OWASP IoT 项目 2018 OWASP中国 2019年1月 OWASP IoT 项目作者 项目负责人 IoT Top 2018贡献者 •Daniel Miessler • Vijayamurugan Pushpanathan •Craig Smith • Alexander Lafrenz •Vishruta Rudresh • Masahiro Murashima •Aaron Guzman • Charlie Worrell 贡献者 • José A. Rivas (jarv) •Justin Klein Keane • Pablo Endres •Saša Zdjelar • Ade Yoseman • Cédric Levy-Bencheotn • Jason Andress • Amélie Didion - Designer 原文文档 https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project OWASP IoT 项目中文版介绍 本文档为《OWASP Internet of Things (IoT) Top 10 2018》的中文版。本文档尽量保留原版本的格 式和风格，但部分语言调整为中文习惯，其中存在的差异，尽请谅解。 为了方便阅读和理解本文档的内容，本手册对原英文版本的章节进行了调整，致使本手册的章节编号、 页码与原英文版本的章节编号和页码不同。 特此感谢参与本文档工作的贡献团队与个人，以及其他关注和支持本项目的OWASP中国企业会员以及 个人会员。 翻译：360代码卫士团队：申少华、韩建、章磊 开源网安团队：曹传勇、张海春 校验：王颉、Rip 编排：许飞 本文档主要分成以下三部分 第一部分…………………………………… OWASP IoT 第 二 部 分 … … … … … … … … … … … … … … O W A S P 第三部分……………………………………附录OWASP TOP I o T IoT 10 2018 项 目 说 明 子项目(部分) OWASP IoT TOP 10 2018 弱密码、可猜测密码或硬编码密码 使用轻易可遭暴力破解的、可公开获取的或无法更改的凭证，包括固件或客 户端软件中带有允许对已部署系统进行未经授权访问的后门。 不安全的网络服务 设备运行了一些不需要或不安全的网络服务, 尤其是那些暴露在互联网上的服务。它们 会损害信息的保密性、完整性、真实性、可用性，或允许未经授权的远程控制。 不安全的生态接口 设备外生态系统中不安全的Web、后端API、云或移动接口，导致设备或相关组件遭攻 陷。常见的问题包括缺乏认证或授权、缺乏加密或弱加密以及缺乏输入和输出过滤。 缺乏安全的更新机制 缺乏安全更新设备的能力，包括：缺乏对设备固件的验证、缺乏安全交付（未 加密的传输）、缺乏防回滚机制以及缺乏对更新的安全变更的通知。 使用不安全或已遭弃用的组件 使用已遭弃用的或不安全的软件组件/库，将导致设备遭攻陷。组件包括操作系统 平台的不安全定制以及使用来自受损供应链的第三方软件或硬件组件。 隐私保护不充分 存储在设备或生态系统中的用户个人信息被不安全的、不当的、或未经授权的 使用。 不安全的数据传输和存储 缺乏对生态系统中任何位置的敏感数据进行加密或访问控制，包括：未使用时、 传输过程中或处理过程中的敏感数据。 缺乏设备管理 对已部署在生产过程中的设备，缺乏安全支持，包括：资产管理、更新管理、 安全解除、系统监控和响应能力。 不安全的默认设置 设备或系统的默认设置不安全，或缺乏限制操作者修改配置的方式让系统更加 安全的能力。 缺乏物理加固措施 缺乏物理加固措施，导致潜在攻击者能够获取敏感信息以便后续进行远程攻击 或对设备进行本地控制。 OWASP IoT TOP 10项目-理念 OWASP IoT项目始于2014年，旨在帮助开发人员、制造商、企业和消费者在创建和使用IoT系 统时做出更好的决策。 2018年发布的OWASP IoT Top 10的也延续了这一理念。OWASP IoT TOP 10代表了构建、部署 或管理IoT系统时需要避免的十大事项。《OWASP IoT TOP 10 2018》的主旋律是简洁。本OWASP项 目团队为开发人员、企业和消费者筛选形成了一个单一的、统一的列表来展现在处理物联网安全 时需要避免的最重要事项，而不是针对风险、威胁和漏洞创建的单独列表。 本OWASP项目团队认识到：现在有几十个组织发布了关于物联网安全的详细指南，所有这些指 南都是为有不同的受众和行业垂直领域设计的。