物聯(lián)網(wǎng)（IoT）技術(shù)無處不在，如果沒有適當?shù)陌踩Ｗo措施，它們將很容易受到敏感數(shù)據(jù)泄漏的影響。從制造商到商業(yè)用戶再到消費者，每個人都擔心網(wǎng)絡(luò)犯罪分子會侵入其物聯(lián)網(wǎng)設(shè)備和系統(tǒng)。那么，在設(shè)計、部署或運行物聯(lián)網(wǎng)設(shè)備時，需要考慮的最關(guān)鍵問題是什么？

這就是OWASP（openwebapplicationsecurityproject）的用武之地。OWASP中10大物聯(lián)網(wǎng)漏洞列表旨在幫助企業(yè)和客戶了解其物聯(lián)網(wǎng)設(shè)備的安全漏洞，并允許用戶在發(fā)布或購買物聯(lián)網(wǎng)設(shè)備時做出更好的安全決策。

根據(jù)OWASP，以下是我們目前面臨的10大物聯(lián)網(wǎng)安全漏洞：

1、弱、可猜測或硬編碼密碼

弱密碼是簡短的、簡單的、系統(tǒng)默認的，或者可以通過使用一系列可能的密碼列表（如字典中的單詞、熟悉的名稱等）執(zhí)行暴力攻擊而很快就能猜到的東西。

2、不安全的網(wǎng)絡(luò)服務(wù)

設(shè)備上運行的不安全服務(wù)可能會暴露給互聯(lián)網(wǎng)，從而使攻擊者可以破壞物聯(lián)網(wǎng)設(shè)備。

3、不安全的生態(tài)系統(tǒng)接口

此問題涉及使消費者能夠與其智能設(shè)備進行通信的API、移動和Web應用程序。這些接口中的任何漏洞都將使網(wǎng)絡(luò)犯罪分子能夠危害設(shè)備。

4、缺乏安全的更新機制

如果某臺設(shè)備的更新過程不安全，就有可能成為惡意攻擊的受害者。在這種情況下，您可能會在更新過程中無意中安裝來自攻擊者的惡意代碼。更新過程必須通過加密渠道安全可靠地完成。

5、使用不安全或過時的組件

在代碼中使用不安全或過時的組件可能會導致設(shè)備的安全性完全受損。這包括操作系統(tǒng)平臺的弱定制以及使用來自受損供應商的第三方軟件或硬件組件。

6、隱私保護不足

個人資料非常重要。如果被濫用，無論是有意還是無意，都會對人們的生活產(chǎn)生重大影響。物聯(lián)網(wǎng)設(shè)備可以獲得大量關(guān)于它們所處環(huán)境和使用它們的人的數(shù)據(jù)。

7、不安全的數(shù)據(jù)傳輸和存儲

每當智能設(shè)備接收到數(shù)據(jù)并通過網(wǎng)絡(luò)傳輸，或在新位置收集數(shù)據(jù)時，這些數(shù)據(jù)被泄露的可能性就會增加。（來自物聯(lián)之家網(wǎng)）為了降低這些風險，您應該限制對敏感數(shù)據(jù)的訪問，并確保數(shù)據(jù)始終是加密的。

8、缺乏設(shè)備管理

了解環(huán)境中的資產(chǎn)非常重要，有效管理資產(chǎn)也同樣重要——您無法保護自己不知道的資產(chǎn)。在這一點上的失敗可能會導致整個網(wǎng)絡(luò)被黑客攻擊。

9、不安全的默認設(shè)置

物聯(lián)網(wǎng)設(shè)備通常帶有弱默認設(shè)置。通常，我們只是不懂而已，沒有更改這些默認設(shè)置。在其他情況下，由于您受到限制并且沒有執(zhí)行此操作所需的權(quán)限，因此無法更改系統(tǒng)配置。

10、缺乏物理硬化

必須對設(shè)備進行加固以防物理攻擊。此時失敗將使?jié)撛诠粽攉@得敏感數(shù)據(jù)，這些數(shù)據(jù)有助于黑客發(fā)起遠程攻擊或獲得對設(shè)備的本地控制。

積極考慮這些風險有助于降低因網(wǎng)絡(luò)罪犯數(shù)量不斷增多而受到危害的風險。
責任編輯人：CC