Den milepæls IoT Cybersecurity Improvement Act fra 2020 indvarsler en ny æra af Internet of Things (IoT) sikkerhedsstandarder for regering og industri. Find ud af om denne nye lov, og hvordan SSL.com kan hjælpe IoT-producenter med at overholde nye standarder og bedste praksis, som de ser ud.
Introduktion
Det er svært at finde universel enighed om ethvert spørgsmål i disse dage, men begge huse under den amerikanske kongres blev enstemmigt godkendt HR1668/S.734, IoT lov om forbedring af cybersikkerhed fra 2020, før det blev underskrevet i lov 4. december 2020. Lovforslagets nemme passage viser bred, topartsstøtte til udvikling og implementering af Internet of Things (IoT) sikkerhedsstandarder for den føderale regering. Fra husregningens resumé:
Dette lovforslag kræver, at National Institute of Standards and Technology (NIST) og Office of Management and Budget (OMB) tager specifikke skridt til at øge cybersikkerhed for IoT-enheder (Internet of Things). IoT er udvidelsen af internetforbindelse til fysiske enheder og hverdagsgenstande.
Konkret kræver regningen NIST at udvikle og offentliggøre standarder og retningslinjer for den føderale regering om passende brug og styring af agenturer af IoT-enheder, der ejes eller kontrolleres af et agentur og er forbundet med informationssystemer, der ejes eller kontrolleres af et agentur, herunder minimum informationssikkerhed krav til styring af cybersikkerhedsrisici forbundet med sådanne enheder.
I henhold til Iot Cybersecurity Improvement Act vil NISTs standarder blive revideret og revideret hvert femte år. Det amerikanske kontor for ledelse og budget (OMB) vil "udvikle og overvåge implementeringen af politikker, principper, standarder eller retningslinjer efter behov for at løse sikkerhedssårbarheder i informationssystemer." Vigtigst af alt for IoT-producenter er bureauer "forbudt at skaffe, skaffe eller bruge en IoT-enhed, hvis agenturet under en gennemgang af en kontrakt fastslår, at brugen af en sådan enhed forhindrer overholdelse af standarder og retningslinjer," undtagen "hvor det er nødvendigt for national sikkerhed, til forskningsformål, eller hvor en sådan enhed er sikret ved hjælp af alternative effektive metoder. ”
IoTs sikkerhedsforbedringslovs passage følger ledelsen af stater, der for nylig har vedtaget lovgivning, der har til formål at beskytte IoTs privatliv og sikkerhed, herunder Californien og Oregon.
Selvom loven er målrettet mod at regulere enheder, der er anskaffet af den føderale regering, er sikkerhedsforkæmpere håbefulde på, at det også vil føre til etablering af IoT-sikkerhedsstandarder og bedste praksis også for den private sektor. I en blogindlæg fra ioXT Alliance, en branchegruppe, der promoverer IoT-sikkerhedsstandarder, udtaler CTO Brad Ree, at "Selvom dette er amerikansk regeringsspecifikt, er vi overbeviste om, at det vil fungere som katalysator, der beder netværksoperatører, forbrugerøkosystemer og detailhandlere om at følge trop i enhedssikkerhedscertificering Bevæger sig fremad."
IoT (In) sikkerhed
Den nye IoT Cybersecurity Improvement Act sammen med andre statslige love og industriinitiativer er et svar på den enorme angrebsflade, der i øjeblikket tilbydes af bogstaveligt talt milliarder af internetforbundne enheder lige fra hjertemonitorer til SUV'er. Når vi tænker på misbrug af usikre "smarte" enheder, er profilerede historier om kompromitterede sikkerhedskameraer or smarte låse kan tænke på risikoen for krænkelse af privatlivets fred og ejendomskriminalitet. Imidlertid enorme botnets i stand til ting som massive denial-of-service-angreb er også en reel og nuværende fare. Sikkerhedsforsker Elie Bursztein beskriver Mirai botnet fra 2016:
På sit højdepunkt i september 2016 lammede Mirai midlertidigt adskillige højt profilerede tjenester såsom OVH, Dyn og Krebs om sikkerhed via massivt distribueret Denial of Service-angreb (DDoS). OVH rapporterede, at disse angreb oversteg 1Tbps - det største på offentlig rekord.
Hvad der er bemærkelsesværdigt ved disse rekordbrudende angreb er, at de blev udført via små, uskadelige Internet-of-Things (IoT) -enheder som hjemme-routere, luftkvalitetsmonitorer og personlige overvågningskameraer. På sit højeste slaver Mirai over 600,000 sårbare IoT-enheder ifølge vores målinger.
...
For at kompromittere enheder var den oprindelige version af MIRAI udelukkende afhængig af et fast sæt med 64 kendte standard login / adgangskode kombinationer, der almindeligvis bruges af IoT-enheder. Mens dette angreb var meget lavteknologisk, viste det sig ekstremt effektivt og førte til kompromis mellem 600,000 enheder.
Forestil dig millioner af sådanne enheder, der sendes med let gættede standardoplysninger, der ofte aldrig ændres af brugere og administratorer. Du kan let se potentialet for succes ved en sådan “lavteknologisk” brutal styrke tilgang, og det er en af grundene til, at den føderale regering har taget en sådan interesse i slap IoT-sikkerhed. (Interessant - og sandsynligvis for at undgå at tiltrække opmærksomhed - var Mirai-bots kodet for at undgå US Department of Defense and Postal Service and Internet Assigned Numbers Authority (IANA) IP-adresser under scanning.)
