OWASP物联网安全2018 TOP 10

原创

苦叶子 2023-04-02 21:13:45 ©著作权

文章标签 大数据 java 人工智能 python 安全 文章分类 Oracle 数据库

©著作权归作者所有：来自51CTO博客作者苦叶子的原创作品，请联系作者获取转载授权，否则将追究法律责任

OWASP物联网安全2018 TOP 10_安全

OWASP物联网(IoT)项目

牛津大学对于物联网的定义是：“A proposed development of the Internet in which everyday objects have network connectivity, allowing them to send and receive data.”

OWASP物联网项目旨在帮助制造商、开发人员、测试人员和消费者更好的理解物联网安全相关的问题，并使任何相关的用户在构建、部署或评估物联网技术时能够做出更好的安全决策。

该项目旨在为各种物联网子项目（例如Attack Surface Areas、测试指南和顶级漏洞）定义一个基础结构。

下面我们看下2018年OWASP Top物联网安全项。

1. 弱密码、可猜测的或硬编码的密码

在物联网应用中使用了容易被破坏的、公开可用的或不可更改的凭证，包括固件或客户端软件中的后门，且将这些后门授予已部署系统的未经授权的访问。

2. 不安全的网络服务

物联网应用中的设备本身运行着不需要的或不安全的网络服务，特别是暴露在Internet上的服务，这些服务危及信息的机密性、完整性/真实性或可用性，或是允许未经授权的远程控制

3. 不安全的生态系统接口

在生态系统外部设备使用了不安全的web、后端API、云或移动接口，并允许妥协的设备或相关的组件应用，常见的问题包含缺少身份验证/授权，缺少或弱封装以及缺少输入和输出的过滤

4. 缺少安全更新机制

缺少安全更新能力，包括缺少在设备上固件验证，缺少安全的交付机制（在传输过程中未加密）、缺少防回滚锁定机制以及由于更新而缺少的安全更改通知机制

5. 使用不安全或过时的组件

在物联网应用中使用了过时的或不安全的软件组件/库，这些可能会危及到物联网应用的安全。这些组件/库包括操作系统的不安全机制、以及使用第三方软件或硬件组件等。

6. 隐私保护不足

对存储在设备或物联网服务生态系统中的用户个人信息，使用了不安全的、不正确或未经授权的访问机制

7. 不安全的数据传输和存储

缺少对物联网生态系统中的任何敏感的数据的加密或访问控制机制，包括静态存储、传输或处理过程中的数据

8. 缺乏设备管理

对于处于生产已部署的设备缺乏安全支持，包括资产管理、更新管理、安全淘汰更新、监控管理以及响应支持能力

9. 不安全的默认配置

出厂时的设备默认配置不安全，或是无法通过限制操作员修改配置来提升设备的安全性

10. 缺乏物理保护强化措施

缺乏物理保护强化措施，使用保护性攻击能轻易获得敏感数据，从而有助于未来远程攻击或控制设备

理念

OWASP物联网项目于2014年启动，旨在帮助开发商、制造商、企业和消费者就物联网系统的创建和使用做出更好的决策。

这一点在2018年发布的OWASP物联网前10名中继续存在，这代表了构建、部署或管理物联网系统时应避免的十大问题。2018年OWASP物联网十大主题是简单。项目团队选择了一个单一的、统一的列表，在处理物联网安全时，该列表能够捕获需要避免的首要问题，而不是为风险、威胁、漏洞或开发人员、企业和消费者分别列出列表。

该团队认识到，现在有几十个组织发布了有关物联网安全的详细指导，所有这些都是为略有不同的受众和行业垂直领域设计的。我们认为我们可以创建的最有用的资源是一个单一的列表，它同时解决了制造商、企业和消费者的最高优先级问题。

方法论

项目团队是来自安全行业的志愿者专业人员的集合，拥有跨越多个专业领域的经验，包括：制造商、咨询、安全测试人员、开发人员等等。

该项目分以下几个阶段进行：

团队构成：寻找愿意为2018年更新做出贡献的人，无论是中小企业还是项目领导者，在项目期间执行各种任务。

项目审查：对2014年项目进行分析，以确定自该版本发布以来行业中发生了哪些变化，以及考虑到这些变化，如何更新列表。

数据收集：收集和审查多个脆弱性来源（公共和私人），特别强调哪些问题造成了最实际的影响和损害。

姐妹项目审查：对数十个其他物联网安全项目进行审查，以确保我们不会错过重大项目，并且我们对发布的内容和优先级都感到满意。示例包括：CSA物联网控制矩阵、CTIA、斯坦福安全物联网项目、Nistir 8200、Enisa物联网基线报告、消费者物联网安全实践准则等。

社区草稿反馈：将草稿发布给社区进行审查，包括多个Twitter请求评论、使用公共反馈表以及在收集反馈的地方进行多次公开讨论。然后，团队对反馈进行了审查，并进行了初始数据收集，以及姐妹项目审查，以创建列表内容和优先级。

发布：2018年12月向公众发布项目。

OWASP物联网TOP 10未来规划

该团队计划开展多项活动，以继续改进项目。

正在讨论的一些项目包括：

继续以两年为周期改进清单，纳入来自社区和其他项目贡献者的反馈，以确保我们始终关注行业面临的问题。

将列表项映射到其他OWASP项目，如ASV，也可能映射到OWASP之外的其他项目。

将项目扩展到物联网的其他方面，包括嵌入式安全、ICS/SCADA等。

添加使用和滥用案例以及多个示例，以巩固所讨论的每个概念。

考虑到添加了参考体系结构，因此我们不仅可以告诉人们应该避免什么，还可以告诉人们如何安全地完成他们需要做的事情。

参与OWASP物联网项目对社区开放。我们从所有参与者那里获取信息——无论您是开发人员、制造商、渗透测试人员，还是仅仅试图安全地实现物联网的人。您可以每隔一个星期五在OWASP Slack Channel的物联网安全室中找到团队会议。

许可

OWASP物联网项目是免费使用的。它是在http://creative commons.org/licenses/by-sa/3.0/creative commons attribution sharelike 3.0许可证下获得许可的，因此您可以复制、分发和传输作品，并且您可以对其进行调整，并在商业上使用它，但前提是您对作品进行了属性化，并且如果您更改、转换或构建了此作品，则可以分发资源。只能在与此相同或类似的许可证下使用。