Ο ορόσημος IoT Cybersecurity Improvement Act του 2020 προαναγγέλλει μια νέα εποχή προτύπων ασφαλείας του Internet of Things (IoT) για την κυβέρνηση και τη βιομηχανία. Μάθετε για αυτόν τον νέο νόμο και πώς το SSL.com μπορεί να βοηθήσει τους κατασκευαστές IoT να συμμορφωθούν με τα νέα πρότυπα και τις βέλτιστες πρακτικές όπως εμφανίζονται.
Εισαγωγή
Είναι δύσκολο να βρούμε καθολική συμφωνία για οποιοδήποτε ζήτημα αυτές τις μέρες, αλλά και τα δύο σώματα του Κογκρέσου των Ηνωμένων Πολιτειών εγκρίθηκαν ομόφωνα HR1668/S.734, τη Νόμος για τη βελτίωση της κυβερνοασφάλειας IoT του 2020, προτού υπογραφεί σε νόμο στις 4 Δεκεμβρίου 2020. Η εύκολη έκδοση του νομοσχεδίου δείχνει ευρεία, διμερή υποστήριξη για την ανάπτυξη και εφαρμογή προτύπων ασφαλείας του Internet of Things (IoT) για την ομοσπονδιακή κυβέρνηση. Από την περίληψη του νομοσχεδίου House:
Αυτό το νομοσχέδιο απαιτεί από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) και το Γραφείο Διαχείρισης και Προϋπολογισμού (OMB) να λάβουν συγκεκριμένα μέτρα για την αύξηση της ασφάλειας στον κυβερνοχώρο για συσκευές Internet of Things (IoT). Το IoT είναι η επέκταση της σύνδεσης στο Διαδίκτυο σε φυσικές συσκευές και καθημερινά αντικείμενα.
Συγκεκριμένα, το νομοσχέδιο απαιτεί από το NIST να αναπτύξει και να δημοσιεύσει πρότυπα και οδηγίες για την ομοσπονδιακή κυβέρνηση σχετικά με την κατάλληλη χρήση και διαχείριση από οργανισμούς συσκευών IoT που ανήκουν ή ελέγχονται από μια εταιρεία και συνδέονται με συστήματα πληροφοριών που ανήκουν ή ελέγχονται από μια εταιρεία, συμπεριλαμβανομένης της ελάχιστης ασφάλειας πληροφοριών απαιτήσεις για τη διαχείριση κινδύνων ασφάλειας στον κυβερνοχώρο που σχετίζονται με τέτοιες συσκευές.
Σύμφωνα με το Iot Cybersecurity Improvement Act, τα πρότυπα του NIST θα αναθεωρούνται και θα αναθεωρούνται κάθε πέντε χρόνια. Το Υπουργείο Διαχείρισης και Προϋπολογισμού των ΗΠΑ (OMB) θα «αναπτύξει και θα επιβλέπει την εφαρμογή πολιτικών, αρχών, προτύπων ή κατευθυντήριων γραμμών, όπως απαιτείται για την αντιμετώπιση των τρωτών σημείων ασφαλείας των συστημάτων πληροφοριών». Το πιο σημαντικό για τους κατασκευαστές IoT, οι εταιρείες "απαγορεύονται να προμηθεύονται, να αποκτούν ή να χρησιμοποιούν μια συσκευή IoT εάν η εταιρεία αποφασίσει κατά τη διάρκεια μιας αναθεώρησης μιας σύμβασης ότι η χρήση μιας τέτοιας συσκευής αποτρέπει τη συμμόρφωση με τα πρότυπα και τις οδηγίες" εθνική ασφάλεια, για ερευνητικούς σκοπούς, ή όταν η συσκευή ασφαλίζεται χρησιμοποιώντας εναλλακτικές αποτελεσματικές μεθόδους. "
Το πέρασμα του IoT Security Improvement Act ακολουθεί το προβάδισμα των κρατών που έχουν πρόσφατα θεσπίσει νομοθεσία με στόχο την προστασία της ιδιωτικής ζωής και της ασφάλειας του IoT, συμπεριλαμβανομένων Καλιφόρνια και Όρεγκον.
