Smart cars. Smart security cameras. Smart medical implants. Even the smart egg tray in your smart fridge. 你周围的一切都是相互联系和交流的, 与其他设备交换数据,并将其上传到全球互联网,以帮助您的汽车, home, factory, business, and body perform better. 物联网的受欢迎程度和普及程度——或者它的价值——很难争辩.
但随着这些设备成为我们生活中不可或缺的一部分,保护它们的需求也在不断增长. Many are susceptible to vulnerabilities, yet, despite this, 安全团队通常无法单独投入时间或专业知识来保护连接的设备. Fortunately, you don’t have to do it alone. You’ve got Rapid7.
我们的专家团队已准备好识别和降低整个物联网生态系统的风险.
Contact Us无论您是在创建新的物联网产品还是部署物联网解决方案, 我们经验丰富、技术精湛的顾问将帮助您识别风险和漏洞, 并应用解决方案来缓解整个物联网生态系统的安全问题.
Threat modeling
Rapid7了解物联网和连接系统的复杂性,并将评估风险最高的系统和通信, so you can focus on the entry points that matter. Working closely with your team, 我们将为您的整个系统开发全面的威胁模型,这些模型可以随着您整个产品生命周期的发展而发展,并帮助您识别和减轻最关键的问题, 以及提供产品安全状态的文档.
Device design consulting
设计硬件通常是重大项目的第一步,它可以确定您的局限性和弱点. 这项服务为您的工程师在设计期间提供与我们的安全顾问一对一的时间. 我们提供从头到脚的咨询,这样硬件问题就不会成为您的软件安全架构的致命弱点.
IoT penetration testing
我们的渗透和系统分析测试超越了基本分析,考虑了物联网技术的整个生态系统, 涵盖每个部分以及每个部分如何影响整体安全. Our testing includes the IoT mobile application, cloud APIs, communication and protocols, and embedded hardware and firmware.
Hardware testing
Rapid7将检查设备的物理安全和内部架构(包括内部组件),以确定其物理攻击面的广度和深度. This service may include component indication, firmware extraction, identification of test points, 重新配置设备的硬件以绕过认证, intercept traffic, 和/或注入可能对您的组织和客户构成重大风险的命令.
Protocol testing
Rapid7 will test communications to and from the device. 这包括测试加密传输的加密安全性, the ability to capture and modify transmissions of data, and fuzzing of the communication protocols. 我们将评估通信协议的安全性,并确定对您的组织和客户的风险.
Firmware Analysis
Rapid7将提取和检查固件的内容,试图发现后门帐户, injection flaws, buffer overflows, format strings, and other vulnerabilities. 我们还将评估设备的固件升级过程中的漏洞,并执行安全启动审查过程,以确保公钥加密和升级功能是安全的.
Incident Response
在遭受攻击后,从设备日志以外的任何地方获取信息都是一项非常重要的任务. Rapid7的硬件团队可以帮助直接从产品中提取信息. This service is focused mainly on criminal cases and law enforcement; often, 物联网设备具有未公开暴露的跟踪和记录功能. 我们的事件响应团队可以确定哪些信息可用于调查.
飞机、火车和汽车——或任何移动的东西——通常有复杂的安全要求. 虽然许多安全公司只是添加加密或IDS解决方案, 这只会增加开销和成本,而不会解决真正的问题. Rapid7 goes beyond understanding CAN, LIN, FlexRay, 和其他网络协议提供评估和建议,不会影响您的产品性能, but will solve your specific needs and concerns.
Deral Heiland, CISSP, has over 20 years of experience in Information Technology, 曾担任多个职位,包括:高级网络分析师, Network Administrator, Database Manager, 财务系统经理和高级信息安全分析师. 在过去的8年多里,海兰德的职业生涯一直专注于安全研究, security assessments, penetration testing, and consulting for corporations and government agencies. 海地开展了众多技术课题的安全研究, releasing white papers, security advisories, 并在包括“黑帽”在内的众多国家和国际安全会议上发表演讲, Defcon, Shmoocon, DerbyCon, Hackcon Norway, and Hack In Paris. 海兰德的评论出现在几家媒体和出版物上,包括 ABC World News,彭博UTV,麻省理工技术评论,MSNBC, SC杂志,威胁邮报和登记册.