十大物联网漏洞

每个人都知道安全性是物联网的一个大问题,但是我们最应该害怕的是什么?OWASP识别出了十大漏洞。

自从物联网这个名字被发明以来,安全问题就困扰着物联网(IoT)。从供应商到企业用户再到消费者,每个人都担心他们花哨的新物联网设备和系统可能会受到损害。问题实际上比这更糟,因为易受攻击的物联网设备可能被黑客攻击,并被利用成巨大的僵尸网络,甚至威胁到安全的网络。

但是,在构建,部署或管理物联网系统时应避免的最大问题和漏洞到底是什么? 而且,更重要的是,我们可以做些什么来缓解这些问题?

这就是OWASP(Open Web Application Security Project)的用武之地。用它自己的话说,“OWASP物联网项目旨在帮助制造商、开发人员和消费者更好地理解与物联网相关的安全问题,并使用户在任何情况下都可以在构建、部署或评估IoT技术时做出更好的安全决策。”

OWASP的十大IoT漏洞

为此,OWASP发布了物联网十大漏洞,并提供了一张信息图(见下文)。让我们来看看这张清单:

1.弱密码、可猜测的密码或硬编码密码

使用容易被暴力破解,公开可用或不可更改的凭据,包括固件或客户端软件中的后门程序,这些后门程序将允许未经授权访问已部署的系统。

2.不安全的网络服务

在设备本身上运行的不必要或不安全的网络服务,尤其是那些暴露于Internet的网络服务,会损害信息的机密性,完整性/真实性或可用性,或者允许未经授权的远程控制。

3.不安全的生态系统接口

设备外部生态系统中的Web,后端API,云或移动接口不安全,从而可能损害设备或其相关组件。常见的问题包括缺少身份验证/授权,缺少或弱加密以及缺少输入和输出过滤。

4.缺乏安全的更新机制

缺乏安全更新设备的能力。这包括缺乏设备上的固件验证,缺乏安全的交付(在传输过程中未加密),缺乏防回滚机制以及缺乏由于更新而引起的安全性更改通知。

5.使用不安全或过时的组件

使用不推荐的或不安全的软件组件/库,可能使设备受到威胁。这包括不安全的操作系统平台定制,以及使用来自受损供应链的第三方软件或硬件组件。

6.隐私保护不足

存储在设备或生态系统中的用户个人信息被不安全、不正确或未经许可使用。

7.不安全的数据传输和存储

对生态系统内任何地方的敏感数据,包括静止、传输或处理过程中的敏感数据,缺乏加密或访问控制。

8.缺乏设备管理

生产环境中部署的设备缺乏安全支持,包括资产管理,更新管理,安全停用,系统监视和响应功能。

9.不安全的默认设置

带有不安全默认设置的设备或系统,或者缺乏通过限制操作员修改配置来使系统更安全的功能。

10.缺乏物理强化措施

缺乏物理强化措施,使得潜在的攻击者能够获得敏感信息,从而帮助将来的远程攻击或对设备进行本地控制。

下一步是什么

展望未来,OWASP社区计划每两年更新一次此列表,以适应行业变化,并扩展到IoT的其他方面,例如嵌入式安全和工业控制系统以及监督控制和数据采集系统(ICS / SCADA)。还计划为每个项目添加示例,并将其映射到其他OWASP项目,例如应用程序安全验证标准(ASVS)以及外部项目。

也许最重要的是,OWASP正在考虑添加参考体系结构,以使他们不仅可以告诉人们不该做什么,而且还告诉他们如何更安全地做什么。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Next Post

物联网提供了一种通过连接的温度计跟踪COVID-19的方法

周二 7月 28 , 2020
COVID-19大流行使一家联网温度计制造商一举成名,因为Kinsa提供了一个可能了解疾病传播的窗口 […]