Αν και ο νόμος στοχεύει στη ρύθμιση συσκευών που προμηθεύονται από την ομοσπονδιακή κυβέρνηση, οι υποστηρικτές ασφαλείας είναι ελπιδοφόροι ότι θα οδηγήσει επίσης στην καθιέρωση προτύπων ασφάλειας IoT και βέλτιστων πρακτικών για τον ιδιωτικό τομέα. Σε ένα ανάρτηση από το ioXT Alliance, μια βιομηχανική ομάδα που προωθεί πρότυπα ασφαλείας IoT, ο CTO Brad Ree δηλώνει ότι «Παρόλο που αφορά την κυβέρνηση των ΗΠΑ, είμαστε σίγουροι ότι θα χρησιμεύσει ως ο καταλύτης που παροτρύνει τους χειριστές δικτύου, τα οικοσυστήματα των καταναλωτών και τους εμπόρους λιανικής να ακολουθήσουν την πιστοποίηση ασφάλειας συσκευών προχωρώντας μπροστά."
Ασφάλεια IoT (In)
Ο νέος νόμος βελτίωσης της κυβερνοασφάλειας IoT, μαζί με άλλους κρατικούς νόμους και πρωτοβουλίες του κλάδου, αποτελεί απάντηση στην τεράστια επιφάνεια επίθεσης που προσφέρει κυριολεκτικά δισεκατομμύρια συσκευών συνδεδεμένων στο Διαδίκτυο, από καρδιακές οθόνες έως SUV. Όταν σκεφτόμαστε κατάχρηση ανασφαλών «έξυπνων» συσκευών, ιστορίες υψηλού προφίλ σχετικά με παραβίαση κάμερες ασφαλείας or έξυπνες κλειδαριές μπορεί να φέρει στο μυαλό τους κινδύνους εισβολής της ιδιωτικής ζωής και του εγκλήματος ιδιοκτησίας. Ωστόσο, τεράστια botnets ικανά για πράγματα όπως μαζικές επιθέσεις άρνησης υπηρεσίας είναι επίσης πραγματικός και παρών κίνδυνος. Ερευνητής ασφάλειας Elie Bursztein περιγράφει το botnet Mirai 2016:
Στο αποκορύφωμά του τον Σεπτέμβριο του 2016, η Mirai παρέλυσε προσωρινά αρκετές υπηρεσίες υψηλού προφίλ όπως OVH, Dyn και Krebs on Security μέσω μαζικών κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDoS). Η OVH ανέφερε ότι αυτές οι επιθέσεις ξεπέρασαν τα 1Tbps - η μεγαλύτερη σε δημόσια εγγραφή.
Αυτό που είναι αξιοσημείωτο για αυτές τις επιθετικές επιθέσεις είναι ότι πραγματοποιήθηκαν μέσω μικρών, αβλαβών συσκευών Internet-of-Things (IoT) όπως οικιακοί δρομολογητές, οθόνες ποιότητας αέρα και προσωπικές κάμερες παρακολούθησης. Στο αποκορύφωμά του, η Mirai υποδούλωσε πάνω από 600,000 ευάλωτες συσκευές IoT, σύμφωνα με τις μετρήσεις μας.
...
Για να θέσει σε κίνδυνο τις συσκευές, η αρχική έκδοση του MIRAI βασίστηκε αποκλειστικά σε ένα σταθερό σύνολο 64 γνωστών προεπιλεγμένων συνδυασμών σύνδεσης / κωδικών πρόσβασης που χρησιμοποιούνται συνήθως από συσκευές IoT. Ενώ αυτή η επίθεση ήταν πολύ χαμηλής τεχνολογίας, αποδείχθηκε εξαιρετικά αποτελεσματική και οδήγησε σε συμβιβασμό πάνω από 600,000 συσκευών.
Φανταστείτε εκατομμύρια τέτοιες συσκευές να αποστέλλονται με εύκολα μαντέψει προεπιλεγμένα διαπιστευτήρια που συχνά δεν αλλάζουν ποτέ από χρήστες και διαχειριστές. Μπορείτε εύκολα να δείτε τις δυνατότητες επιτυχίας μιας τέτοιας «χαμηλής τεχνολογίας» προσέγγισης ωμής βίας και αυτός είναι ένας λόγος για τον οποίο η ομοσπονδιακή κυβέρνηση έχει τόσο ενδιαφέρον για την χαλαρή ασφάλεια του IoT. (Είναι ενδιαφέρον - και πιθανώς να αποφύγετε την προσοχή - τα ρομπότ Mirai ήταν κωδικοποιημένο για αποφυγή Διευθύνσεις IP του Υπουργείου Άμυνας και Ταχυδρομικής Υπηρεσίας και της Αρχής Εκχώρησης Αριθμών Διαδικτύου (IANA) κατά τη σάρωση.)
