物联网安全测试服务
安全服务
如今连接互联网不再是计算机的特权。许多常用物品,例如灯泡、电表、医疗设备甚至咖啡机及冰箱,均利用互联网连接增强了功能。
这些「物品」将用户相关数据发送至云端,然后进行分析及储存。在某些情况下,发送的信息可能非常机密,因此极有可能成为网络攻击的对象。
在某些环境下,物联网设备的正常运行可能关乎生死。例如,医院越来越现代化,并出于多种原因使用物联网设备。在某些情况下,确保这些设备正常运行以及数据的安全传输和交付至关重要。
物联网世界通常由专有协议及通讯规则构成。因此,并不是每台设备都能够完全遵循安全合规概念。
因此,威联科技为物联网提供量身订制的安全评估,我们的高级网络安全专家将就整个物联网攻击面检查您的物联网连接设备。我们的服务由拥有丰富攻防经验的高质素网络安全分析师及渗透测试员提供。
在未使用、传输时或处理过程中,缺乏对敏感数据的安全保护(例如加密不充分或缺乏加密、密码匙管理不当、平台访问控制低效等)。
敏感的数据传输和存储
安全配置不足
缺乏供货商提供的产品功能,以帮助用户透过配置保护设备(例如更强的认证、记录、监控、加密强度管理等)。
缺乏物理加固措施
缺乏物理防窜改防御和/或缺乏系统完整性检查,导致潜在攻击者能够获取敏感信息以便日后进行远程攻击。
我们在物联网安全审查中测试什么?
我们对物联网设备的安全评估主要参照开放网络应用程序安全计划(OWASP)发布的物联网十大安全漏洞及其他新兴行业标准。我们的安全评估主要关注以下方面:
弱密码、可猜密码或硬编码密码
在客户端软件或固件中使用轻易可遭暴力破解、硬编码、可公开获取及/或无法更改的密码,允许对已部署设备进行未获授权接达。
不安全的访问接口
不安全的网页、后端API、云端或移动接口,导致设备和/或其生态系统遭攻陷。常见的问题包括缺乏认证和授权、缺乏加密或弱加密以及缺乏输入验证和输出编码。
用户的个人资料在设备上未获安全储存,在记录及其他工件中遭不安全、不当及/或未经许可使用,在网络或互联网上不安全地传输,在使用前缺乏充分的私隐披露。
隐私保护不足
缺乏安全更新设备或生态系统的能力,缺乏对设备固件的验证,缺乏安全交付(传输时未加密),缺乏防回滚机制,缺乏对更新的安全变更的通知。
缺乏安全更新机制
不安全的网络服务和协议
设备运行了不需要和/或不安全的网络服务,尤其是暴露于互联网上的服务。这会损害信息的保密性、完整性或可用性,或允许未获授权的远程控制(例如远程登录、Wi-Fi、ZigBee、蓝牙等)。
我们的网络安全认证资质
威联科技安全顾问和渗透测试工程师都拥有网络安全和渗透测试领域最具含金量的证书,比如:CREST CRT、SANS/GIAC GXPN、GPEN、 GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等!
北京威联科技有限公司隶属于威联控股集团。除了我们位于瑞士的公司总部之外,我们还在美国、新加坡、马来西亚、墨西哥、德国和巴西开设了分公司,能够实现“日不落”的模式提供服务。
联系我们:contact_CN@wizlynxgroup.com
关于我们
联系客服
关注公众号