IOT安全咨询和评估

简化所连接设备的安全性

如您所知,事物或IOT互联网是指全球的数十亿物理设备,现在连接到互联网,收集和共享数据。

其承诺是无限的;它继续改变我们生活的主要部门,包括建筑自动化,农业,能源,运输和医学。它的危险几乎是无限的;需要新的安全设计,制造,部署,使用和验证我们各自的IOT脚印的方法。

孙子曾经说过,“如果忽视你的敌人和自己,你肯定会在危险之中”,很好地说,今天是真的,因为它是2500多年前的真实。

对于专门的专家指导和安全评估,专门用于测试连接设备的生态系统,您可以了解IOT环境中的安全差距,并具有清晰的路径来解决这些差距。

 

点击此处计划与IoT安全专家安排时间

您的IoT生态系统可能很复杂...让我们保持安全简单。

虽然在连接设备和人与人之间保护通信的各个组件保持相当简单,但IOT内的通信和通信渠道的剪切量创造了战略和后勤挑战:

  • 我们如何准确地映射数据流和通信渠道?
  • 我们每个终点点和每个数据类型都需要什么级别的安全性?
  • 我们如何知道优先级的安全措施是什么?
  • 我们如何有效和有效地遵守CCPA,GDPR,PCI,SB-327,Nistir-8228,OWASP IOT等法律法规?
  • 我们如何向客户展示他们的信息和隐私与我们安全?

您可能已经有一个“门”在过去保护每个设备;现在它可以是4,5,6或数十个。但不要让那个停止你!

第一步......了解什么是推动您对安全的需求

这可能是一个或多个这些驱动因素是您今天正在读的原因。哪些适用于你?

  • 法规 - 现在许多法规需要组织来评估其IoT环境的安全性。这里的关键是完全了解您需要确保您的“符合”所需的数量(以及几乎没有多少)。
  • 客户 - 如果您的客户(或管理或监管机构)需要证明您的环境是安全的,您可能有关于如何证明该证据的选择。必须知道证明的形式最适合您和您的客户是至关重要的。
  • 伙伴 - 亚历克萨和Spotify等云服务正在围绕云环境,并要求证明您可以安全地利用其服务(通常要求您遵守其特定要求)。如果访问第三方云服务以扩展产品生态系统,则必须遵守其安全要求。

 

物联网安全评估

虽然每次参与有点不同,但Pivot Point Security已经开发了一种经过验证的过程,用于评估IoT设备和平台安全性,并成功地识别它姿势的风险以及如何减轻它们。

以下是快速概述所涉及的步骤:

项目开球

走出门右对您的项目至关重要’成功。在Project Taptoff会议上,您符合评估团队(如果您尚未),重新确认目标,铁路物流,启动数据请求,并安排您的工作努力。

解决方案深潜水

IOT测试要求我们对您的结束解决方案进行全面了解,而不仅仅是设备。我们通过这一点采访您的产品专家,关键解决方案组件的演示,文物评论(例如,手册,规格,数据流程图),初始设备安装/使用以及任何其他所需的研究(例如,通信协议,已发表的漏洞)。

无论是它的900 MHz扩频跳频无线电,Alexa是否支持消费者设备或智能车辆;出来深潜我们将与您合作,构建与您的测试目标保持一致的完整测试环境。

评估云

确保您的系统,应用程序和API’对您的解决方案至关重要(可能包括合作伙伴)至关重要的S是比喻和字面的核心,以确保解决方案的整体安全性。网络漏洞评估/渗透测试的一些组合,OWASP ASVS对齐的Web应用程序&API评估将进行。后者通常包括;建筑评估,渗透测试和代码审查。

评估移动应用程序

大多数IOT系统包括用于配置和/或操作解决方案的设备元素的移动应用程序(或厚客户端)。确保应用程序和API’S移动应用程序利用是安全对解决方案的整体安全性至关重要。我们常常利用OWASP移动ASV评估,包括渗透测试和代码审查,以验证您的移动应用程序是否达到目标安全目标。

评估设备

设备测试通常需要完全逻辑和物理测试(例如,物理接口,网络服务,控制接口,通信通道,设备硬件,设备软件):

  • 是所有物理端口(例如,调试,串行,USB)正确保证吗?设备是否可以解析以暴露其他访问方式?
  • 是所有有线和无线通信模式(例如以太网,WiFi,Zigbee,蓝牙,6Low)正确固定吗?
  • 是所有支持系统(例如,IOT平台,证书颁发机构,身份验证,配置/管理/监控,API’s)和相关通信适当安全吗?
  • 该设备是否符合安全/隐私要求(例如,加州SB-327,CIS CSC,TISX,NISTIR 8228,CCPA)?
  • 等等。

报告& Guidance

我们的工作是’在你有一个明确和可行的计划之前完成,让您在您需要去的地方。为此:

  • 我们向您提供我们的测试和调查结果的执行摘要,以确保我们的工作被理解“C-Suite”.
  • 我们为您提供了我们的测试和调查结果的技术摘要,以确保您的工作受到您的作品,它和您的开发人员。
  • 我们为您提供差距修改计划,因为没有可行的指导的调查结果在直升机上的射入座位时是无用的。
  • 我们共同参加项目读数呼叫避开我们的工作产品并回答您的任何问题。
  • 随着您的团队通过修复计划工作,您可以获得无限的持续支持。
  • 您可以请求重新测试(可选)以确认您的修复效果。
点击此处计划与IoT安全专家安排时间

“你们很棒,我们不能感谢你足以敏感对我们这项工作的时间。我们展示速度和适应性挑战客户需求的能力,对于在竞争激烈的市场中建立声誉至关重要,它只是通过从事我们将能够维持成功的正确供应商合作伙伴。“

从Pivot Point Security的IoT安全评估您可以期待什么

我们定制了对您的特定目标的测试,但您可以随时期待有一件事;明确,可操作的指导。

结果?

内心的平静。您可以轻松了解您的组织是安全的,您可以证明它。生命太短暂,不能花费它担心你能直接地址的事情。我们的客户对其IoT设备和环境的安全充满信心。