Φυσικά, δεν αποστέλλονται συσκευές συνδεδεμένες στο Διαδίκτυο με admin και password ως διαχειριστικά διαπιστευτήρια θα ήταν μια καλή αρχή. Και, όπως θα δούμε παρακάτω, ο έλεγχος ταυτότητας με πιστοποιητικά πελάτη είναι μια ασφαλής εναλλακτική λύση για τους κωδικούς πρόσβασης. Διαβάστε παρακάτω για να ανακαλύψετε αυτόν και άλλους τρόπους με τους οποίους το SSL.com μπορεί να βοηθήσει τους κατασκευαστές IoT να βελτιώσουν την ασφάλεια των συσκευών και να συμμορφωθούν με τα πρότυπα της βιομηχανίας και της βιομηχανίας.
Πώς μπορεί να βοηθήσει το SSL.com
Η ομόφωνη έκδοση του Νόμου για την Ασφάλεια στο Διαδίκτυο των πραγμάτων του 2020 - καθώς και η προσδοκία ότι θα ακολουθήσει η βιομηχανία - δείχνει ότι η πορεία προς τα εμπρός για τους κατασκευαστές IoT θα περιλαμβάνει τη συμμόρφωση με αυστηρότερα πρότυπα και κανονισμούς ασφαλείας. Ψηφιακά πιστοποιητικά και φιλοξενείται PKI από το SSL.com είναι ένας πολύ καλός τρόπος για τους κατασκευαστές να ασφαλίζουν συσκευές IoT. Ψηφιακά πιστοποιητικά και υποδομή δημόσιου κλειδιού (PKI) συγκαταλέγονται στους ακρογωνιαίους λίθους του σύγχρονου διαδικτύου και της ασφάλειας του IoT, και θα καταστούν πιο ουσιαστικοί μόνο καθώς νέα πρότυπα καταρτίζονται βάσει του νόμου.
Ψηφιακά πιστοποιητικά
Τα ψηφιακά πιστοποιητικά είναι ειδικά αρχεία που δεσμεύουν κρυπτογραφικά ζεύγη κλειδιών με οντότητες όπως ιστότοπους, άτομα, οργανισμούς και συσκευές. Αρχές έκδοσης πιστοποιητικών (CA) όπως το SSL.com επικυρώστε αυτές τις ταυτότητες πριν από την έκδοση πιστοποιητικών. Η πιο γνωστή χρήση ψηφιακών πιστοποιητικών βρίσκεται στο SSL /TLS και HTTPS πρωτόκολλα που χρησιμοποιούνται για την ασφάλεια ιστότοπων, αλλά υπάρχουν πολλές άλλες περιπτώσεις χρήσης, όπως υπογραφή κώδικα και υπογραφή εγγράφου. Τα ψηφιακά πιστοποιητικά παρέχουν:
- Πιστοποίηση, εξυπηρετώντας ως κρυπτογραφικά επαληθεύσιμο διαπιστευτήριο για την επικύρωση της ταυτότητας της οντότητας στην οποία έχει εκδοθεί.
- κρυπτογράφηση, για ασφαλή επικοινωνία μέσω ανασφαλών δικτύων όπως το Διαδίκτυο.
-
Ακεραιότητα εγγράφων που έχουν υπογραφεί με το πιστοποιητικό, ώστε να μην μπορούν να τροποποιηθούν από τρίτο μέρος κατά τη μεταφορά.
Όσον αφορά την ασφάλεια του IoT, αυτό σημαίνει ότι:
- Σε κάθε συσκευή μπορεί να παρέχεται μια μοναδική ταυτότητα και πιστοποιητικό πελάτη κατά τη διάρκεια της κατασκευής, επιτρέποντάς της να το χρησιμοποιήσει αμοιβαίας TLS για έλεγχο ταυτότητας με ασφάλεια με διακομιστές της εταιρείας.
- Η επικοινωνία μεταξύ υπολογιστή και συσκευής χρήστη, ή μεταξύ συσκευής και διακομιστών μιας εταιρείας, είναι κρυπτογραφημένη και διασφαλίζεται η ακεραιότητα αυτών των επικοινωνιών.
- Τα πιστοποιητικά πελατών που είναι εγκατεστημένα σε προσωπικούς υπολογιστές ή κινητές συσκευές μπορούν επίσης να χρησιμοποιηθούν ως συντελεστής ελέγχου ταυτότητας κατά τη σύνδεση σε μια συσκευή εκτός από (ή αντί) ονόματα χρήστη και κωδικούς πρόσβασης.
