物聯網（IoT）技術無處不在，如果沒有適當的安全保護措施，它們將很容易受到敏感數據泄漏的影響。從制造商到商業用戶再到消費者，每個人都擔心網絡犯罪分子會侵入其物聯網設備和系統。那么，在設計、部署或運行物聯網設備時，需要考慮的最關鍵問題是什么？

這就是OWASP（openwebapplicationsecurityproject）的用武之地。OWASP中10大物聯網漏洞列表旨在幫助企業和客戶了解其物聯網設備的安全漏洞，并允許用戶在發布或購買物聯網設備時做出更好的安全決策。

根據OWASP，以下是我們目前面臨的10大物聯網安全漏洞：

1、弱、可猜測或硬編碼密碼

弱密碼是簡短的、簡單的、系統默認的，或者可以通過使用一系列可能的密碼列表（如字典中的單詞、熟悉的名稱等）執行暴力攻擊而很快就能猜到的東西。

2、不安全的網絡服務

設備上運行的不安全服務可能會暴露給互聯網，從而使攻擊者可以破壞物聯網設備。

3、不安全的生態系統接口

此問題涉及使消費者能夠與其智能設備進行通信的API、移動和Web應用程序。這些接口中的任何漏洞都將使網絡犯罪分子能夠危害設備。

4、缺乏安全的更新機制

如果某臺設備的更新過程不安全，就有可能成為惡意攻擊的受害者。在這種情況下，您可能會在更新過程中無意中安裝來自攻擊者的惡意代碼。更新過程必須通過加密渠道安全可靠地完成。

5、使用不安全或過時的組件

在代碼中使用不安全或過時的組件可能會導致設備的安全性完全受損。這包括操作系統平臺的弱定制以及使用來自受損供應商的第三方軟件或硬件組件。

6、隱私保護不足

個人資料非常重要。如果被濫用，無論是有意還是無意，都會對人們的生活產生重大影響。物聯網設備可以獲得大量關于它們所處環境和使用它們的人的數據。

7、不安全的數據傳輸和存儲

每當智能設備接收到數據并通過網絡傳輸，或在新位置收集數據時，這些數據被泄露的可能性就會增加。（來自物聯之家網）為了降低這些風險，您應該限制對敏感數據的訪問，并確保數據始終是加密的。

8、缺乏設備管理

了解環境中的資產非常重要，有效管理資產也同樣重要——您無法保護自己不知道的資產。在這一點上的失敗可能會導致整個網絡被黑客攻擊。

9、不安全的默認設置

物聯網設備通常帶有弱默認設置。通常，我們只是不懂而已，沒有更改這些默認設置。在其他情況下，由于您受到限制并且沒有執行此操作所需的權限，因此無法更改系統配置。

10、缺乏物理硬化

必須對設備進行加固以防物理攻擊。此時失敗將使潛在攻擊者獲得敏感數據，這些數據有助于黑客發起遠程攻擊或獲得對設備的本地控制。

積極考慮這些風險有助于降低因網絡罪犯數量不斷增多而受到危害的風險。
責任編輯人：CC