|
原创不易 请随手点击关注 本文由Rehoo团队Leery原创,无授权禁转!(图片来自网络)  路图片来自网络 您需要了解的以确保您的物联网软件安全。 物联网(IoT)被誉为第四次工业革命的一个组成部分,将软件和连接的力量转移到物理世界。然而,在我们遇到“聪明”未来之前,我们需要记住这些连接的设备面临重大的安全风险。 我们不断收到提醒,认为将大脑置于我们的物联网设备中的软件可能会在其代码中隐藏着严重的漏洞,使他们容易被黑客利用。 移动安全公司Zimperium的研究人员宣布,他们团队的一名成员已经确定了FreeRTOS开源项目中的13个漏洞,这是物联网设备最受欢迎的操作系统之一。该说的CVE研究员大利Karliner翻起了一些真正的doozies,包括漏洞可能导致远程代码执行,拒绝服务,信息泄露,和一个这是未定义。虽然这些漏洞尚未获得CVSS评分,但可以安全地假设它们将处于频谱的较高端。 根据他们的发布,Zimperium团队已经联系了亚马逊,后者负责维护FreeRTOS开源项目,提醒他们注意漏洞,并与他们合作为可利用的组件生成补丁。  路图片来自网络 由于需要提醒那些在其产品软件中使用易受攻击的FreeRTOS开源组件的利益相关者,研究人员已经预留了带有MITRE和国家漏洞数据库(NVD)的CVE,但是扣留了有关如何携带的详细信息。据报道,30天内的攻击事件使得黑客无法快速轻松地获得工作。 虽然有关这一发现的消息并未获得我们通常看到的大规模数据泄露的新闻类型,其中用户数据已落入网络犯罪分子的手中,但这些漏洞应该让我们密切关注我们如何保护自己的嵌入式设备。 物联网的未来将建立在开源之上 即使您之前没有听说过FreeRTOS,因为它比Apache软件基金会或开源领域的其他大公司的项目更少被讨论,很可能您使用的这种广受欢迎的操作系统的设备。  路图片来自网络 部分由于空间限制以及我们不需要全面操作系统功能的事实,物联网设备使用更轻量级的操作系统,例如由AWS或Linux专门设计的物联网操作系统支持的FreeRTOS。 开源在物联网中的作用是,大多数生产设备的供应商都像开发软件的任何其他组织一样,他们希望使用高质量的现成组件来减少团队所需的代码量。生产以释放功能性产品。开源组件允许他们为他们的应用程序添加强大的功能,否则他们必须自己编写。 此外还有一个额外的优势,即开放源代码组件可以在其许可证的限制范围内免费使用,从而为这些硬件公司节省了大量成本,否则这些公司将不得不支付商业软件产品的费用或更多的编码时间。对于在编写软件方面经验和能力最低的公司而言,转向开源软件解决方案可以成为一个让他们进入这个非常诱人的市场的福音。但是,正如我们在披露这些漏洞时所看到的那样,保持物联网安全是项非常艰巨的任务。 为什么物联网安全面临不同的挑战 我们的设备变得聪明的是它们嵌入了连接到互联网的小型计算机。正是这种连接使得设备和后端之间的通信流能够收集数据并帮助用户更有效地执行某些操作。这些设备本质上是我们在手机或网络上的应用程序的物理表现。 从安全角度来看,黑客可以像利用台式计算机这样的传统端点设备一样攻击设备。这意味着,通过正确的漏洞,他们可以接管,访问数据,压倒数据或执行其他类型的恶意活动。但是,与台式计算机不同,需要考虑一些关键差异。 首先,在工业设施中违反物联网设备可能会产生一些非常现实的影响。正如我们在Equifax案例中看到的那样,数据泄漏很糟糕,对公司来说可能会造成严重破坏。 离心控制失控,电网脱机,以及无数其他现实世界的安全问题完全是另一回事,当我们考虑想要制作数字产品时,应该让我们停下来。许多物联网设备收集了大量关于我们的数据,这些数据非常敏感。我们可能不希望世界了解我们的健康,日程安排或其他习惯,而这些可能会让您感到非常不安。 其次,物联网设备及其软件通常不能像笔记本电脑或移动设备那样受到良好的网络攻击保护。像苹果,微软和戴尔这样的公司在学习如何让他们的设备和软件更难以破解方面拥有多年的经验。  路图片来自网络 事实是,许多消费者不愿意为他们购买的设备支付更好的安全性,而且供应商只是想降低成本。其实安全性才是最重要的。 最后,确保对受影响的设备实施补丁或其他修复非常困难。因为有这么多供应商使用相同的组件,单个漏洞的影响 可能是巨大的。如果可以进行这样的处理,那么修补这些设备的成本可能非常高。 控制您的应用程序安全性 虽然我们希望在整个软件开发生命周期(SDLC)中保护您的产品,同时也希望尽可能早地实施良好的安全实践。首先要遵守OWASP的建议,以避免使用已知漏洞的第三方组件。 对于开源组件,只有软件组合分析(SCA)工具可以识别具有与之关联的漏洞的开源组件,即使其中一个依赖项中存在深层漏洞。能够在开发过程的早期捕获风险较大的开源组件,可以更容易,更快速地获得更安全的产品。 假设在部署后的产品中会发现新的漏洞,根据开源漏洞管理报告的状态,在97.4%的案例中,有一个可用的修复程序。尽管将补丁推送到设备可能会有很多麻烦,但这仍然远比让客户在受到黑客攻击更好。  路图片来自网络 许多公司面临的问题是,他们根本不知道他们的产品中包含哪些开源组件,更不用说可能影响其产品的新漏洞已经发布。 与Windows一样,通过单一渠道定期发送补丁的商业产品不同,开源社区是相当分散的,这使得难以掌握它们。这是高级SCA工具可以拯救的地方,因为它可以在开源组件进入产品或存储库时自动识别和清点开源组件,并且能够匹配在各种数据库上发布的新发现的漏洞。像NVD这样的建议。这些警报可以帮助公司在黑客面前领先一步,在黑客利用这些漏洞数据库获取有关哪些组件易受攻击以及如何攻击之前,及时进行补救。 根据一些估计,物联网将在未来几年内成为更具统治力的力量。思科预测到2020年,物联网设备的数量将增加到约500亿。 希望这些漏洞的发现将激发对用于物联网的开源组件的更多研究,从而帮助我们的设备更加安全。发现漏洞是开发过程中的一个健康部分,只是对话的开始。寻求证明自己可以成为负责任的参与者的供应商的问题是他们如何选择实施安全性。现在,由生产物联网产品的公司采用工具和最佳实践来保持与该市场的相关性。  路 如何完善智慧城市的网络安全 9.9元 1人已购 https://ic.snssdk.com/column/v2/index/column/landing/?column_id=1617570924709975 |
微信扫一扫
