试试BAT大佬总结的实用代码！

不足为奇的是，相关的行业论坛和标准如雨后春笋般冒出，以降低锚点并减慢这一速度。该IoXT联盟它们是在参加好力(IBM是一个成员)智能高科技厂商一个很好的例子。和欧洲医疗器械监管是值得关注的，与执法有望在2021年开始。

这里是物联网的怪物

当然，我们所有人都想避免的情况是，可怕的幽灵船上的那些海盗掌握了我们的个人身份信息和受保护的健康信息，甚至完全淹没了我们的重要船只。换句话说，我们正在谈论的这些设备既关键又脆弱。尽管它们变得越来越普遍，我们仍需要保护它们及其数据。

较新的设备足够聪明，足以危险。他们可能会采用分布式Linux配置，并提供诸如小型但功能强大的服务器之类的服务。客户端使用您可能没有听说过但可能在您每天使用的东西中运行的实时操作系统，将它们与其他设备混合在一起。您的汽车或杂货店的自助退房可能包括这些。而且，这些设备中仍有更多运行Windows的嵌入式版本。在您担心Myspace页面的那些日子里，您可能会认识到它。

处理报废设备

这些设备无法自卫。从支持的角度来看，许多功能完善的物联网设备实际上已经寿终正寝，但直到有人意识到它们容易受到7年历史的利用之后，它们仍在嗡嗡作响。

近期打击消费者安全摄像机的云服务关闭证明了软件和硬件功能之间的差异。它使这些原本可以工作的设备无处发送视频。在工作中，这些相同的物联网问题同样适用-产品寿命短和对供应商的依赖性相同，即使设备一旦失去支持仍可以正常工作。这样，凭借其独立的特性，较旧的OT设备可以比依靠云的智能IoT同类产品更长寿。

考虑到所有这些挑战，在海上容易感到迷路。物联网扫描仪可以运行，查找新设备并告诉我们其风险。这些都是很好的解决方案，但是如果它们产生成千上万的发现，而扫描仪往往会这样做，那么我们如何处理它们的结果呢?而且，我们如何从基于风险的角度看待物联网?

即时帮助：漏洞排名

扫描仪报告的几乎所有漏洞(IoT或IT)都引用了常见的漏洞和披露(CVE)编号。MITER维护了此报告库，其中报告了所有影响供应商软件和硬件的漏洞。方便地，安全研究人员在发布针对该漏洞的概念验证漏洞利用代码时经常会引用此内容。并非所有漏洞都被公开证明是可以利用的-X-Force Red发现，只有大约16%的CVE属于此类。

虽然Darknet和深度网络潜水可以找到利用漏洞利用的特定实例，但从表面上衡量CVE漏洞利用的普及程度(例如Metasploit，ExploitDB和Github等网站)，可以很好地了解安全研究人员所看到的内容。

此外，您可以结合动手实践的攻击经验和人工智能，根据攻击者部署CVE的方式对每个CVE进行评分。这有助于将现实添加到如此简单的CVE中，以至于它们不需要漏洞利用代码，并且对于没有关联CVE的基于配置的发现也是如此。

风险分析

由于物联网风险可能非常复杂，因此在制定课程之前，必须同时考虑技术和业务风险。IBM合作伙伴AbedGraham的[CCOM2]等技术为发现增加了特定于医疗保健的风险，并确定了临床工程团队首先应关注的IoMT设备。

例如，尽管某些型号的患者监护仪存在固有的漏洞，但是拆除医院的磁共振成像(MRI)机器的能力通常是更为紧迫的威胁。可以通过不同的角度来查看这些风险。在[CCOM2]的情况下，针对通常与临床环境相关的风险来评估易受攻击的系统。

此外，X-Force Red经常将这些东西拆开，以更好地了解下面可能还存在哪些其他风险。诸如FiniteState之类的工具可以帮助分析固件，并让我们随时了解这些设备的新威胁。X-Force Red硬件渗透测试可以帮助发现设备行为或其通信方法中可能存在的漏洞。

（编辑：平顶山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!