Das IoT Cybersecurity Improvement Act von 2020, Digital Certificates und PKI

Das wegweisende IoT Cybersecurity Improvement Act von 2020 läutet eine neue Ära der Sicherheitsstandards für das Internet der Dinge (IoT) für Regierung und Industrie ein. Informieren Sie sich über dieses neue Gesetz und darüber, wie SSL.com IoT-Herstellern helfen kann, die neuen Standards und Best Practices einzuhalten, sobald sie erscheinen.

Einleitung

Es ist heutzutage schwierig, in jedem Punkt eine allgemeine Übereinstimmung zu finden, aber beide Häuser des Kongresses der Vereinigten Staaten stimmten einstimmig zu HR1668/S.734, der IoT Cybersecurity Improvement Act von 2020Die einfache Verabschiedung des Gesetzes zeigt eine breite, parteiübergreifende Unterstützung für die Entwicklung und Implementierung von Internet of Things (IoT) -Sicherheitsstandards für die Bundesregierung. Aus der Zusammenfassung der Hausrechnung:

Nach diesem Gesetz müssen das Nationale Institut für Standards und Technologie (NIST) und das Amt für Verwaltung und Haushalt (OMB) bestimmte Schritte unternehmen, um die Cybersicherheit für Geräte des Internet der Dinge (IoT) zu erhöhen. IoT ist die Erweiterung der Internetverbindung auf physische Geräte und Alltagsgegenstände.

Insbesondere verlangt der Gesetzentwurf, dass NIST Standards und Richtlinien für die Bundesregierung zur angemessenen Verwendung und Verwaltung von IoT-Geräten, die Eigentum einer Agentur sind oder von dieser kontrolliert werden und mit Informationssystemen verbunden sind, die Eigentum einer Agentur sind oder von dieser kontrolliert werden, einschließlich minimaler Informationssicherheit, entwickelt und veröffentlicht Anforderungen für das Management von Cybersicherheitsrisiken, die mit solchen Geräten verbunden sind.

Nach dem Iot Cybersecurity Improvement Act werden die NIST-Standards alle fünf Jahre überprüft und überarbeitet. Das US-Büro für Verwaltung und Haushalt (OMB) wird "die Umsetzung von Richtlinien, Grundsätzen, Standards oder Richtlinien entwickeln und überwachen, die erforderlich sind, um Sicherheitslücken von Informationssystemen zu schließen". Vor allem für IoT-Hersteller ist es Agenturen „untersagt, ein IoT-Gerät zu beschaffen, zu erwerben oder zu verwenden, wenn die Agentur bei der Überprüfung eines Vertrags feststellt, dass die Verwendung eines solchen Geräts die Einhaltung der Standards und Richtlinien verhindert“, außer „wo dies erforderlich ist nationale Sicherheit, zu Forschungszwecken oder wenn ein solches Gerät mit alternativen wirksamen Methoden gesichert wird. “

Die Verabschiedung des IoT Security Improvement Act folgt dem Beispiel von Staaten, die kürzlich Gesetze zum Schutz der Privatsphäre und Sicherheit des IoT verabschiedet haben, einschließlich Kalifornien und Oregon.

Obwohl das Gesetz auf die Regulierung von Geräten abzielt, die von der Bundesregierung beschafft werden, hoffen die Befürworter der Sicherheit, dass es auch zur Festlegung von IoT-Sicherheitsstandards und Best Practices für den privaten Sektor führen wird. In einem Blog-Post von dem ioXT-AllianzCTO Brad Ree, eine Branchengruppe, die IoT-Sicherheitsstandards fördert, erklärt: „Obwohl dies spezifisch für die US-Regierung ist, sind wir zuversichtlich, dass dies als Katalysator dienen wird, der Netzbetreiber, Verbraucherökosysteme und Einzelhändler dazu veranlasst, bei der Zertifizierung der Gerätesicherheit nachzufolgen vorwärts gehen. "

nach oben

IoT (In) Sicherheit

Das neue IoT Cybersecurity Improvement Act ist zusammen mit anderen staatlichen Gesetzen und Brancheninitiativen eine Reaktion auf die enorme Angriffsfläche, die derzeit von angeboten wird buchstäblich Milliarden von Geräten mit Internetanschluss, von Herzmonitoren bis hin zu SUVs. Wenn wir über den Missbrauch unsicherer „intelligenter“ Geräte nachdenken, werden hochkarätige Geschichten über Kompromisse veröffentlicht Sicherheitskameras or intelligente Schlösser kann zuerst an die Risiken einer Verletzung der Privatsphäre und der Eigentumskriminalität erinnern. Allerdings sind riesige Botnets zu Dingen wie fähig massive Denial-of-Service-Angriffe sind auch eine reale und gegenwärtige Gefahr. Sicherheitsforscher Elie Bursztein beschreibt das Mirai-Botnetz 2016:

Auf seinem Höhepunkt im September 2016 hat Mirai vorübergehend mehrere hochkarätige Dienste wie OVH, Dyn und Krebs on Security durch massive verteilte Denial-of-Service-Angriffe (DDoS) lahmgelegt. OVH berichtete, dass diese Angriffe 1 TBit / s überstiegen - die größten in der Öffentlichkeit.

