【51CTO.com快譯】從物聯(lián)網(wǎng)這一個(gè)概念誕生之日起，安全問(wèn)題就一直是物聯(lián)網(wǎng)發(fā)展的關(guān)鍵所在。從供應(yīng)商到企業(yè)用戶(hù)，再到消費(fèi)者，每個(gè)人都擔(dān)心他們種類(lèi)繁多的新物聯(lián)網(wǎng)設(shè)備和系統(tǒng)可能會(huì)受到損害。實(shí)際上，安全問(wèn)題比大家擔(dān)心的更糟糕，因?yàn)橐资芄舻奈锫?lián)網(wǎng)設(shè)備可能被黑客入侵并被利用到巨大的僵尸網(wǎng)絡(luò)中，甚至威脅到正確安全的網(wǎng)絡(luò)。

但在構(gòu)建、部署、管理物聯(lián)網(wǎng)系統(tǒng)時(shí)，最大的問(wèn)題和漏洞到底是什么?更重要的是，我們可以采取哪些措施來(lái)緩解這些問(wèn)題呢?

這就是開(kāi)放式Web應(yīng)用程序安全項(xiàng)目OWASP的用武之地。用OWASP自己的話(huà)說(shuō)：“OWASP物聯(lián)網(wǎng)項(xiàng)目旨在幫助制造商，開(kāi)發(fā)人員和消費(fèi)者更好地理解與物聯(lián)網(wǎng)相關(guān)的安全問(wèn)題，并且使任何環(huán)境中的用戶(hù)能夠在構(gòu)建，部署或評(píng)估物聯(lián)網(wǎng)技術(shù)時(shí)做出更好的安全決策。”

OWASP的10大物聯(lián)網(wǎng)漏洞

為此，在圣誕節(jié)那天，OWASP發(fā)布了2018年的10大物聯(lián)網(wǎng)漏洞，并附有信息圖(見(jiàn)下文)。 我們來(lái)看一下這個(gè)列表，并附上一些評(píng)論：

1. 弱密碼，可猜測(cè)密碼或硬編碼密碼

使用易于暴力強(qiáng)制，公開(kāi)可用或不可更改的憑據(jù)，包括固件或客戶(hù)端軟件中的后門(mén)，授予對(duì)已部署系統(tǒng)的未授權(quán)訪(fǎng)問(wèn)權(quán)限。

點(diǎn)評(píng)：坦率地說(shuō)，這個(gè)問(wèn)題非常明顯!幾乎無(wú)法相信，它仍然是我們必須考慮的問(wèn)題。無(wú)論物聯(lián)網(wǎng)設(shè)備或應(yīng)用程序的價(jià)格是多么便宜或無(wú)害，這種懶惰從來(lái)都不是借口。

2. 不安全的網(wǎng)絡(luò)服務(wù)

設(shè)備本身上運(yùn)行的不需要或不安全的網(wǎng)絡(luò)服務(wù)，尤其是那些暴露于互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)，會(huì)損害信息的機(jī)密性，完整性/真實(shí)性或可用性，或允許未經(jīng)授權(quán)的遠(yuǎn)程控制。

點(diǎn)評(píng)：這是有道理的，但它更像是一個(gè)灰色區(qū)域，因?yàn)椴⒉豢偸乔宄@些網(wǎng)絡(luò)服務(wù)是“不必要的還是不安全的”。

3. 不安全的生態(tài)接口

設(shè)備外生態(tài)系統(tǒng)中不安全的 web、后端 API、云或移動(dòng)接口，導(dǎo)致設(shè)備或相關(guān)組件遭攻陷。常見(jiàn)的問(wèn)題包括：缺乏認(rèn)證/授權(quán)、缺乏加密或弱加密、缺乏輸入和輸出過(guò)濾。

點(diǎn)評(píng)：實(shí)際上，接口是否導(dǎo)致風(fēng)險(xiǎn)并不總是很明顯，但身份驗(yàn)證，加密和過(guò)濾始終是好主意。

4. 缺乏安全的更新機(jī)制

缺乏安全更新設(shè)備的能力，包括：缺少對(duì)設(shè)備的固件驗(yàn)證、缺乏安全交付(傳輸中未加密)、缺乏防回滾機(jī)制、缺少因更新而導(dǎo)致的安全更改通知。

