51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3399|回复: 0
打印 上一主题 下一主题

[转贴] 物联网渗透测试威胁建模

[复制链接]
  • TA的每日心情
    无聊
    3 天前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2021-3-4 09:48:35 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
     如今,信息技术突飞猛进,对政治、经济、社会、文化、军事等很多领域都产生了深刻影响。互联网技术更是融入到生活的各方各面,早已改变人们生活方式。同时,网络攻击也在日益增加,安全防护始终是网络安全防护的一个痛点。近年来,网络攻击亦成为最火爆的网络安全话题之一。
      那WEB渗透与IOT渗透的区别又有那些呢?
      常规WEB渗透测试主要分为四个阶段,即信息收集、漏洞分析、 漏洞挖掘和报告形成。
      1、信息收集
      信息收集是初始阶段但尤为关键的环节,渗透测试是否能够成功执行,很大程度上取决于从其所依赖三层结构中探测到的可用信息。
      2、漏洞分析
      基于已获知的信息,确定测试执行目标及计划,分析并 识别出可行的攻击途径,考虑如何取得目标系统的访问权。
      3、漏洞挖掘
      根据之前已识别出的攻击路径和目标,实施对漏洞的挖 掘与验证。
      4、报告形成
      报告是渗透测试过程中最为重要的因素,以报告文档展现渗透测试过程所发现的安全漏洞和弱点,为漏洞修复提供依据指引,是渗透测试工作真正价值的体现。
      物联网渗透测试威胁攻击研究:
      威胁建模是一种深入分析应用程序安全性的有效方法,它通过提供上下文和风险分析来识别、量化、定位和捕捉应用相关安全风险。几维安全小编告知,当评估物联网安全性问题时,往往建立威胁模型是极有必要的,它还能够帮助指引渗透测试的执行过程,有助于消除物联网中存在的安全隐患。威胁建模通常分为3个步骤,即应用分解、威胁确定和对策解读。从攻击面角度分解物联网系统,从而提供可被识别的潜在安全威胁攻击面,旨在为后续确定对策和缓解措施提供参考依据。
      以攻击者视角将物联网,按照攻击面分解各应用组件,可分为生态系统、设备内存、设备物理接口、设备Web界面、 设备固件、网络服务、管理界面、本地数据存储、云Web 界面、第三方后端APIs、更新机制、移动应用程序、供应商后端APD、生态系统通信、网络流量、认证与授权、隐私和硬件。
      几维安全IOT渗透测试是一项基于STRIDE模型对功能业务进行威胁发现的安全检测服务。通过对智能终端应用系统的架构设计分析着手,然后对其架构设计中的业务功能实现进行威胁分析,得到业务可能面临的威胁点,最后再以此为基础进行全面的渗透测试,检测智能终端设备以及其整个生态系统中存在的漏洞问题,并制定整改措施。目前渗透业务和虚拟机加密产品,都已经在航空航天等国防领域实现突破和型号应用。
      几维安全IOT渗透测试功能特点:
      1、业务风险梳理
      根据应用系统架构,对业务进行拆分,并针对每个业务进行威胁建模,梳理所有可能遇到的潜在安全风险。
      2、漏洞校验与复检
      对梳理的潜在安全风险进行一一验证,并提供详细的漏洞验证方法,以便确认风险,提供复检服务,确保漏洞完全修复。
      3、支持漏洞修复
      根据不同的业务漏洞场景,提供针对性的修复建议,帮助研发人员快速及时修复漏洞。
      4、专业安全报告
      从多个维度和层次关系,详细阐述漏洞影响,风险级别,漏洞位置,风险详情,以及修复建议。
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-24 06:46 , Processed in 0.060830 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表