Das Besondere an diesen rekordverdächtigen Angriffen ist, dass sie über kleine, harmlose Internet-of-Things-Geräte (IoT) wie Heimrouter, Luftqualitätsmonitore und persönliche Überwachungskameras ausgeführt wurden. Auf dem Höhepunkt versklavte Mirai nach unseren Messungen über 600,000 gefährdete IoT-Geräte.

...

Um Geräte zu gefährden, stützte sich die ursprüngliche Version von MIRAI ausschließlich auf einen festen Satz von 64 bekannten Standardkombinationen für Anmeldung und Kennwort, die üblicherweise von IoT-Geräten verwendet werden. Obwohl dieser Angriff sehr Low-Tech war, erwies er sich als äußerst effektiv und führte zum Kompromiss von über 600,000 Geräten.

Stellen Sie sich Millionen solcher Geräte vor, die mit leicht zu erratenden Standardanmeldeinformationen ausgeliefert werden, die von Benutzern und Administratoren häufig nie geändert werden. Sie können leicht das Erfolgspotenzial eines solchen „Low-Tech“ -Brute-Force-Ansatzes erkennen, und dies ist ein Grund, warum sich die Bundesregierung so für laxe IoT-Sicherheit interessiert hat. (Interessanterweise - und vermutlich, um nicht aufzufallen - waren es die Mirai-Bots codiert, um zu vermeiden IP-Adressen des US-Verteidigungsministeriums und des Postdienstes sowie der IANA (Internet Assigned Numbers Authority) beim Scannen.)

Natürlich werden keine mit dem Internet verbundenen Geräte mit ausgeliefert admin und password als administrative Anmeldeinformationen wäre ein guter Anfang. Und, wie wir weiter unten sehen werden, Authentifizierung mit Client-Zertifikate ist eine sichere Alternative zu Passwörtern. Lesen Sie weiter, um herauszufinden, wie SSL.com IoT-Herstellern dabei helfen kann, die Gerätesicherheit zu verbessern und die Einhaltung von Regierungs- und Industriestandards zu gewährleisten.

nach oben

Wie SSL.com helfen kann

Die einstimmige Verabschiedung des Cybersecurity Act zum Internet der Dinge von 2020 sowie die Erwartung, dass die Industrie diesem Beispiel folgen wird, deuten darauf hin, dass der Weg für IoT-Hersteller die Einhaltung strengerer Sicherheitsstandards und -vorschriften beinhalten wird. Digitale Zertifikate und gehostet PKI von SSL.com sind eine großartige Möglichkeit für Hersteller, IoT-Geräte zu sichern. Digitale Zertifikate und Public-Key-Infrastruktur (PKI) gehören zu den Eckpfeilern der modernen Internet- und IoT-Sicherheit und werden erst mit der Ausarbeitung neuer Standards im Rahmen des Gesetzes an Bedeutung gewinnen.

Digitale Zertifikate

Digitale Zertifikate sind spezielle Dateien, die kryptografische Schlüsselpaare an Entitäten wie Websites, Einzelpersonen, Organisationen und Geräte binden. Zertifizierungsstellen (CAs) Überprüfen Sie diese Identitäten wie SSL.com, bevor Sie Zertifikate ausstellen. Die bekannteste Verwendung digitaler Zertifikate ist in der SSL /TLS und HTTPS Protokolle, die zum Sichern von Websites verwendet werden, aber es gibt viele andere Anwendungsfälle, einschließlich Codesignatur und Signieren von Dokumenten. Digitale Zertifikate bieten:

  • Authentifizierung, indem sie als kryptografisch überprüfbarer Berechtigungsnachweis dienen, um die Identität der Entität zu überprüfen, an die sie ausgestellt wurde.
  • Verschlüsselungfür die sichere Kommunikation über unsichere Netzwerke wie das Internet.

  • Integrität von mit dem Zertifikat unterzeichneten Dokumenten, damit sie während des Transports nicht von Dritten geändert werden können.