Selvfølgelig ikke forsendelse af internetforbundne enheder med admin
og password
da administrative legitimationsoplysninger ville være en god start. Og som vi vil se nedenfor, godkendelse med klientcertifikater er et sikkert alternativ til adgangskoder. Læs videre for at opdage dette og andre måder, hvorpå SSL.com kan hjælpe IoT-producenter med at forbedre enhedssikkerheden og overholde regler og industristandarder.
Hvordan SSL.com kan hjælpe
Den enstemmige passage af Internet of Things Cybersecurity Act fra 2020 - plus forventningen om, at industrien følger efter - indikerer, at vejen frem for IoT-producenter vil omfatte overholdelse af strengere sikkerhedsstandarder og -bestemmelser. Digitale certifikater og hostede PKI fra SSL.com er en fantastisk måde for producenter at sikre IoT-enheder på. Digitale certifikater og offentlig nøgleinfrastruktur (PKI) er blandt hjørnestenene i moderne internet- og IoT-sikkerhed og vil kun blive mere vigtige, når nye standarder er udarbejdet i henhold til loven.
Digitale certifikater
Digitale certifikater er specielle filer, der binder kryptografiske nøglepar til enhederne såsom websteder, enkeltpersoner, organisationer og enheder. Certifikatmyndigheder (CA'er) som SSL.com validerer disse identiteter inden udstedelse af certifikater. Den mest kendte anvendelse af digitale certifikater er i SSL /TLS og HTTPS protokoller, der bruges til at sikre websteder, men der er mange andre brugssager, herunder kodesignering og dokumentunderskrift. Digitale certifikater giver:
- Godkendelseved at tjene som kryptografisk verificerbar legitimationsoplysninger for at validere identiteten på den enhed, som den er udstedt til.
- Kryptering, til sikker kommunikation over usikre netværk såsom Internettet.
-
Integritet af dokumenter underskrevet med certifikatet, så de ikke kan ændres af en tredjepart i transit.
Med hensyn til IoT-sikkerhed betyder det, at:
- Hver enhed kan få en unik identitet og et klientcertifikat under fremstillingen, så den kan bruges gensidig TLS til sikker godkendelse med firmaservere.
- Kommunikation mellem en brugers computer og en enhed eller mellem en enhed og en virksomheds servere er krypteret, og integriteten af disse kommunikationer er sikret.
- Klientcertifikater installeret på personlige computere eller mobile enheder kan også bruges som en godkendelsesfaktor når du logger på en enhed ud over (eller i stedet for) brugernavne og adgangskoder.
- Enheder kan konfigureres til kun at stole på softwareopdateringer, der er signeret med kodesigneringscertifikater identificering af udgiveren.
Og fordi digitale certifikater og PKI er etablerede sikkerhedsstandarder, standard industriprotokoller som ACME, SCEP og EST kan bruges til tilmelding og styring af enhedscertifikater.
Hosted PKI
Teknologien og procedurerne, der opretholdes af en CA for at binde identiteter til kryptografiske nøgler og udstede digitale certifikater, er kendt som Public Key Infrastructure (eller PKI). Enhver organisation kan drive sin egen PKI og CA til intern tillid, men kun offentligt tillidte CA'er, som SSL.com, kan levere certifikater, der automatisk er tillid til af alle nuværende browsere og operativsystemer.
For at opretholde dette universelle niveau af tillid arbejder SSL.com kontinuerligt for at forblive i overensstemmelse med industristandarder og statslige regler over hele verden. Vores processer og faciliteter er underlagt strenge årlige WebTrust-revisioner der kræves for at holde vores certifikater universelt pålidelige. Disse brancherevisioner sikrer også, at vi forbliver i overensstemmelse med det nationale PKI standarder og retningslinjer for regeringer i hele verden. Vi er forpligtet til at opretholde overholdelse af nye PKI standarder og forskrifter fremad - som en kommerciel, offentligt betroet CA afhænger vores forretning af det.
IoT-producenter kan udnytte SSL.coms infrastruktur og ekspertise igennem vært virksomhed PKI, giver adgang til offentligt tillidte certifikater og eliminerer behovet for at investere i ekstra udstyr og ekspertpersonale. Certifikatudstedelse og styring af livscyklus kan udføres via standardprotokoller som f.eks ACME, SCEP og EST eller SSL.com's RESTful SWS API. Privat tillid PKI er også tilgængelig fra SSL.com og kan være at foretrække for nogle applikationer. Læs venligst Privat vs offentligt PKI: Opbygning af en effektiv plan for meget mere information om dette emne.
Ved at samarbejde med SSL.com til IoT PKI med enten privat eller offentlig tillid kan du være forvisset om, at de systemer og den proces, du har indført til udstedelse og vedligeholdelse af certifikater på dine enheder, forbliver i overensstemmelse med regler udstedt af NIST i henhold til IoT Cybersecurity Improvement Act.
Få mere at vide
Vil du lære mere om, hvordan SSL.com kan hjælpe IoT-producenter? Tjek disse SSL.com-ressourcer for meget mere information, eller indsend nedenstående formular for at nå et medlem af SSL.com's virksomhedssalgsteam:
- Internet of Things (IoT) -løsninger
- Sikring af tingenes internet (IoT) med SSL /TLS
- SSL /TLS Automation til IoT med ACME
- SSL /TLS Automation til tingenes internet (IoT)
- Godkendelse af brugere og IoT-enheder med gensidig TLS