物聯網滲透測試威脅建模，捕捉應用相關安全風險

現在，信息技術日新月異，對政治、經濟、社會、文化、軍事等不少領域都產生了深入影響。互聯網技術更是融入到生活的各方各面，早已改變人們生活方式。同時，網絡攻擊也在日益增長，安全防禦始終是網絡安全防禦的一個痛點。近年來，網絡攻擊亦成爲最火爆的網絡安全話題之一。

那WEB滲透與IOT滲透的區別又有那些呢？

常規WEB滲透測試主要分爲四個階段，即信息收集、漏洞分析、 漏洞挖掘和報告造成。

一、  信息收集

信息收集是初始階段但尤其關鍵的環節，滲透測試是否可以成功執行，很大程度上取決於從其所依賴三層結構中探測到的可用信息。

二、  漏洞分析

基於已獲知的信息，肯定測試執行目標及計劃，分析並 識別出可行的攻擊途徑，考慮如何取得目標系統的訪問權。

三、  漏洞挖掘

根據以前已識別出的攻擊路徑和目標，實施對漏洞的挖 掘與驗證。

四、  報告造成

報告是滲透測試過程當中最爲重要的因素，以報告文檔展 現滲透測試過程所發現的安全漏洞和弱點，爲漏洞修復提供 依據指引，是滲透測試工做真正價值的體現。

物聯網滲透測試威脅攻擊研究

威脅建模是一種深刻分析應用程序安全性的有效方法， 它經過提供上下文和風險分析來識別、量化、定位和捕捉應用相關安全風險。幾維安全小編告知，當評估物聯網安全性問題時，每每創建威脅模型是極有必要的，它還可以幫助指引滲透測試的執行過程，有助於消除物聯網中存在的安全隱患。威脅建模一般分爲 3個步驟，即應用分解、威脅肯定和對策解讀。從攻擊面角度分解物聯網系統，從而提供可被識別的潛在安全威脅攻擊面，旨在爲後續肯定對策和緩解措施提供參考依據。

以攻擊者視角將物聯網，按照攻擊面分解各應用組件，可分爲生態系統、設備內存、設備物理接口、設備Web 界面、 設備固件、網絡服務、管理界面、本地數據存儲、雲Web 界面、第三方後端APIs、更新機制、移動應用程序、供應商後端 APD、生態系統通訊、網絡流量、認證與受權、隱私和硬件。

幾維安全IOT滲透測試是一項基於STRIDE模型對功能業務進行威脅發現的安全檢測服務。經過對智能終端應用系統的架構設計分析着手，而後對其架構設計中的業務功能實現進行威脅分析，獲得業務可能面臨的威脅點，最後再以此爲基礎進行全面的滲透測試，檢測智能終端設備以及其整個生態系統中存在的漏洞問題，並制定整改措施。目前滲透業務和虛擬機加密產品，都已經在航空航天等國防領域實現突破和型號應用。

幾維安全IOT滲透測試功能特色

一、業務風險梳理

根據應用系統架構，對業務進行拆分，並針對每一個業務進行威脅建模，梳理全部可能遇到的潛在安全風險。

二、漏洞校驗與複檢

對梳理的潛在安全風險進行一一驗證，並提供詳細的漏洞驗證方法，以便確認風險，提供複檢服務，確保漏洞徹底修復。

三、支持漏洞修復

根據不一樣的業務漏洞場景，提供針對性的修復建議，幫助研發人員快速及時修復漏洞。

四、專業安全報告

從多個維度和層次關係，詳細闡述漏洞影響，風險級別，漏洞位置，風險詳情，以及修復建議。

相關閱讀：IOT安全滲透測試服務：https://www.kiwisec.com/product/iot-test.html

APP滲透測試：https://www.kiwisec.com/product/app-penetration.html