概览
IoT 安全是保护联网设备及其通信网络的实践,涵盖物理硬件、其上运行的固件、所使用的无线电和网络链路,以及与之交互的配套应用和云服务。IoT 安全测试在整个生态系统范围内评估联网设备,包括硬件、固件、无线和网络通信、配套应用及云 API。
方法论与标准
每次测试都从范围界定阶段开始,明确涵盖硬件、固件、无线电、配套应用和云的整个攻击面,以便在测试开始前商定合适的接口和标准。测试工作遵循 OWASP IoT Top 10、OWASP IoT Security Testing Guide(ISTG)和 OWASP Firmware Security Testing Methodology(FSTM),并映射到 ETSI EN 303 645,以满足 EU CRA 和 UK PSTI。
包含内容
测试类型
IoT 渗透测试
针对设备、其无线电、配套应用和云 API 的实际利用,证明真实攻击路径如何串联起来。
威胁建模
对设备架构、数据流和信任边界进行结构化分析,以识别其最有可能受到攻击的部位,并据此确定测试优先级。
固件分析
提取并逆向工程固件,以揭示硬编码凭证、不安全的更新机制、暴露的服务以及已知存在漏洞的组件。
您将获得
常见问题
是的,理想情况下需要两到三台,以便我们测试硬件接口、提取固件并保留一台作为基准,同时还需要配套应用和云的详细信息。
有。我们的结果和认证函可直接映射到 ETSI EN 303 645,这是支撑 EU Cyber Resilience Act 和 UK Product Security and Telecommunications Infrastructure 制度的技术标准。该报告可在您的合规或符合性评估流程中作为支持性证据,为您的安全声明提供有据可查的独立依据。
我们从范围界定和威胁建模会议开始,绘制出设备的整个攻击面(硬件接口、固件、无线协议、配套应用和云 API),并识别最有可能成为目标的信任边界。在此基础上,我们商定纳入范围的接口、无线电和标准,使测试聚焦于对您产品构成真实风险的路径。在任何测试开始之前,您都会收到书面的测试范围和攻击面。