安全服務

物聯網安全測試服務

連接至互聯網不再是電腦的特權。許多常用物品,例如燈泡、電錶、醫療設備甚至咖啡機及冰箱,如今均利用互聯網連接增強了功能。

這些「物品」將用戶相關數據發送至雲端,然後進行分析及儲存。顯然,只要安全概念與其緊密相關,這些系統就一直存在。在某些情況下,發送的資訊可能非常機密,因此極有可能成為網絡攻擊的對象。

在某些環境下,物聯網設備的正常運行可能關乎生死。例如,醫院越來越現代化,並出於多種原因使用物聯網設備。在某些情況下,確保這些設備正常運行以及數據的安全傳輸和交付至關重要。

物聯網世界通常由專有規約及通訊規則構成。因此,並非每台設備均完全遵循安全合規概念。

有見及此,威聯集團為物聯網提供量身訂製的安全評估,我們的高級網絡安全專家將就整個物聯網攻擊面檢查您的物聯網連接設備。我們的服務由擁有豐富攻防經驗的高質素網絡安全分析師及滲透測試員提供。

Internet of Things (IoT) Constellation

我們在物聯網安全審查中測試什麼?

我們對物聯網設備的安全評估主要參照開放網路應用程式安全計劃(OWASP)發佈的物聯網十大安全漏洞及其他新興行業標準。我們的安全評估主要關注以下方面:

弱密碼、可猜測密碼或硬編碼密碼

在客戶端軟件或固件中使用輕易可遭暴力破解、硬編碼、可公開獲取及/或無法更改的密碼,允許對已部署設備進行未獲授權接達。

不安全的網絡服務及規約

設備運行了不需要和/或不安全的網絡服務,尤其是暴露於互聯網上的服務。這會損害資訊的保密性、完整性或可用性,或允許未獲授權的遠程控制(例如遠程登錄、Wi-Fi、ZigBee、藍牙等)。

I不安全的存取接口

不安全的網頁、後端API、雲端或流動接口,導致設備和/或其生態系統遭攻陷。常見的問題包括缺乏認證和授權、缺乏加密或弱加密以及缺乏輸入驗證和輸出編碼。

缺乏安全的更新機制

缺乏安全更新設備或生態系統的能力,缺乏對設備固件的驗證,缺乏安全交付(傳輸時未加密),缺乏防回滾機制,缺乏對更新的安全變更的通知。

私隱保護不足

用戶的個人資料在設備上未獲安全儲存,在記錄及其他工件中遭不安全、不當及/或未經許可使用,在網絡或互聯網上不安全地傳輸,在使用前缺乏充分的私隱披露。

不安全的數據傳輸及儲存

在未使用、傳輸時或處理過程中,缺乏對敏感數據的安全保護(例如加密不充分或缺乏加密、密碼匙管理不當、平台存取控制低效等)。

缺乏物理加固措施

缺乏物理防竄改防禦和/或缺乏系統完整性檢查,導致潛在攻擊者能夠獲取敏感資訊以便日後進行遠程攻擊。

安全配置不足

缺乏供應商提供的產品功能,以幫助用戶透過配置保護設備(例如更強的認證、記錄、監控、加密強度管理等)。

透過我們的服務您可以獲得什麼?

最終報告將載列所有調查結果,然後根據資訊科技和網絡安全國際標準對比優、缺點。我們會對識別的弱點進行評估,同時提出相應的建議和補救措施,並根據相關風險等級進行排序。向您匯報評估結果時,我們將對最終報告進行討論。報告包含對已執行的物聯網安全評估作出之全面、簡明的執行摘要。此外,報告將詳細闡述所有評估結果,並提供相應證據及未來安全措施建議。

wizlynx group IoT Security Assessment Report

我們的網絡安全認證資質

威聯的安全顧問和滲透測試員均持有網絡安全和滲透測試行業最具含金量的資質證書,例如:SANS/GIAC GPEN、GWAPT、GCIH、GMOB、OSCP、CEH、CISSP、CISA等。

頁首