在構建、部署或管理物聯網系統時,最大的問題和漏洞到底是什麼?更重要的是,我們可以採取哪些措施來緩解這些問題?
這就是OWSAPP(開放式Web應用程序安全項目)存在的原因。援引OWASP對自己的介紹,“OWASP物聯網項目旨在幫助製造商、開發人員和用戶更好地理解與物聯網相關的安全問題,並且使任何環境中的用戶能夠在構建、部署或評估物聯網技術時做出更好的安全決策。”
為此,OWASP發佈了十大物聯網隱患,讓我們來看一下該列表,並附上一些評論:
1.使用弱密碼、可猜解密碼或硬編碼密碼
使用易於被暴力破解、公開常見的或不可更改的口 令憑據,包括固件或客戶端軟件中的後門,對已部署系統授予未授權訪問權限。
點評:坦率講,這個問題非常突出,如今仍然令人難以置信,它仍然是我們必須面對的首要問題。我們也許會認為物聯網設備或應用程序的價格非常便宜或者覺得這並沒有多大壞處,但這種“懶惰想法”從來都不是使用弱密碼的藉口。
2.不安全的網絡服務
在設備上運行的不必要或不安全的網絡服務,特別 是那些暴露在互聯網上的網絡服務,會損害信息的機密性、完整性/真實性或可用性,或可導致允許未經授權的遠程控制。
點評:這是有道理的,但它更像是一個灰色地帶,因為我們往往並不清楚這些網絡服務是“不必要的還是不安全的”。
3.不安全的生態系統接口
物聯網設備外部生態系統中的不安全的Web、後端 API、雲或移動接口,可能導致攻擊破壞設備或其相關組件。常見問題包括缺乏身份認證/授權、缺少或弱加密,以及缺乏I/O過濾。
點評:同樣,接口方面的威脅並不總是明顯的,但身份認證、加密和過濾始終是必要的。
4.缺乏安全的更新機制
缺乏安全更新設備的能力。這包括設備上缺少固件 驗證,缺乏安全交付(在傳輸過程中未加密),缺乏防回滾機制,以及由於更新而缺乏安全更改通知。
點評:對於物聯網應用而言,這是一個持續存在的問題,因為許多供應商和企業都不願意為其設備的長遠使用考慮。此外,這並不總是技術問題,在某些情況下,物聯網設備的物理位置使得更新和維修/更換工作成為一項重大挑戰。
5.使用不安全或過時的組件
使用可能允許設備洩露的不安全或已棄用的軟件組 件/庫,這包括操作系統平臺的不安全定製,以及來自受損供應鏈的第三方軟件或硬件組件的使用。
點評:這種問題沒有任何藉口。不要使用便宜的組件並做正確的事。
6.隱私保護不足
用戶的個人信息存儲在物聯網設備上或其相關的生 態系統中,未經許可違規使用。
點評:顯然,個人信息需要妥善處理,但這裡的關鍵是“許可”,除非得到用戶的許可,否則任何人或組織不得違規使用某人的個人信息。
7.不安全的數據傳輸和存儲
物聯網生態系統內的敏感數據缺乏加密或訪問控制,包括數據在存儲、傳輸或處理過程中。
點評:雖然許多物聯網供應商都關注安全存儲,但確保數據在傳輸過程中的安全通常會被忽略。
8.缺乏設備管理
在產品中部署的設備缺乏安全支持,包括資產管理、更新管理、系統監控和響應功能。
點評:物聯網設備可能很小,價格低廉,並且可以大量部署,但這並不意味著您不必管理它們。事實上,管理它們比以往任何時候都更重要。即便這並不容易。
9.不安全的默認設置
設備或系統附帶了不安全的默認設置,或者缺乏通 過限制用戶修改配置來提高系統安全性的能力。
點評:這個問題不應該在2019年發生,每個人都應該知道這是個隱患並且知道如何避免它。
10.缺乏物理強化措施
缺乏物理強化措施,允許潛在的攻擊者獲取敏感信 息,而這些信息可能被用於未來的遠程攻擊或對設備進行本地控制。
點評:物聯網由“Things”組成。記住物聯網的物理特性並採取措施保護所涉及的相關設備非常重要。
