物聯(lián)網(wǎng)（IoT）技術(shù)無處不在，如果沒有適當(dāng)?shù)陌踩Ｗo(hù)措施，它們將很容易受到敏感數(shù)據(jù)泄漏的影響。從制造商到商業(yè)用戶再到消費(fèi)者，每個(gè)人都擔(dān)心網(wǎng)絡(luò)犯罪分子會(huì)侵入其物聯(lián)網(wǎng)設(shè)備和系統(tǒng)。那么，在設(shè)計(jì)、部署或運(yùn)行物聯(lián)網(wǎng)設(shè)備時(shí)，需要考慮的最關(guān)鍵問題是什么？

這就是OWASP（openwebapplicationsecurityproject）的用武之地。OWASP中10大物聯(lián)網(wǎng)漏洞列表旨在幫助企業(yè)和客戶了解其物聯(lián)網(wǎng)設(shè)備的安全漏洞，并允許用戶在發(fā)布或購買物聯(lián)網(wǎng)設(shè)備時(shí)做出更好的安全決策。

根據(jù)OWASP，以下是我們目前面臨的10大物聯(lián)網(wǎng)安全漏洞：

1、弱、可猜測(cè)或硬編碼密碼

弱密碼是簡短的、簡單的、系統(tǒng)默認(rèn)的，或者可以通過使用一系列可能的密碼列表（如字典中的單詞、熟悉的名稱等）執(zhí)行暴力攻擊而很快就能猜到的東西。

2、不安全的網(wǎng)絡(luò)服務(wù)

設(shè)備上運(yùn)行的不安全服務(wù)可能會(huì)暴露給互聯(lián)網(wǎng)，從而使攻擊者可以破壞物聯(lián)網(wǎng)設(shè)備。

3、不安全的生態(tài)系統(tǒng)接口

此問題涉及使消費(fèi)者能夠與其智能設(shè)備進(jìn)行通信的API、移動(dòng)和Web應(yīng)用程序。這些接口中的任何漏洞都將使網(wǎng)絡(luò)犯罪分子能夠危害設(shè)備。

4、缺乏安全的更新機(jī)制

如果某臺(tái)設(shè)備的更新過程不安全，就有可能成為惡意攻擊的受害者。在這種情況下，您可能會(huì)在更新過程中無意中安裝來自攻擊者的惡意代碼。更新過程必須通過加密渠道安全可靠地完成。

5、使用不安全或過時(shí)的組件

在代碼中使用不安全或過時(shí)的組件可能會(huì)導(dǎo)致設(shè)備的安全性完全受損。這包括操作系統(tǒng)平臺(tái)的弱定制以及使用來自受損供應(yīng)商的第三方軟件或硬件組件。

6、隱私保護(hù)不足

個(gè)人資料非常重要。如果被濫用，無論是有意還是無意，都會(huì)對(duì)人們的生活產(chǎn)生重大影響。物聯(lián)網(wǎng)設(shè)備可以獲得大量關(guān)于它們所處環(huán)境和使用它們的人的數(shù)據(jù)。

7、不安全的數(shù)據(jù)傳輸和存儲(chǔ)

每當(dāng)智能設(shè)備接收到數(shù)據(jù)并通過網(wǎng)絡(luò)傳輸，或在新位置收集數(shù)據(jù)時(shí)，這些數(shù)據(jù)被泄露的可能性就會(huì)增加。（來自物聯(lián)之家網(wǎng)）為了降低這些風(fēng)險(xiǎn)，您應(yīng)該限制對(duì)敏感數(shù)據(jù)的訪問，并確保數(shù)據(jù)始終是加密的。

8、缺乏設(shè)備管理

了解環(huán)境中的資產(chǎn)非常重要，有效管理資產(chǎn)也同樣重要——您無法保護(hù)自己不知道的資產(chǎn)。在這一點(diǎn)上的失敗可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)被黑客攻擊。

9、不安全的默認(rèn)設(shè)置

物聯(lián)網(wǎng)設(shè)備通常帶有弱默認(rèn)設(shè)置。通常，我們只是不懂而已，沒有更改這些默認(rèn)設(shè)置。在其他情況下，由于您受到限制并且沒有執(zhí)行此操作所需的權(quán)限，因此無法更改系統(tǒng)配置。

10、缺乏物理硬化

必須對(duì)設(shè)備進(jìn)行加固以防物理攻擊。此時(shí)失敗將使?jié)撛诠粽攉@得敏感數(shù)據(jù)，這些數(shù)據(jù)有助于黑客發(fā)起遠(yuǎn)程攻擊或獲得對(duì)設(shè)備的本地控制。

積極考慮這些風(fēng)險(xiǎn)有助于降低因網(wǎng)絡(luò)罪犯數(shù)量不斷增多而受到危害的風(fēng)險(xiǎn)。
責(zé)任編輯人：CC