Посты
Кто-то пишет TSD, кто-то методички по моделированию угроз, а вот ребята из Pentest Partne…
31 июля 2025 г. в 20:08•Max Knyazev is typing…Зеркало Telegram
Кто-то пишет TSD, кто-то методички по моделированию угроз, а вот ребята из Pentest Partners выкатили гайд (еще в 2023 году), в котором собрали вообще все, что должен знать любой человек, связанный с разработкой IoT-устройств. Не только безопасник, но и менеджер, и инженер, и аналитик. По сути это полноценный план построения защищенного IoT-устройства с нуля 👍
Гайд логично начинается с моделирования угроз, и это, как ни странно, самая важная часть. Потому что если ты на этом этапе не подумал, что у тебя будет BLE без авторизации или что злоумышленник воткнет логгер в UART — дальше можно уже не читать. Там есть и STRIDE, и DREAD, и матрицы рисков, и советы, как с ними жить в реальной разработке🤓
Потом авторы аккуратно проводят читателя через весь цикл разработки: от выбора микроконтроллера (да, они даже фейковые STM32 упомянули), до облачного CI/CD и хранения секретов в Azure Key Vault. Отдельное внимание уделяется интерфейсам: Wi-Fi, BLE, USB, UART, JTAG — как они могут быть скомпрометированы, что с этим делать, и когда лучше вообще от них отказаться🧐
Мне особенно понравилось, что в гайде нет волшебных решений в духе "просто используйте TLS и всё будет хорошо". Там очень честно пишут, что TLS не всегда подходит (например, в случае BLE), а "Just Works" pairing — это не про безопасность, а про лень🧠
И, конечно, подкупает то, что это гайд с кучей практических примеров, ссылок, схем, фейлов из жизни. Там прям есть, что почитать и посмотреть🧐
Кому это будет полезно? Всем, кто хоть раз касался IoT-проектов. Разработчикам, у которых в руках паяльник и Visual Studio Code. Менеджерам, которые хотят не попасть на деньги после выхода на рынок. Безопасникам, чтобы не искать уязвимости в устройстве, у которого все порты открыты🤌
Это, что называется, must read. Особенно если вы хотите делать не просто “умные”, а ещё и безопасные устройства. Это как чеклист на этапе проектирования. В умелых руках эта штука экономит и время, и нервы, и бюджет💯
#интернет_вещей
#информационная_безопасность
Открыть исходный пост в TelegramГайд логично начинается с моделирования угроз, и это, как ни странно, самая важная часть. Потому что если ты на этом этапе не подумал, что у тебя будет BLE без авторизации или что злоумышленник воткнет логгер в UART — дальше можно уже не читать. Там есть и STRIDE, и DREAD, и матрицы рисков, и советы, как с ними жить в реальной разработке
Потом авторы аккуратно проводят читателя через весь цикл разработки: от выбора микроконтроллера (да, они даже фейковые STM32 упомянули), до облачного CI/CD и хранения секретов в Azure Key Vault. Отдельное внимание уделяется интерфейсам: Wi-Fi, BLE, USB, UART, JTAG — как они могут быть скомпрометированы, что с этим делать, и когда лучше вообще от них отказаться
Мне особенно понравилось, что в гайде нет волшебных решений в духе "просто используйте TLS и всё будет хорошо". Там очень честно пишут, что TLS не всегда подходит (например, в случае BLE), а "Just Works" pairing — это не про безопасность, а про лень
И, конечно, подкупает то, что это гайд с кучей практических примеров, ссылок, схем, фейлов из жизни. Там прям есть, что почитать и посмотреть
Кому это будет полезно? Всем, кто хоть раз касался IoT-проектов. Разработчикам, у которых в руках паяльник и Visual Studio Code. Менеджерам, которые хотят не попасть на деньги после выхода на рынок. Безопасникам, чтобы не искать уязвимости в устройстве, у которого все порты открыты
Это, что называется, must read. Особенно если вы хотите делать не просто “умные”, а ещё и безопасные устройства. Это как чеклист на этапе проектирования. В умелых руках эта штука экономит и время, и нервы, и бюджет
#интернет_вещей
#информационная_безопасность