您应该注意的10个物联网漏洞
我们大多数人都知道安全性是物联网设备的主要问题,那么我们最应担心什么?
物联网(IoT)技术无处不在,如果没有适当的安全保护措施,它们将很容易受到敏感数据泄漏的影响。从制造商到商业用户再到消费者,每个人都担心网络犯罪分子会侵入其物联网设备和系统。那么,在设计、部署或运行物联网设备时,需要考虑的最关键问题是什么?
这就是OWASP(openwebapplicationsecurityproject)的用武之地。OWASP中10大物联网漏洞列表旨在帮助企业和客户了解其物联网设备的安全漏洞,并允许用户在发布或购买物联网设备时做出更好的安全决策。
根据OWASP,以下是我们目前面临的10大物联网安全漏洞:
1、弱、可猜测或硬编码密码
弱密码是简短的、简单的、系统默认的,或者可以通过使用一系列可能的密码列表(如字典中的单词、熟悉的名称等)执行暴力攻击而很快就能猜到的东西。
2、不安全的网络服务
设备上运行的不安全服务可能会暴露给互联网,从而使攻击者可以破坏物联网设备。
3、不安全的生态系统接口
此问题涉及使消费者能够与其智能设备进行通信的API、移动和Web应用程序。这些接口中的任何漏洞都将使网络犯罪分子能够危害设备。
4、缺乏安全的更新机制
如果某台设备的更新过程不安全,就有可能成为恶意攻击的受害者。在这种情况下,您可能会在更新过程中无意中安装来自攻击者的恶意代码。更新过程必须通过加密渠道安全可靠地完成。
5、使用不安全或过时的组件
在代码中使用不安全或过时的组件可能会导致设备的安全性完全受损。这包括操作系统平台的弱定制以及使用来自受损供应商的第三方软件或硬件组件。
6、隐私保护不足
个人资料非常重要。如果被滥用,无论是有意还是无意,都会对人们的生活产生重大影响。物联网设备可以获得大量关于它们所处环境和使用它们的人的数据。
7、不安全的数据传输和存储
每当智能设备接收到数据并通过网络传输,或在新位置收集数据时,这些数据被泄露的可能性就会增加。(来自物联之家网)为了降低这些风险,您应该限制对敏感数据的访问,并确保数据始终是加密的。
8、缺乏设备管理
了解环境中的资产非常重要,有效管理资产也同样重要——您无法保护自己不知道的资产。在这一点上的失败可能会导致整个网络被黑客攻击。
9、不安全的默认设置
物联网设备通常带有弱默认设置。通常,我们只是不懂而已,没有更改这些默认设置。在其他情况下,由于您受到限制并且没有执行此操作所需的权限,因此无法更改系统配置。
10、缺乏物理硬化
必须对设备进行加固以防物理攻击。此时失败将使潜在攻击者获得敏感数据,这些数据有助于黑客发起远程攻击或获得对设备的本地控制。
积极考虑这些风险有助于降低因网络罪犯数量不断增多而受到危害的风险。