點(diǎn)評(píng)：對(duì)于物聯(lián)網(wǎng)應(yīng)用而言，這是一個(gè)持續(xù)存在的問(wèn)題，因?yàn)樵S多供應(yīng)商和企業(yè)都不愿意考慮其設(shè)備未來(lái)。此外，它并不總是技術(shù)問(wèn)題。在某些情況下，物聯(lián)網(wǎng)設(shè)備的物理位置使更新和維修/更換成為一項(xiàng)重大挑戰(zhàn)。

5. 使用不安全或過(guò)時(shí)的組件

使用可能導(dǎo)致設(shè)備泄露的已棄用或不安全的軟件組件/庫(kù)，比如操作系統(tǒng)平臺(tái)的不安全定制，以及來(lái)自受損供應(yīng)鏈的第三方軟件或硬件組件的使用。

點(diǎn)評(píng)：這種問(wèn)題沒(méi)有任何借口。供應(yīng)商和企業(yè)不能因?yàn)楣?jié)省成本而帶來(lái)風(fēng)險(xiǎn)。.

6. 隱私保護(hù)不足

存儲(chǔ)在物聯(lián)網(wǎng)設(shè)備上或者生態(tài)系統(tǒng)中的用戶(hù)信息，可能會(huì)被不安全，不當(dāng)?shù)?，甚至未?jīng)許可使用。

點(diǎn)評(píng)：顯然，個(gè)人信息需要妥善處理。但這里的關(guān)鍵是“許可”，除非得到他們的許可，否則對(duì)個(gè)人信息做其他事情。

7. 不安全的數(shù)據(jù)傳輸和存儲(chǔ)

生態(tài)系統(tǒng)內(nèi)任何地方的敏感數(shù)據(jù)都缺乏加密或訪(fǎng)問(wèn)控制，包括靜止，傳輸或處理過(guò)程中。

點(diǎn)評(píng)：雖然許多物聯(lián)網(wǎng)供應(yīng)商都關(guān)注安全存儲(chǔ)，但是通常會(huì)忽視數(shù)據(jù)在傳輸過(guò)程中的安全問(wèn)題。

8. 缺乏設(shè)備管理

在生產(chǎn)中部署的設(shè)備缺乏安全支持，比如對(duì)資產(chǎn)的管理，更新的管理，以及安全退役、系統(tǒng)監(jiān)控和響應(yīng)功能。

點(diǎn)評(píng)：物聯(lián)網(wǎng)設(shè)備可能很小，價(jià)格低廉，并且可以大量部署，但這并不意味著您不必管理它們。事實(shí)上，在使用時(shí)對(duì)它們的管理，比以往任何時(shí)候都更重要。

9. 不安全的默認(rèn)設(shè)置

設(shè)備或系統(tǒng)附帶不安全的默認(rèn)設(shè)置，或缺乏通過(guò)限制操作員修改配置來(lái)使系統(tǒng)更安全的能力。

點(diǎn)評(píng)：2019年應(yīng)該解決這個(gè)問(wèn)題，避免采用默認(rèn)設(shè)置。

10. 缺乏物理加固措施

由于缺乏物理加固措施，可能存在被潛在攻擊者獲取敏感信息的風(fēng)險(xiǎn)。攻擊者可通過(guò)獲取的信息用來(lái)實(shí)施遠(yuǎn)程攻擊或者對(duì)設(shè)備進(jìn)行本地控制。

點(diǎn)評(píng)：物聯(lián)網(wǎng)由“事物”組成，因此記住物聯(lián)網(wǎng)的物理特性并采取措施保護(hù)所涉及的實(shí)際設(shè)備非常重要。

下一步是什么?

展望未來(lái)，OWASP社區(qū)計(jì)劃每?jī)赡旮乱淮卧摿斜恚粤私庑袠I(yè)變化，并擴(kuò)展到物聯(lián)網(wǎng)的其他方面，如嵌入式安全和工業(yè)控制系統(tǒng)以及監(jiān)控和數(shù)據(jù)采集系統(tǒng)(ICS / SCADA)。 還計(jì)劃為每個(gè)項(xiàng)目添加示例，并將它們映射到其他OWASP項(xiàng)目，例如應(yīng)用程序安全性驗(yàn)證標(biāo)準(zhǔn)(ASVS)以及外部項(xiàng)目。

最重要的是，或許，OWASP正在考慮增加參考架構(gòu)，不僅要告訴人們不該做什么，還要考慮他們需要做些什么才能更安全地做。

原文地址：https://www.networkworld.com/article/3332032/internet-of-things/top-10-iot-vulnerabilities.html

作者：Fredric Paul

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】