【51CTO.com快譯】從物聯網這一個概念誕生之日起，安全問題就一直是物聯網發展的關鍵所在。從供應商到企業用戶，再到消費者，每個人都擔心他們種類繁多的新物聯網設備和系統可能會受到損害。實際上，安全問題比大家擔心的更糟糕，因為易受攻擊的物聯網設備可能被黑客入侵并被利用到巨大的僵尸網絡中，甚至威脅到正確安全的網絡。

但在構建、部署、管理物聯網系統時，最大的問題和漏洞到底是什么?更重要的是，我們可以采取哪些措施來緩解這些問題呢?

這就是開放式Web應用程序安全項目OWASP的用武之地。用OWASP自己的話說：“OWASP物聯網項目旨在幫助制造商，開發人員和消費者更好地理解與物聯網相關的安全問題，并且使任何環境中的用戶能夠在構建，部署或評估物聯網技術時做出更好的安全決策。”

OWASP的10大物聯網漏洞

為此，在圣誕節那天，OWASP發布了2018年的10大物聯網漏洞，并附有信息圖(見下文)。 我們來看一下這個列表，并附上一些評論：

1. 弱密碼，可猜測密碼或硬編碼密碼

使用易于暴力強制，公開可用或不可更改的憑據，包括固件或客戶端軟件中的后門，授予對已部署系統的未授權訪問權限。

點評：坦率地說，這個問題非常明顯!幾乎無法相信，它仍然是我們必須考慮的問題。無論物聯網設備或應用程序的價格是多么便宜或無害，這種懶惰從來都不是借口。

2. 不安全的網絡服務

設備本身上運行的不需要或不安全的網絡服務，尤其是那些暴露于互聯網的網絡服務，會損害信息的機密性，完整性/真實性或可用性，或允許未經授權的遠程控制。

點評：這是有道理的，但它更像是一個灰色區域，因為并不總是清楚這些網絡服務是“不必要的還是不安全的”。

3. 不安全的生態接口

設備外生態系統中不安全的 web、后端 API、云或移動接口，導致設備或相關組件遭攻陷。常見的問題包括：缺乏認證/授權、缺乏加密或弱加密、缺乏輸入和輸出過濾。

點評：實際上，接口是否導致風險并不總是很明顯，但身份驗證，加密和過濾始終是好主意。

4. 缺乏安全的更新機制

缺乏安全更新設備的能力，包括：缺少對設備的固件驗證、缺乏安全交付(傳輸中未加密)、缺乏防回滾機制、缺少因更新而導致的安全更改通知。

點評：對于物聯網應用而言，這是一個持續存在的問題，因為許多供應商和企業都不愿意考慮其設備未來。此外，它并不總是技術問題。在某些情況下，物聯網設備的物理位置使更新和維修/更換成為一項重大挑戰。

5. 使用不安全或過時的組件

使用可能導致設備泄露的已棄用或不安全的軟件組件/庫，比如操作系統平臺的不安全定制，以及來自受損供應鏈的第三方軟件或硬件組件的使用。

點評：這種問題沒有任何借口。供應商和企業不能因為節省成本而帶來風險。.

6. 隱私保護不足

存儲在物聯網設備上或者生態系統中的用戶信息，可能會被不安全，不當的，甚至未經許可使用。

點評：顯然，個人信息需要妥善處理。但這里的關鍵是“許可”，除非得到他們的許可，否則對個人信息做其他事情。

7. 不安全的數據傳輸和存儲

生態系統內任何地方的敏感數據都缺乏加密或訪問控制，包括靜止，傳輸或處理過程中。

點評：雖然許多物聯網供應商都關注安全存儲，但是通常會忽視數據在傳輸過程中的安全問題。

8. 缺乏設備管理

在生產中部署的設備缺乏安全支持，比如對資產的管理，更新的管理，以及安全退役、系統監控和響應功能。

點評：物聯網設備可能很小，價格低廉，并且可以大量部署，但這并不意味著您不必管理它們。事實上，在使用時對它們的管理，比以往任何時候都更重要。

9. 不安全的默認設置

設備或系統附帶不安全的默認設置，或缺乏通過限制操作員修改配置來使系統更安全的能力。

點評：2019年應該解決這個問題，避免采用默認設置。

10. 缺乏物理加固措施

由于缺乏物理加固措施，可能存在被潛在攻擊者獲取敏感信息的風險。攻擊者可通過獲取的信息用來實施遠程攻擊或者對設備進行本地控制。

點評：物聯網由“事物”組成，因此記住物聯網的物理特性并采取措施保護所涉及的實際設備非常重要。

下一步是什么?

展望未來，OWASP社區計劃每兩年更新一次該列表，以了解行業變化，并擴展到物聯網的其他方面，如嵌入式安全和工業控制系統以及監控和數據采集系統(ICS / SCADA)。 還計劃為每個項目添加示例，并將它們映射到其他OWASP項目，例如應用程序安全性驗證標準(ASVS)以及外部項目。

最重要的是，或許，OWASP正在考慮增加參考架構，不僅要告訴人們不該做什么，還要考慮他們需要做些什么才能更安全地做。

原文地址：https://www.networkworld.com/article/3332032/internet-of-things/top-10-iot-vulnerabilities.html

作者：Fredric Paul

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】