GIỚI THIỆU DỊCH VỤ

Xu hướng kết nối vạn vật (IoT) phát triển trong những năm gần đây là thành quả của những phát triển công nghệ trước đó như điện toán đám mây, thiết bị di động thông minh, công nghệ điện tử và các tiêu chuẩn truyền tải không dây ngày càng nhanh và rộng hơn. IoT sẽ là xu hướng hỗ trợ sản xuất trong công nghiệp cũng như là một phần trong các dự án thành phố thông minh, xe thông minh, nhà thông minh,… và nhiều tiện ích hàng ngày trong tương lai.

Tuy nhiên các giải pháp, tiêu chuẩn an toàn sản phẩm phần cứng, phần mềm trong IoT vẫn còn được bỏ ngõ do chưa thống nhất bộ tiêu chuẩn kiểm định, phương thức thực hiện và thiếu nhân sự am hiểu quy trình đánh giá. Do vậy, Bảo Tín đã thực hiện nghiên cứu và cung cấp dịch vụ ĐÁNH GIÁ BẢO MẬT IoT áp dụng bộ tiêu chuẩn OWASP IoT và kết hợp nhiều hạng mục đánh giá bổ sung cho hệ sinh thái IoT.

QUY TRÌNH THỰC HIỆN

Đánh giá hệ thống IoT yêu cầu thực hiện trên nhiều đối tượng khác nhau phụ thuộc vào sản phẩm mà nhà sản xuất cung cấp, OWASP đề xuất quy trình kiểm tra hệ sinh thái IoT dựa trên các nền tảng phía máy chủ, phía ứng dụng di động, firmware và phần cứng. Nhiều bộ quy trình đánh giá khác cũng được chúng tôi áp dụng như:

  • OWASP Internet of Things Project
  • GSMA IoT Security Guidelines
  • WHID (Web Hacking Incident Database)

Quy trình kỹ thuật được thực hiện qua ba giai đoạn:

  1. Thực hiệm kiểm tra tự động và thủ công hệ thống máy chủ ứng dụng.
  2. Đánh giá an toàn firmware và kết nối từ các phần cứng đến máy chủ.
  3. Đánh giá an toàn ứng dụng di động điều khiển thiết bị.
IoT Attack Surface Areas Firmware Analysis/IoT Vulnerabilities Project
• Ecosystem
• Device Memory
• Device Physical Interfaces
• Device Web Interface
• Device Firmware
• Device Network Services
• Administrative Interface
• Local Data Storage
• Cloud Web Interface
• Third-party Backend APIs
• Update Mechanism
• Mobile Application
• Vendor Backend APIs
• Ecosystem Communication
• Ecosystem Communication
• Authentication/Authorization
• Privacy
• Hardware (Sensors)
• Device Firmware Vulnerabilties
• Manufacturer Recommendations
• Device Firmware Guidance and Instruction
• Device Firmware Tools
• Vulnerable Firmware
• Username Enumeration
• Weak Passwords
• Account Lockout
• Unencrypted Services
• Two-factor Authentication
• Poorly Implemented Encryption
• Update Sent Without Encryption
• Update Location Writable
• Denial of Service
• Removal of Storage Media
• No Manual Update Mechanism
• Missing Update Mechanism
• Firmware Version Display and/or Last Update Date
• Firmware and storage extraction
• Manipulating the code execution flow of the device
• Obtaining console access
• Insecure 3rd party components

BÁO CÁO

Bảo Tín thực hiện lập báo cáo chi tiết toàn bộ quá trình đánh giá bảo mật ứng dụng web bao gồm các nội dung:
  • Video chi tiết quy trình kỹ thuật được sử dụng (đối với nhóm lỗ hổng bảo mật có mức nguy hiểm Khẩn cấp/ Nghiêm trọng/ Cao).
  • Danh mục các lỗ hổng bảo mật đã được xác định.
  • Thông tin chi tiết nguyên nhân gây ra lỗ hổng.
  • Đánh giá mức độ nghiêm trọng của lỗ hổng (Khẩn cấp/ Nghiêm trọng/ Cao/ Trung bình/ Thấp).
  • Cách khắc phục lỗ hổng.