本OWASP项目团队认为可以创建的最有用的资源， 是一个能同时解决制造商、企业和消费者最高优先级问题的单一列表。 因此，输出了《OWASP IoT TOP 10 2018》文档。 OWASP IoT TOP 10项目-方法 本OWASP项目团队由来自于安全行业的专业志愿者组成，他们的经验跨越多个专业领域，包括: 制造商、咨询、安全测试人员、开发人员等。 本项目分以下几个阶段进行: •寻找愿意为OWASP IOT TOP 10 2018更新做出贡献的人员，包括中小企业和项目负责人， 他们将在项目期间执行各种任务。 团队组建 •对“OWASP IoT TOP 10 2014”项目进行分析，以确定自该版本发布以来，行业中发生了 哪些变化，以及如何根据这些变化更新列表。 项目回顾 •收集和审查多个漏洞来源(公共和私人)，特别着重于哪些问题造成了最严重的实际影响和 损害。 数据收集 •对数十个其他物联网安全项目进行评审，以确保没有遗漏重要内容，并对发布的内容和优 先级感到满意。其他物联网安全项目包括：CSA物联网控制矩阵、CTIA、斯坦福物联网安全 同类型项 项目、NISTIR 8200、ENISA物联网基线报告、消费者物联网安全时间准则等。 目评审 •将草案发布给社区进行审查，包括多次在Twitter上征求意见、使用公共反馈表以及收集 反馈意见的一些公开访谈。然后，团队在最初的数据收集以及同类型项目评审的同时，对 社区草案 反馈进行评审，以创建列表内容和优先级。 反馈 •项目于2018年12月向公众发布。 发布 OWASP IoT TOP 10项目-未来计划 本OWASP项目团队已经计划了一些活动来持续改进项目。 讨论的一些项目包括:  以两年为周期，持续优化本Top 10列表，收集社区和其他项目贡献者的反馈，以确 保我们能及时了解行业面临的问题；  将列表项映射到其他OWASP项目，如：OWASP ASVS，也可能映射到OWASP之外的其他 项目；  将项目扩展到其他方面，包括：嵌入式安全、ICS/SCADA等；  添加使用和滥用案例，并提供多个示例，以巩固所讨论的每个概念；  考虑到参考体系结构的增加，我们不仅可以告诉人们应该避免什么，而且还可以告 诉人们如何安全地做他们需要做的事情。 对OWASP全球社区开放参与OWASP IoT 项目。我们从所有参与者那里获取建议—— 无论您是开发人员、制造商、渗透测试人员，还是只是想安全地实施物联网的人。您 可以每隔一个周五在OWASP Slack Channel的#iot-security会议室参与团队会议。 OWASP IoT 安全团队，2018 OWASP Internet of Things (IoT) Project 牛津字典将物联网“Internet of Things”定义为：“一种拟议中的互联网发展，在这种发展 中，日常物品具有网络连接，从而发送和接收数据。” OWASP IOT项目旨在帮助制造商、开发人员和消费者更好地理解与物联网相关的安全问题，并确 保无论在任何环境中，用户都能够在构建、部署或评估物联网技术时，做出更好的安全决策。 该项目旨在为各种物联网子项目定义一个架构，例如攻击面区域，测试指南和高危漏洞。 附录一：IoT攻击面项目-2014 IoT攻击面项目提供了制造商、开发人员、安全研究人员以及希望在其组织内部署或实现IoT技术 的人员应该了解的攻击面列表。 7 附录二：IoT漏洞项目-2014 “IoT漏洞项目”，内容包括最严重的物联网漏洞信息、和漏洞相关联的攻击面以及对漏洞的概述。 具体如下： 附录三：OWASP IoT TOP 10 2014 •I1 Insecure Web Interface •I2 Insufficient Authentication/Authorization •I3 Insecure Network Services •I4 Lack of Transport Encryption •I5 Privacy Concerns •I6 Insecure Cloud Interface •I7 Insecure Mobile Interface •I8 Insufficient Security Configurability •I9 Insecure Software/Firmware •I10 Poor Physical Security 附录四：OWASP 中国 联系我们 会员：member@owasp.org.cn 项目：project@owasp.org.cn 微信：OWASP_China 官网：www.owasp.org.cn 9