OWASP物联网安全2018 TOP 10
原文:https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
OWASP物联网(IoT)项目
牛津大学对于物联网的定义是:“A proposed development of the Internet in which everyday objects have network connectivity, allowing them to send and receive data.”
OWASP物联网项目旨在帮助制造商、开发人员、测试人员和消费者更好的理解物联网安全相关的问题,并使任何相关的用户在构建、部署或评估物联网技术时能够做出更好的安全决策。
该项目旨在为各种物联网子项目(例如Attack Surface Areas、测试指南和顶级漏洞)定义一个基础结构。
下面我们看下2018年OWASP Top物联网安全项。
1. 弱密码、可猜测的或硬编码的密码
在物联网应用中使用了容易被破坏的、公开可用的或不可更改的凭证,包括固件或客户端软件中的后门,且将这些后门授予已部署系统的未经授权的访问。
2. 不安全的网络服务
物联网应用中的设备本身运行着不需要的或不安全的网络服务,特别是暴露在Internet上的服务,这些服务危及信息的机密性、完整性/真实性或可用性,或是允许未经授权的远程控制
3. 不安全的生态系统接口
在生态系统外部设备使用了不安全的web、后端API、云或移动接口,并允许妥协的设备或相关的组件应用,常见的问题包含缺少身份验证/授权,缺少或弱封装以及缺少输入和输出的过滤
4. 缺少安全更新机制
缺少安全更新能力,包括缺少在设备上固件验证,缺少安全的交付机制(在传输过程中未加密)、缺少防回滚锁定机制以及由于更新而缺少的安全更改通知机制
5. 使用不安全或过时的组件
在物联网应用中使用了过时的或不安全的软件组件/库,这些可能会危及到物联网应用的安全。这些组件/库包括操作系统的不安全机制、以及使用第三方软件或硬件组件等。
6. 隐私保护不足
对存储在设备或物联网服务生态系统中的用户个人信息,使用了不安全的、不正确或未经授权的访问机制
7. 不安全的数据传输和存储
缺少对物联网生态系统中的任何敏感的数据的加密或访问控制机制,包括静态存储、传输或处理过程中的数据
8. 缺乏设备管理
对于处于生产已部署的设备缺乏安全支持,包括资产管理、更新管理、安全淘汰更新、监控管理以及响应支持能力
9. 不安全的默认配置
出厂时的设备默认配置不安全,或是无法通过限制操作员修改配置来提升设备的安全性
10. 缺乏物理保护强化措施
缺乏物理保护强化措施,使用保护性攻击能轻易获得敏感数据,从而有助于未来远程攻击或控制设备
理念
OWASP物联网项目于2014年启动,旨在帮助开发商、制造商、企业和消费者就物联网系统的创建和使用做出更好的决策。
这一点在2018年发布的OWASP物联网前10名中继续存在,这代表了构建、部署或管理物联网系统时应避免的十大问题。2018年OWASP物联网十大主题是简单。项目团队选择了一个单一的、统一的列表,在处理物联网安全时,该列表能够捕获需要避免的首要问题,而不是为风险、威胁、漏洞或开发人员、企业和消费者分别列出列表。
该团队认识到,现在有几十个组织发布了有关物联网安全的详细指导,所有这些都是为略有不同的受众和行业垂直领域设计的。我们认为我们可以创建的最有用的资源是一个单一的列表,它同时解决了制造商、企业和消费者的最高优先级问题。
方法论
项目团队是来自安全行业的志愿者专业人员的集合,拥有跨越多个专业领域的经验,包括:制造商、咨询、安全测试人员、开发人员等等。
该项目分以下几个阶段进行:
团队构成:寻找愿意为2018年更新做出贡献的人,无论是中小企业还是项目领导者,在项目期间执行各种任务。
项目审查:对2014年项目进行分析,以确定自该版本发布以来行业中发生了哪些变化,以及考虑到这些变化,如何更新列表。
数据收集:收集和审查多个脆弱性来源(公共和私人),特别强调哪些问题造成了最实际的影响和损害。
姐妹项目审查:对数十个其他物联网安全项目进行审查,以确保我们不会错过重大项目,并且我们对发布的内容和优先级都感到满意。示例包括:CSA物联网控制矩阵、CTIA、斯坦福安全物联网项目、Nistir 8200、Enisa物联网基线报告、消费者物联网安全实践准则等。
社区草稿反馈:将草稿发布给社区进行审查,包括多个Twitter请求评论、使用公共反馈表以及在收集反馈的地方进行多次公开讨论。然后,团队对反馈进行了审查,并进行了初始数据收集,以及姐妹项目审查,以创建列表内容和优先级。
发布:2018年12月向公众发布项目。
OWASP物联网TOP 10未来规划
该团队计划开展多项活动,以继续改进项目。
正在讨论的一些项目包括:
继续以两年为周期改进清单,纳入来自社区和其他项目贡献者的反馈,以确保我们始终关注行业面临的问题。
将列表项映射到其他OWASP项目,如ASV,也可能映射到OWASP之外的其他项目。
将项目扩展到物联网的其他方面,包括嵌入式安全、ICS/SCADA等。
添加使用和滥用案例以及多个示例,以巩固所讨论的每个概念。
考虑到添加了参考体系结构,因此我们不仅可以告诉人们应该避免什么,还可以告诉人们如何安全地完成他们需要做的事情。
参与OWASP物联网项目对社区开放。我们从所有参与者那里获取信息——无论您是开发人员、制造商、渗透测试人员,还是仅仅试图安全地实现物联网的人。您可以每隔一个星期五在OWASP Slack Channel的物联网安全室中找到团队会议。
许可
OWASP物联网项目是免费使用的。它是在http://creative commons.org/licenses/by-sa/3.0/creative commons attribution sharelike 3.0许可证下获得许可的,因此您可以复制、分发和传输作品,并且您可以对其进行调整,并在商业上使用它,但前提是您对作品进行了属性化,并且如果您更改、转换或构建了此作品,则可以分发资源。只能在与此相同或类似的许可证下使用。