    In Bezug auf die IoT-Sicherheit bedeutet dies:

  • Jedes Gerät kann während der Herstellung eine eindeutige Identität und ein Client-Zertifikat erhalten, sodass es verwendet werden kann gegenseitig TLS sichere Authentifizierung bei Unternehmensservern.
  • Die Kommunikation zwischen dem Computer eines Benutzers und einem Gerät oder zwischen einem Gerät und den Servern eines Unternehmens wird verschlüsselt, und die Integrität dieser Kommunikation wird sichergestellt.
  • Auf PCs oder Mobilgeräten installierte Client-Zertifikate können auch als verwendet werden Authentifizierungsfaktor Wenn Sie sich zusätzlich zu (oder anstelle von) Benutzernamen und Kennwörtern bei einem Gerät anmelden.
  • Geräte können so konfiguriert werden, dass sie nur Software-Updates vertrauen, mit denen signiert wurde Codesignaturzertifikate Identifizierung des Herausgebers.

Und weil digitale Zertifikate und PKI sind etablierte Sicherheitsstandards, Standard-Industrieprotokolle wie ACME, SCEP und EST können für die Registrierung und Verwaltung von Gerätezertifikaten verwendet werden.

Hosted PKI

Die Technologie und Verfahren, die von einer Zertifizierungsstelle zum Binden von Identitäten an kryptografische Schlüssel und zum Ausstellen digitaler Zertifikate verwaltet werden, werden als Public Key Infrastructure (oder) bezeichnet PKI). Jede Organisation kann ihre eigenen betreiben PKI und CA für interne Vertrauenswürdigkeit, aber nur öffentlich vertrauenswürdige Zertifizierungsstellen wie SSL.com können Zertifikate bereitstellen, denen alle aktuellen Browser und Betriebssysteme automatisch vertrauen.

Um dieses universelle Vertrauensniveau aufrechtzuerhalten, arbeitet SSL.com kontinuierlich daran, die Industriestandards und behördlichen Vorschriften weltweit einzuhalten. Unsere Prozesse und Einrichtungen unterliegen strengen jährlichen Vorschriften WebTrust-Audits Dies ist erforderlich, damit unsere Zertifikate allgemein vertrauenswürdig sind. Diese Branchenprüfungen stellen auch sicher, dass wir die nationalen Vorschriften einhalten PKI Standards und Richtlinien von Regierungen weltweit. Wir verpflichten uns, die Einhaltung neuer Vorschriften zu gewährleisten PKI Zukünftige Standards und Vorschriften - als kommerzielle, öffentlich vertrauenswürdige Zertifizierungsstelle hängt unser Geschäft davon ab.

IoT-Hersteller können die Infrastruktur und das Know-how von SSL.com nutzen gehostetes Unternehmen PKIBereitstellung des Zugangs zu öffentlich vertrauenswürdigen Zertifikaten und Beseitigung der Notwendigkeit, in zusätzliche Ausrüstung und Fachpersonal zu investieren. Die Ausstellung von Zertifikaten und das Lifecycle-Management können über Standardprotokolle wie z ACME, SCEP und EST oder RESTful von SSL.com SWS-API. Privat vertrauenswürdig PKI ist auch auf SSL.com erhältlich und kann für einige Anwendungen vorzuziehen sein. Lesen Sie bitte Privat gegen Öffentlich PKI: Erstellen eines effektiven Plans für viel mehr Informationen zu diesem Thema.

Durch die Partnerschaft mit SSL.com für IoT PKI Mit privatem oder öffentlichem Vertrauen können Sie sicher sein, dass die Systeme und Prozesse, die Sie für die Ausstellung und Wartung von Zertifikaten auf Ihren Geräten eingerichtet haben, den Bestimmungen von NIST gemäß dem IoT Cybersecurity Improvement Act entsprechen.

nach oben

Mehr erfahren

Möchten Sie mehr darüber erfahren, wie SSL.com IoT-Herstellern helfen kann? Weitere Informationen finden Sie in diesen SSL.com-Ressourcen, oder senden Sie das folgende Formular, um ein Mitglied des Enterprise Sales-Teams von SSL.com zu erreichen:

Wenden Sie sich an SSL.com Enterprise Sales

SSL.com-Support-Team

Autor - Inhaltsadministrator
Alle Beiträge

Ähnliche Blog-Beiträge

Alle Blogeinträge anzeigen
Facebook Linkedin Twitter Youtube Github

Was ist SSL /TLS?

anschauen

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.

Nehmen Sie an einer Umfrage teil