè)備存在如此多的安全問題，我們可以采取哪些簡單的步驟來提高這些設(shè)備的安全性？我相信這些問題的答案在于產(chǎn)品開發(fā)的各個階段。

項目有許多階段，根據(jù)所遵循的方法（例如，瀑布式、螺旋式或敏捷），這些階段可能包括各種需求、分析、設(shè)計、編碼、實施、測試、部署和維護(hù)。在每個發(fā)展階段都有機(jī)會加強(qiáng)安全。

那么，一個項目如何有助于保護(hù)我們的家庭網(wǎng)絡(luò)以及我們在咖啡館、機(jī)場和整個社會中偶然發(fā)現(xiàn)的更廣泛的網(wǎng)絡(luò)，以抵御來自不安全的物聯(lián)網(wǎng)設(shè)備的潛在威脅？

根據(jù)Networkworld.com 的說法，增強(qiáng)物聯(lián)網(wǎng)安全所需的一些步驟是確保對源代碼進(jìn)行了充分的安全測試，實施了安全訪問控制，并遵循了正確的安全標(biāo)準(zhǔn)級別。簡單但經(jīng)常被遺忘的技術(shù)，例如網(wǎng)絡(luò)隔離，對限制風(fēng)險大有幫助。

小編認(rèn)為安全的責(zé)任在于兩個不同的領(lǐng)域：

制造商：物聯(lián)網(wǎng)設(shè)備制造商需要在項目的核心提供內(nèi)置安全的便利性，并遵循“設(shè)計安全”的方法。他們確保在進(jìn)入市場之前，已經(jīng)針對應(yīng)用程序/固件代碼進(jìn)行了以下安全測試。

最終用戶——無論消費者是企業(yè)用戶還是家庭用戶，安全預(yù)防措施都不能只限于制造商。（另請閱讀：直接來自專家：如何使用工作場所物聯(lián)網(wǎng)來限制風(fēng)險。）

二、物聯(lián)網(wǎng)應(yīng)用代碼的安全測試

可以想象，應(yīng)用程序或固件中的代碼量可能相差很大，從幾行代碼到幾千行代碼不等。因此，在此級別執(zhí)行手動代碼審查是不經(jīng)濟(jì)的，并且會消耗大量人力資源。

手動測試

手動測試涉及代碼審查、同行代碼審查或傳遞。這些技術(shù)是有意識地、系統(tǒng)地召集其他程序員一起檢查彼此的代碼是否有錯誤的行為，并且已反復(fù)證明可以加速和簡化軟件開發(fā)過程。

第二雙眼睛是要求兩個人批準(zhǔn)某事才能采取行動。四眼原則有時被稱為兩人規(guī)則或兩人規(guī)則，符合雙重控制的安全實踐。

三、物聯(lián)網(wǎng)應(yīng)用自動化測試

1、自動化測試主動加快安全測試的整個過程，并通過靜態(tài)（白盒）應(yīng)用程序或動態(tài)（黑盒）方法完成。

靜態(tài)應(yīng)用程序安全測試 (SAST)，也稱為“白盒測試”，已經(jīng)存在十多年了。它允許開發(fā)人員在軟件開發(fā)生命周期的早期發(fā)現(xiàn)應(yīng)用程序源代碼中的安全漏洞。

2、動態(tài)應(yīng)用程序安全測試 (DAST)是一種黑盒測試方法，它在應(yīng)用程序運行時對其進(jìn)行檢查，以發(fā)現(xiàn)攻擊者可以利用的漏洞。

自動化測試可確保根據(jù)合規(guī)性要求進(jìn)行測試，例如美國國家標(biāo)準(zhǔn)技術(shù)研究院 (NIST)、健康保險流通與責(zé)任法案 (HIPPA)和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI- DSS）。

安全掃描可發(fā)現(xiàn)OWASP IoT Top 10 中列出的漏洞，包括：

1、弱、易于猜測或硬編碼的密碼。

2、缺乏安全的更新機(jī)制。

3、使用遺留組件。

4、隱私保護(hù)不足。

值得注意的是，從歷史上看，自動化代碼審查由于成本原因被排除在項目之外，或者只是沒有被視為一項要求。