日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
解讀2018OWASPTOP10物聯(lián)網安全漏洞

從物聯(lián)網這一個概念誕生之日起,安全問題就一直是物聯(lián)網發(fā)展的關鍵所在。從供應商到企業(yè)用戶,再到消費者,每個人都擔心他們種類繁多的新物聯(lián)網設備和系統(tǒng)可能會受到損害。實際上,安全問題比大家擔心的更糟糕,因為易受攻擊的物聯(lián)網設備可能被黑客入侵并被利用到巨大的僵尸網絡中,甚至威脅到正確安全的網絡。

但在構建、部署、管理物聯(lián)網系統(tǒng)時,最大的問題和漏洞到底是什么?更重要的是,我們可以采取哪些措施來緩解這些問題呢?

這就是開放式Web應用程序安全項目OWASP的用武之地。用OWASP自己的話說:“OWASP物聯(lián)網項目旨在幫助制造商,開發(fā)人員和消費者更好地理解與物聯(lián)網相關的安全問題,并且使任何環(huán)境中的用戶能夠在構建,部署或評估物聯(lián)網技術時做出更好的安全決策?!?/p>

OWASP的10大物聯(lián)網漏洞

為此,在圣誕節(jié)那天,OWASP發(fā)布了2018年的10大物聯(lián)網漏洞,并附有信息圖(見下文)。 我們來看一下這個列表,并附上一些評論:

1. 弱密碼,可猜測密碼或硬編碼密碼

使用易于暴力強制,公開可用或不可更改的憑據,包括固件或客戶端軟件中的后門,授予對已部署系統(tǒng)的未授權訪問權限。

點評:坦率地說,這個問題非常明顯!幾乎無法相信,它仍然是我們必須考慮的問題。無論物聯(lián)網設備或應用程序的價格是多么便宜或無害,這種懶惰從來都不是借口。

2. 不安全的網絡服務

設備本身上運行的不需要或不安全的網絡服務,尤其是那些暴露于互聯(lián)網的網絡服務,會損害信息的機密性,完整性/真實性或可用性,或允許未經授權的遠程控制。

點評:這是有道理的,但它更像是一個灰色區(qū)域,因為并不總是清楚這些網絡服務是“不必要的還是不安全的”。

3. 不安全的生態(tài)接口

設備外生態(tài)系統(tǒng)中不安全的 web、后端 API、云或移動接口,導致設備或相關組件遭攻陷。常見的問題包括:缺乏認證/授權、缺乏加密或弱加密、缺乏輸入和輸出過濾。

點評:實際上,接口是否導致風險并不總是很明顯,但身份驗證,加密和過濾始終是好主意。

4. 缺乏安全的更新機制

缺乏安全更新設備的能力,包括:缺少對設備的固件驗證、缺乏安全交付(傳輸中未加密)、缺乏防回滾機制、缺少因更新而導致的安全更改通知。

點評:對于物聯(lián)網應用而言,這是一個持續(xù)存在的問題,因為許多供應商和企業(yè)都不愿意考慮其設備未來。此外,它并不總是技術問題。在某些情況下,物聯(lián)網設備的物理位置使更新和維修/更換成為一項重大挑戰(zhàn)。

5. 使用不安全或過時的組件

使用可能導致設備泄露的已棄用或不安全的軟件組件/庫,比如操作系統(tǒng)平臺的不安全定制,以及來自受損供應鏈的第三方軟件或硬件組件的使用。

點評:這種問題沒有任何借口。供應商和企業(yè)不能因為節(jié)省成本而帶來風險。.

6. 隱私保護不足

存儲在物聯(lián)網設備上或者生態(tài)系統(tǒng)中的用戶信息,可能會被不安全,不當?shù)?,甚至未經許可使用。

點評:顯然,個人信息需要妥善處理。但這里的關鍵是“許可”,除非得到他們的許可,否則對個人信息做其他事情。

7. 不安全的數(shù)據傳輸和存儲

生態(tài)系統(tǒng)內任何地方的敏感數(shù)據都缺乏加密或訪問控制,包括靜止,傳輸或處理過程中。

點評:雖然許多物聯(lián)網供應商都關注安全存儲,但是通常會忽視數(shù)據在傳輸過程中的安全問題。

8. 缺乏設備管理

在生產中部署的設備缺乏安全支持,比如對資產的管理,更新的管理,以及安全退役、系統(tǒng)監(jiān)控和響應功能。

點評:物聯(lián)網設備可能很小,價格低廉,并且可以大量部署,但這并不意味著您不必管理它們。事實上,在使用時對它們的管理,比以往任何時候都更重要。

9. 不安全的默認設置

設備或系統(tǒng)附帶不安全的默認設置,或缺乏通過限制操作員修改配置來使系統(tǒng)更安全的能力。

點評:2019年應該解決這個問題,避免采用默認設置。

10. 缺乏物理加固措施

由于缺乏物理加固措施,可能存在被潛在攻擊者獲取敏感信息的風險。攻擊者可通過獲取的信息用來實施遠程攻擊或者對設備進行本地控制。

點評:物聯(lián)網由“事物”組成,因此記住物聯(lián)網的物理特性并采取措施保護所涉及的實際設備非常重要。

下一步是什么?

展望未來,OWASP社區(qū)計劃每兩年更新一次該列表,以了解行業(yè)變化,并擴展到物聯(lián)網的其他方面,如嵌入式安全和工業(yè)控制系統(tǒng)以及監(jiān)控和數(shù)據采集系統(tǒng)(ICS / SCADA)。 還計劃為每個項目添加示例,并將它們映射到其他OWASP項目,例如應用程序安全性驗證標準(ASVS)以及外部項目。

最重要的是,或許,OWASP正在考慮增加參考架構,不僅要告訴人們不該做什么,還要考慮他們需要做些什么才能更安全地做。


網頁標題:解讀2018OWASPTOP10物聯(lián)網安全漏洞
文章來源:http://www.dlmjj.cn/article/dpiiigo.html