解讀2018 OWASP TOP10物聯網安全漏洞

語言: CN / TW / HK

【51CTO.com快譯】從物聯網這一個概念誕生之日起,安全問題就一直是物聯網發展的關鍵所在。從供應商到企業使用者,再到消費者,每個人都擔心他們種類繁多的新物聯網裝置和系統可能會受到損害。實際上,安全問題比大家擔心的更糟糕,因為易受攻擊的物聯網裝置可能被黑客入侵併被利用到巨大的殭屍網路中,甚至威脅到正確安全的網路。

但在構建、部署、管理物聯網系統時,最大的問題和漏洞到底是什麼?更重要的是,我們可以採取哪些措施來緩解這些問題呢?

這就是開放式Web應用程式安全專案OWASP的用武之地。用OWASP自己的話說:“OWASP物聯網專案旨在幫助製造商,開發人員和消費者更好地理解與物聯網相關的安全問題,並且使任何環境中的使用者能夠在構建,部署或評估物聯網技術時做出更好的安全決策。”

OWASP的10大物聯網漏洞

為此,在聖誕節那天,OWASP釋出了2018年的10大物聯網漏洞,並附有資訊圖(見下文)。 我們來看一下這個列表,並附上一些評論:

1. 弱密碼,可猜測密碼或硬編碼密碼

使用易於暴力強制,公開可用或不可更改的憑據,包括韌體或客戶端軟體中的後門,授予對已部署系統的未授權訪問許可權。

點評:坦率地說,這個問題非常明顯!幾乎無法相信,它仍然是我們必須考慮的問題。無論物聯網裝置或應用程式的價格是多麼便宜或無害,這種懶惰從來都不是藉口。

2. 不安全的網路服務

裝置本身上執行的不需要或不安全的網路服務,尤其是那些暴露於網際網路的網路服務,會損害資訊的機密性,完整性/真實性或可用性,或允許未經授權的遠端控制。

點評:這是有道理的,但它更像是一個灰**域,因為並不總是清楚這些網路服務是“不必要的還是不安全的”。

3. 不安全的生態介面

裝置外生態系統中不安全的 web、後端 API、雲或移動介面,導致裝置或相關元件遭攻陷。常見的問題包括:缺乏認證/授權、缺乏加密或弱加密、缺乏輸入和輸出過濾。

點評:實際上,介面是否導致風險並不總是很明顯,但身份驗證,加密和過濾始終是好主意。

4. 缺乏安全的更新機制

缺乏安全更新裝置的能力,包括:缺少對裝置的韌體驗證、缺乏安全交付(傳輸中未加密)、缺乏防回滾機制、缺少因更新而導致的安全更改通知。

點評:對於物聯網應用而言,這是一個持續存在的問題,因為許多供應商和企業都不願意考慮其裝置未來。此外,它並不總是技術問題。在某些情況下,物聯網裝置的物理位置使更新和維修/更換成為一項重大挑戰。

5. 使用不安全或過時的元件

使用可能導致裝置洩露的已棄用或不安全的軟體元件/庫,比如作業系統平臺的不安全定製,以及來自受損供應鏈的第三方軟體或硬體元件的使用。

點評:這種問題沒有任何藉口。供應商和企業不能因為節省成本而帶來風險。.

6. 隱私保護不足

儲存在物聯網裝置上或者生態系統中的使用者資訊,可能會被不安全,不當的,甚至未經許可使用。

點評:顯然,個人資訊需要妥善處理。但這裡的關鍵是“許可”,除非得到他們的許可,否則對個人資訊做其他事情。

7. 不安全的資料傳輸和儲存

生態系統內任何地方的敏感資料都缺乏加密或訪問控制,包括靜止,傳輸或處理過程中。

點評:雖然許多物聯網供應商都關注安全儲存,但是通常會忽視資料在傳輸過程中的安全問題。

8. 缺乏裝置管理

在生產中部署的裝置缺乏安全支援,比如對資產的管理,更新的管理,以及安全退役、系統監控和響應功能。

點評:物聯網裝置可能很小,價格低廉,並且可以大量部署,但這並不意味著您不必管理它們。事實上,在使用時對它們的管理,比以往任何時候都更重要。

9. 不安全的預設設定

裝置或系統附帶不安全的預設設定,或缺乏通過限制操作員修改配置來使系統更安全的能力。

點評:2019年應該解決這個問題,避免採用預設設定。

10. 缺乏物理加固措施

由於缺乏物理加固措施,可能存在被潛在攻擊者獲取敏感資訊的風險。攻擊者可通過獲取的資訊用來實施遠端攻擊或者對裝置進行本地控制。

點評:物聯網由“事物”組成,因此記住物聯網的物理特性並採取措施保護所涉及的實際裝置非常重要。

下一步是什麼?

展望未來,OWASP社群計劃每兩年更新一次該列表,以瞭解行業變化,並擴充套件到物聯網的其他方面,如嵌入式安全和工業控制系統以及監控和資料採集系統(ICS / SCADA)。 還計劃為每個專案新增示例,並將它們對映到其他OWASP專案,例如應用程式安全性驗證標準(ASVS)以及外部專案。

最重要的是,或許,OWASP正在考慮增加參考架構,不僅要告訴人們不該做什麼,還要考慮他們需要做些什麼才能更安全地做。

原文地址:https://www.networkworld.com/article/3332032/internet-of-things/top-10-iot-vulnerabilities.html

作者:Fredric Paul

【51CTO譯稿,合作站點轉載請註明原文譯者和出處為51CTO.com】