35 видео на IT - тематику на нашем YouTube канале

ћерион Ќетворкс

4 минуты чтени€

¬опросы безопасности преследовали »нтернет вещей (Internet of Things) с самого момента изобретени€. ¬се, от поставщиков до корпоративных пользователей и потребителей, обеспокоены тем, что их модные новые устройства и системы IoT могут быть скомпрометированы. ѕроблема на самом деле еще хуже, поскольку у€звимые устройства IoT могут быть взломаны и использованы в гигантских ботнетах, которые угрожают даже правильно защищенным сет€м.

Top 10 IoT vulnerabilities

Ќо каких именно проблем и у€звимостей следует избегать при создании, развертывании или управлении системами IoT? », что более важно, что мы можем сделать, чтобы см€гчить эти проблемы?

»менно здесь вступает в действие OWASP (Open Web Application Security Project) - проект обеспечени€ безопасности открытых веб-приложений. ѕо его собственным словам, Ђѕроект »нтернета вещей OWASP призван помочь производител€м, разработчикам и потребител€м лучше пон€ть проблемы безопасности, св€занные с »нтернетом вещей, и позвол€ют пользовател€м в любом контексте принимать более обоснованные решени€ в области безопасности при создании, развертывании или оценке технологий IoTї.

ƒавайте рассмотрим топ 10 у€звимостей интернета вещей.


1.—лабые, угадываемые или жестко заданные пароли

»спользование легко взламываемых, общедоступных или неизмен€емых учетных данных, включа€ бэкдоры во встроенном программном обеспечении или клиентском программном обеспечении, которое предоставл€ет несанкционированный доступ к развернутым системам.

Ёта проблема настолько очевидна, что трудно поверить, что это все еще то, о чем мы должны думать.


2. Ќебезопасные сетевые сервисы

Ќенужные или небезопасные сетевые службы, работающие на самом устройстве, особенно те, которые подключены к »нтернету, которые став€т под угрозу конфиденциальность, целостность или подлинность или доступность информации или допускают несанкционированное удаленное управление.


3. Ќебезопасные экосистемные интерфейсы

Ќебезопасный веб-интерфейс, API бэкэнда, облачные или мобильные интерфейсы в экосистеме вне устройства, что позвол€ет компрометировать устройство или св€занные с ним компоненты. ќбщие проблемы включают в себ€ отсутствие аутентификации или авторизации, отсутствие или слабое шифрование, а также отсутствие фильтрации ввода и вывода.


4. ќтсутствие безопасных механизмов обновлени€

ќтсутствие возможности безопасного обновлени€ устройства. Ёто включает в себ€ отсутствие проверки прошивки на устройстве, отсутствие безопасной доставки (без шифровани€ при передаче), отсутствие механизмов предотвращени€ отката и отсутствие уведомлений об изменени€х безопасности из-за обновлений.

Ёто посто€нна€ проблема дл€ приложений IoT, так как многие производители и предпри€ти€ не забот€тс€ о будущем своих устройств и реализаций.  роме того, это не всегда технологическа€ проблема. ¬ некоторых случа€х физическое расположение устройств IoT делает обновление - и ремонт или замену - серьезной проблемой.


5. »спользование небезопасных или устаревших компонентов

»спользование устаревших или небезопасных программных компонентов или библиотек, которые могут позволить скомпрометировать устройство. Ёто включает небезопасную настройку платформ операционной системы и использование сторонних программных или аппаратных компонентов из скомпрометированной цепочки поставок.


6. Ќедостаточна€ защита конфиденциальности

Ћична€ информаци€ пользовател€, хран€ща€с€ на устройстве или в экосистеме, котора€ используетс€ небезопасно, ненадлежащим образом или без разрешени€.

ќчевидно, что с личной информацией нужно обращатьс€ соответствующим образом. Ќо ключом здесь €вл€етс€ Ђразрешениеї. ¬ы почти ничего не делаете с личной информацией, если у вас нет на это разрешени€.


7. Ќебезопасна€ передача и хранение данных

ќтсутствие шифровани€ или контрол€ доступа к конфиденциальным данным в любой точке экосистемы, в том числе в состо€нии поко€, передачи или во врем€ обработки.

¬ то врем€ как многие поставщики IoT обращают внимание на безопасное хранение, обеспечение безопасности данных во врем€ передачи слишком часто игнорируетс€.


8. ќграниченное управление устройством

ќтсутствие поддержки безопасности на устройствах, развернутых в производстве, включа€ управление активами, управление обновлени€ми, безопасный вывод из эксплуатации, мониторинг систем и возможности реагировани€.

”стройства IoT могут быть небольшими, недорогими и развернутыми в большом количестве, но это не означает, что вам не нужно ими управл€ть. ‘актически, это делает управление ими более важным, чем когда-либо. ƒаже если это не всегда легко, дешево или удобно.


9. Ќебезопасные настройки по умолчанию

”стройства или системы поставл€ютс€ с небезопасными настройками по умолчанию или не имеют возможности сделать систему более безопасной, ограничива€ операторов от изменени€ конфигурации.


10. ќтсутствие физического доступа

ќтсутствие мер по физической защите, позвол€ющих потенциальным злоумышленникам получать конфиденциальную информацию, котора€ может помочь в будущей удаленной атаке или получить локальный контроль над устройством.


„то из этого следует?

»нтернет вещей уже давно стал частью реальности, и с ним нельз€ забывать о безопасности. » вопросы безопасности должны ложитьс€ не только на плечи производителей, но и на плечи администраторов и обычных пользователей.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: