数字化转型涉及数据驱动决策与人工智能(AI)的结合。重要数据通过物联网(IoT)设备和智能组件传输。由于物联网设备通常处于不安全的环境中,并且由于缺乏固有安全机制的漏洞,因此很难免受潜在的网络攻击。以下是一些用于实施安全审计以降低此类攻击风险的开源工具。网络攻击者和嗅探者可以从物联网设备中获取敏感数据,并利用这些信息对其他相关系统发起攻击。杀毒和计算机安全服务公司卡巴斯基表示,到2021年,物联网黑客的数量将同比增长四倍以上。在大多数情况下,黑客通过使用Telnet协议访问物联网网络,该协议提供了一个命令行界面,用于通过Internet与设备或服务器进行通信。根据研究报告,超过58%的物联网入侵使用各种协议来挖掘加密货币、通过分布式拒绝服务(DDoS)攻击关闭系统以及窃取机密数据。疫情期间,随着人们在家中使用物联网设备的时间增加,安全风险也随之上升。大多数这些物联网组件,无论是用于个人还是商业用途,都缺乏基本的安全措施。人工智能和边缘计算等新技术也使网络和数据安全格局变得更加复杂。卡巴斯基安全专家DanDemeter表示:“智能组件开始流行,攻击次数也有所上升。PENIOT物联网组件中关键组件的安全审计要求网络攻击一直在发展,商业公司和政府等越来越多地采用复杂的网络安全基础设施,以保护其应用程序和基础设施免受在线攻击。全球渗透测试市场预计将从2021年的16亿美元增长到2026年的30亿美元,2021年至2026年的复合年增长率为13.8%。设备是一个热门话题,在这个领域有很多研究。即使采用“设计安全”方法,渗透对于识别真正的安全隐患并采取适当的预防措施也至关重要。物联网中需要安全和隐私的关键组件和协议部署包括:约束应用协议(CoAP)蓝牙低功耗(BLE)高级消息队列协议(AMQP)消息队列遥测传输消息队列遥测传输(MQTT)攻击者有多个可能进入联网设备的入口点。物联网渗透测试(或安全审计)时,需要测试完整的物联网场景和生态。测试包括从单个层和嵌入式软件到通信协议和服务器的所有内容。服务器、在线界面和移动应用程序的测试并不是物联网独有的,但却很关键,因为它们涵盖了故障概率很高的领域。IoT漏洞是电气、嵌入式软件和通信协议测试的重点。在评估联网设备的安全性时执行以下测试。测试均使用不同的高性能渗透测试和安全审计工具针对漏洞进行:通信端口攻击和操纵测试物联网嗅探接口和基于无线电信号捕获和分析的后门测试缓冲区溢出测试密码破解测试调试密码分析固件操作测试逆向工程内存转储物联网安全审计中使用的开源工具物联网设备在我们的日常生活中变得越来越普遍,例如智能自行车、健身追踪器、医疗传感器、智能手机锁和联动工厂等。所有这些设备可以使用开源工具保护组件免受网络攻击,本文简要介绍了其中一些工具。PENIOTPENIOT是一种物联网渗透测试工具,它使安全审计团队能够通过利用设备的连接性来测试和破坏具有各种安全威胁的设备。可以测试主动和被动安全威胁。在确定了目标设备和相关信息(或参数)后,可以进行主动安全攻击,如更改系统资源、重放合法通信单元等。也可以分析被动安全威胁,如泄露机密信息等。敏感数据或访问网络流量分析。ObjectiveObjective是一个用于对物联网环境中使用的Android和iOS应用程序进行详细分析和安全审计的工具。目前很多智能组件和设备都使用Android和iOS平台,可以使用这个工具进行详细的日志分析和安全审计报告。Routersploit是一个开源的嵌入式设备开发框架,具有多个用于渗透测试和安全审计的功能和模块:Exploits-漏洞评估Creds-网络服务和证书的测试Scanners-目标的详细分析SecurityAuditPayloads-生成有效载荷和注入要点通用-攻击的执行和测试WiresharkWireshark是一个功能丰富的免费网络协议分析器。该工具可以有效分析MQTT等各种物联网协议。为了发现弱点,可以根据协议配置安全规则并检查流量。可以使用tcpdump通过命令行访问网络数据包分析器。此类工具用于检查物联网设备和网络之间交换的数据包。BinwalkBinwalk是一款逆向硬件设计工具。它是KaliLinux的关键组件之一,用于渗透测试、服务器指纹识别、安全审计和取证应用程序。FirmwalkerFirmwalker是一个免费的开源工具,用于搜索和扫描固件文件系统,无论是提取的还是安装的。使用此工具进行详细的安全审计。在物联网(IoT)和万物互联(IoE)时代,需要设计和使用高性能的工具包进行渗透测试和安全审计。随着物联网设备数量的增加,安全风险也随之增加。对于安全和隐私级别更高的物联网和万物互联部署,需要根据最新的协议和动态流量定制免费和开源的工具箱和软件包。
