物聯網的十大安全隱患

■ 李偉

自從物聯網（IoT）誕生以來，安全問題一直困擾著物聯網發展。從供應商到企業用戶再到消費者，每個人都擔心他們所使用的新物聯網設備和系統可能受到損害。實際問題可能更加糟糕，因為脆弱的物聯網設備可能隨時會被黑客入侵并被利用到巨大的僵尸網絡中，甚至感染到那些安全的網絡。

在構建、部署或管理物聯網系統時，最大的問題和漏洞到底是什么？更重要的是，我們可以采取哪些措施來緩解這些問題？

這就是OWASP（開放式Web應用程序安全項目）存在的原因。援引OWASP對自己的介紹，“OWASP物聯網項目旨在幫助制造商、開發人員和用戶更好地理解與物聯網相關的安全問題，并且使任何環境中的用戶能夠在構建、部署或評估物聯網技術時做出更好的安全決策。”

為此，在幾個月前，OWASP發布了2018年的十大物聯網隱患，讓我們來看一下該列表，并附上一些評論：

1.使用弱密碼、可猜解密碼或硬編碼密碼

使用易于被暴力破解、公開常見的或不可更改的口令憑據，包括固件或客戶端軟件中的后門，對已部署系統授予未授權訪問權限。

點評：坦率講，這個問題非常突出，如今仍然令人難以置信，它仍然是我們必須面對的首要問題。我們也許會認為物聯網設備或應用程序的價格非常便宜或者覺得這并沒有多大壞處，但這種“懶惰想法”從來都不是使用弱密碼的借口。

2.不安全的網絡服務

在設備上運行的不必要或不安全的網絡服務，特別是那些暴露在互聯網上的網絡服務，會損害信息的機密性、完整性/真實性或可用性，或可導致允許未經授權的遠程控制。

點評：這是有道理的，但它更像是一個灰色地帶，因為我們往往并不清楚這些網絡服務是“不必要的還是不安全的”。

3.不安全的生態系統接口

物聯網設備外部生態系統中的不安全的Web、后端API、云或移動接口，可能導致攻擊破壞設備或其相關組件。常見問題包括缺乏身份認證/授權、缺少或弱加密，以及缺乏I/O過濾。

點評：同樣，接口方面的威脅并不總是明顯的，但身份認證、加密和過濾始終是必要的。

4.缺乏安全的更新機制

缺乏安全更新設備的能力。這包括設備上缺少固件驗證，缺乏安全交付（在傳輸過程中未加密），缺乏防回滾機制，以及由于更新而缺乏安全更改通知。

點評：對于物聯網應用而言，這是一個持續存在的問題，因為許多供應商和企業都不愿意為其設備的長遠使用考慮。此外，這并不總是技術問題，在某些情況下，物聯網設備的物理位置使得更新和維修/更換工作成為一項重大挑戰。

5.使用不安全或過時的組件

使用可能允許設備泄露的不安全或已棄用的軟件組件/庫，這包括操作系統平臺的不安全定制，以及來自受損供應鏈的第三方軟件或硬件組件的使用。

點評：這種問題沒有任何借口。不要使用便宜的組件并做正確的事。

6.隱私保護不足

用戶的個人信息存儲在物聯網設備上或其相關的生態系統中，未經許可違規使用。

點評：顯然，個人信息需要妥善處理，但這里的關鍵是“許可”，除非得到用戶的許可，否則任何人或組織不得違規使用某人的個人信息。

7.不安全的數據傳輸和存儲

物聯網生態系統內的敏感數據缺乏加密或訪問控制，包括數據在存儲、傳輸或處理過程中。

點評：雖然許多物聯網供應商都關注安全存儲，但確保數據在傳輸過程中的安全通常會被忽略。

8.缺乏設備管理

在產品中部署的設備缺乏安全支持，包括資產管理、更新管理、系統監控和響應功能。

點評：物聯網設備可能很小，價格低廉，并且可以大量部署，但這并不意味著您不必管理它們。事實上，管理它們比以往任何時候都更重要。即便這并不容易。

9.不安全的默認設置

設備或系統附帶了不安全的默認設置，或者缺乏通過限制用戶修改配置來提高系統安全性的能力。

點評：這個問題不應該在2019年發生，每個人都應該知道這是個隱患并且知道如何避免它。

10.缺乏物理強化措施

缺乏物理強化措施，允許潛在的攻擊者獲取敏感信息，而這些信息可能被用于未來的遠程攻擊或對設備進行本地控制。

點評：物聯網由“Things”組成。記住物聯網的物理特性并采取措施保護所涉及的相關設備非常重要。

下一步是什么？

展望未來，OWASP社區計劃每兩年更新一次該列表，以了解行業變化并擴展到物聯網的其他方面。例如，嵌入式安全和工業控制系統以及監控和數據采集系統（ICS/SCADA），還 計 劃 為每個項目添加示例，并將其映射到其他OWASP項目，例如應用程序安全性驗證標準（ASVS）以及外部項目。

最重要的是，或許OWASP正在考慮增加參考架構，不僅要告訴人們不該做什么，還要考慮他們需要做些什么才能更安全。