昨天看完了第10名到第6名的選手���,今天就來看看對物聯(lián)網(wǎng)(IoT)前五名分別是哪些威脅吧!
第5名:使用不安全或過時的組件
使用已停止維護或不安全的軟件組件/函式庫�,導(dǎo)致設(shè)備可能被入侵����。這亦包含了不安全的客制化操作系統(tǒng)����,以及使用來自供應(yīng)鏈中已被入侵的廠商所提供的第三方軟硬件組件���。
第4名:缺乏安全更新機制
缺乏安全進行設(shè)備更新的能力����,這包含了缺乏設(shè)備韌體的驗證����、缺乏數(shù)據(jù)傳輸時之加密、缺乏防版本回刷機制���,及缺乏因應(yīng)更新而導(dǎo)致之安全性改變之通知�����。
第3名:不安全的操作系統(tǒng)接口
可用于操控IoT設(shè)備的不安全的網(wǎng)頁�、后端API、云端或智能型手機接口�,導(dǎo)致設(shè)備可能遭入侵并影響相關(guān)組件。常見的問題包括缺乏身份驗證機制����、缺乏加密機制,或是加密機制很弱�,以及缺乏輸出入信息的過濾。
第2名:不安全的網(wǎng)絡(luò)服務(wù)
設(shè)備上運行有非必要或是不安全的網(wǎng)絡(luò)服務(wù)��,特別是那些可以直接由因特網(wǎng)存取的設(shè)備�,并造成信息之保密性、一致性及可用性受影響�,并導(dǎo)致允許未經(jīng)授權(quán)的遠程訪問。
第1名:弱密碼�����、容易被猜到的密碼及寫死的密碼
使用容易就能被暴力破解的密碼�����、能夠公開取得的密碼�、或是沒有改變過的默認(rèn)密碼,例如韌體中藏有之后門��,以及透過客戶端的軟件提權(quán)并進到布建的系統(tǒng)內(nèi)部等���。
補充一下�,大部分的IoT殭尸網(wǎng)絡(luò)都是透過這個威脅取得目標(biāo)設(shè)備的訪問權(quán)限��,并透過該設(shè)備進行下一步的對外攻擊����。
以上就是由OWASP所發(fā)展出IoT的前10大威脅清單,也建議各位在建置或管理IoT時應(yīng)該要確認(rèn)一下���,是不是有剛好踩到這些雷��,以免造成設(shè)備遭入侵或數(shù)據(jù)外泄導(dǎo)致?lián)p失喔!
此外��,后續(xù)OWASP也會持續(xù)更新威脅清單及排名�����,有興趣的也可以隨時關(guān)注OWASP網(wǎng)頁取得最新消息喔��。
參考數(shù)據(jù):
[1] https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
