物聯(lián)網(wǎng)（IoT）技術無處不在，如果沒有適當?shù)陌踩Ｗo措施，它們將很容易受到敏感數(shù)據(jù)泄漏的影響。從制造商到商業(yè)用戶再到消費者，每個人都擔心網(wǎng)絡犯罪分子會侵入其物聯(lián)網(wǎng)設備和系統(tǒng)。那么，在設計、部署或運行物聯(lián)網(wǎng)設備時，需要考慮的最關鍵問題是什么？

這就是OWASP（openwebapplicationsecurityproject）的用武之地。OWASP中10大物聯(lián)網(wǎng)漏洞列表旨在幫助企業(yè)和客戶了解其物聯(lián)網(wǎng)設備的安全漏洞，并允許用戶在發(fā)布或購買物聯(lián)網(wǎng)設備時做出更好的安全決策。

根據(jù)OWASP，以下是我們目前面臨的10大物聯(lián)網(wǎng)安全漏洞：

1、弱、可猜測或硬編碼密碼

弱密碼是簡短的、簡單的、系統(tǒng)默認的，或者可以通過使用一系列可能的密碼列表（如字典中的單詞、熟悉的名稱等）執(zhí)行暴力攻擊而很快就能猜到的東西。

2、不安全的網(wǎng)絡服務

設備上運行的不安全服務可能會暴露給互聯(lián)網(wǎng)，從而使攻擊者可以破壞物聯(lián)網(wǎng)設備。

3、不安全的生態(tài)系統(tǒng)接口

此問題涉及使消費者能夠與其智能設備進行通信的API、移動和Web應用程序。這些接口中的任何漏洞都將使網(wǎng)絡犯罪分子能夠危害設備。

4、缺乏安全的更新機制

如果某臺設備的更新過程不安全，就有可能成為惡意攻擊的受害者。在這種情況下，您可能會在更新過程中無意中安裝來自攻擊者的惡意代碼。更新過程必須通過加密渠道安全可靠地完成。

5、使用不安全或過時的組件

在代碼中使用不安全或過時的組件可能會導致設備的安全性完全受損。這包括操作系統(tǒng)平臺的弱定制以及使用來自受損供應商的第三方軟件或硬件組件。

6、隱私保護不足

個人資料非常重要。如果被濫用，無論是有意還是無意，都會對人們的生活產(chǎn)生重大影響。物聯(lián)網(wǎng)設備可以獲得大量關于它們所處環(huán)境和使用它們的人的數(shù)據(jù)。

7、不安全的數(shù)據(jù)傳輸和存儲

每當智能設備接收到數(shù)據(jù)并通過網(wǎng)絡傳輸，或在新位置收集數(shù)據(jù)時，這些數(shù)據(jù)被泄露的可能性就會增加。（來自物聯(lián)之家網(wǎng)）為了降低這些風險，您應該限制對敏感數(shù)據(jù)的訪問，并確保數(shù)據(jù)始終是加密的。

8、缺乏設備管理

了解環(huán)境中的資產(chǎn)非常重要，有效管理資產(chǎn)也同樣重要——您無法保護自己不知道的資產(chǎn)。在這一點上的失敗可能會導致整個網(wǎng)絡被黑客攻擊。

9、不安全的默認設置

物聯(lián)網(wǎng)設備通常帶有弱默認設置。通常，我們只是不懂而已，沒有更改這些默認設置。在其他情況下，由于您受到限制并且沒有執(zhí)行此操作所需的權限，因此無法更改系統(tǒng)配置。

10、缺乏物理硬化

必須對設備進行加固以防物理攻擊。此時失敗將使?jié)撛诠粽攉@得敏感數(shù)據(jù)，這些數(shù)據(jù)有助于黑客發(fā)起遠程攻擊或獲得對設備的本地控制。

積極考慮這些風險有助于降低因網(wǎng)絡罪犯數(shù)量不斷增多而受到危害的風險。
責任編輯人：CC