Тестирование безопасности IoT
Защитите свои подключённые продукты от начала до конца, от кремния до облачного API. Выявляйте уязвимости оборудования, прошивки, мобильных приложений, облачной инфраструктуры и протоколов связи раньше злоумышленников.
Наш процесс тестирования безопасности IoT
1. Определение объёма
Определение устройства, интерфейсов и поверхности атаки
2. Оценка
Ручное тестирование оборудования, прошивки, сети и облака
3. Отчётность
Подробные результаты с оценкой рисков и доказательством воздействия
4. Устранение
Практические рекомендации и советы по безопасному проектированию
5. Повторная проверка
Подтверждение исправлений и выдача сертификата аттестации
Обзор
Безопасность IoT — это практика защиты подключённых устройств и сетей, через которые они взаимодействуют, охватывающая физическое оборудование, прошивку, которая на нём работает, радио- и сетевые каналы, которые оно использует, а также сопутствующие приложения и облачные сервисы, с которыми оно взаимодействует. Тестирование безопасности IoT оценивает подключённые устройства во всей их экосистеме, включая оборудование, прошивку, беспроводную и сетевую связь, сопутствующие приложения и облачные API.
Методология и стандарты
Каждый проект начинается с этапа определения объёма, на котором определяется вся поверхность атаки, охватывающая оборудование, прошивку, радиосвязь, сопутствующее приложение и облако, чтобы соответствующие интерфейсы и стандарты были согласованы до начала тестирования. Работа согласована с OWASP IoT Top 10, OWASP IoT Security Testing Guide (ISTG) и OWASP Firmware Security Testing Methodology (FSTM), сопоставленными с ETSI EN 303 645 для EU CRA и UK PSTI.
Что входит
Виды тестирования
Тестирование на проникновение IoT
Практическая эксплуатация, охватывающая устройство, его радиомодули, сопутствующие приложения и облачные API, чтобы доказать, как реальные пути атаки объединяются в цепочки.
Моделирование угроз
Структурированный анализ архитектуры устройства, потоков данных и границ доверия для выявления мест, где оно с наибольшей вероятностью подвергнется атаке, и соответствующей приоритизации тестирования.
Анализ прошивки
Извлечение и обратная разработка прошивки для выявления жёстко закодированных учётных данных, небезопасных механизмов обновления, открытых сервисов и компонентов с известными уязвимостями.
Что вы получаете
Часто задаваемые вопросы
Да, в идеале два или три экземпляра, чтобы мы могли тестировать аппаратные интерфейсы, извлекать прошивку и сохранять эталон, а также сопутствующие приложения и сведения об облаке.
Да. Наши результаты и письма-аттестации напрямую сопоставляются с ETSI EN 303 645 — техническим стандартом, лежащим в основе как EU Cyber Resilience Act, так и режима UK Product Security and Telecommunications Infrastructure. Отчёт может служить подтверждающим доказательством в вашем процессе оценки соответствия, предоставляя вам документированную и независимую основу для ваших заявлений о безопасности.
Мы начинаем с сессии определения объёма и моделирования угроз, которая отображает всю поверхность атаки устройства (аппаратные интерфейсы, прошивку, беспроводные протоколы, сопутствующие приложения и облачные API) и выявляет границы доверия, которые с наибольшей вероятностью станут целью. Исходя из этого, мы согласовываем интерфейсы, радиомодули и стандарты, входящие в объём, чтобы тестирование фокусировалось на путях с реальным риском для вашего продукта. Вы получаете объём и поверхность атаки в письменном виде до начала любого тестирования.