- Οι συσκευές μπορούν να διαμορφωθούν ώστε να εμπιστεύονται μόνο ενημερώσεις λογισμικού που έχουν υπογραφεί πιστοποιητικά υπογραφής κώδικα αναγνώριση του εκδότη.
Και, επειδή ψηφιακά πιστοποιητικά και PKI είναι καθιερωμένα πρότυπα ασφαλείας, τυπικά βιομηχανικά πρωτόκολλα όπως ΑΚΜΉ, SCEP και EST μπορούν να χρησιμοποιηθούν για εγγραφή και διαχείριση πιστοποιητικών συσκευής.
Φιλοξενείται PKI
Η τεχνολογία και οι διαδικασίες που διατηρεί μια ΑΠ για τη δέσμευση ταυτότητας σε κρυπτογραφικά κλειδιά και την έκδοση ψηφιακών πιστοποιητικών είναι γνωστή ως Δημόσια υποδομή κλειδιού (ή PKI). Οποιοσδήποτε οργανισμός μπορεί να λειτουργήσει το δικό του PKI και CA για εσωτερική εμπιστοσύνη, αλλά μόνο CA που είναι αξιόπιστα δημόσια, όπως το SSL.com, μπορούν να παρέχουν πιστοποιητικά που εμπιστεύονται αυτόματα όλα τα τρέχοντα προγράμματα περιήγησης και λειτουργικά συστήματα.
Για να διατηρήσει αυτό το παγκόσμιο επίπεδο εμπιστοσύνης, το SSL.com εργάζεται συνεχώς για να συμμορφώνεται με τα βιομηχανικά πρότυπα και τους κυβερνητικούς κανονισμούς παγκοσμίως. Οι διαδικασίες και οι εγκαταστάσεις μας υπόκεινται σε αυστηρό χρόνο Έλεγχοι WebTrust που απαιτούνται για να διατηρήσουμε τα πιστοποιητικά μας παγκόσμια αξιόπιστα. Αυτοί οι βιομηχανικοί έλεγχοι διασφαλίζουν επίσης ότι παραμένουμε σε συμμόρφωση με τον εθνικό PKI πρότυπα και οδηγίες του κυβερνήσεις Παγκόσμιος. Δεσμευόμαστε να διατηρήσουμε τη συμμόρφωση με κάθε νέο PKI πρότυπα και κανονισμοί που προχωρούν - ως εμπορική, δημόσια αξιόπιστη CA, η ίδια η επιχείρησή μας εξαρτάται από αυτήν.
Οι κατασκευαστές IoT μπορούν να επωφεληθούν από την υποδομή και την τεχνογνωσία του SSL.com φιλοξενούμενη επιχείρηση PKI, παρέχοντας πρόσβαση σε δημόσια αξιόπιστα πιστοποιητικά και εξαλείφοντας την ανάγκη επένδυσης σε επιπλέον εξοπλισμό και εξειδικευμένο προσωπικό. Η έκδοση πιστοποιητικών και η διαχείριση του κύκλου ζωής μπορούν να γίνουν μέσω τυπικών πρωτοκόλλων όπως ΑΚΜΉ, SCEP και EST, ή το RESTful του SSL.com API SWS. Ιδιωτικά αξιόπιστο PKI είναι επίσης διαθέσιμο από το SSL.com και μπορεί να είναι προτιμότερο για ορισμένες εφαρμογές. Παρακαλώ διαβάστε Ιδιωτικό έναντι δημόσιου PKI: Δημιουργία ενός αποτελεσματικού σχεδίου για πολύ περισσότερες πληροφορίες σχετικά με αυτό το θέμα.
Συνεργαζόμενοι με το SSL.com για IoT PKI Με ιδιωτική ή δημόσια εμπιστοσύνη, μπορείτε να είστε σίγουροι ότι τα συστήματα και η διαδικασία που εφαρμόζετε για την έκδοση και συντήρηση πιστοποιητικών στις συσκευές σας θα παραμείνουν σε συμμόρφωση με τους κανονισμούς που εκδίδει η NIST βάσει του IoT Cybersecurity Improvement Act.
Learn More
Θέλετε να μάθετε περισσότερα σχετικά με το πώς το SSL.com μπορεί να βοηθήσει τους κατασκευαστές IoT; Ρίξτε μια ματιά σε αυτούς τους πόρους SSL.com για πολύ περισσότερες πληροφορίες ή υποβάλετε την παρακάτω φόρμα για να επικοινωνήσετε με ένα μέλος της εταιρικής ομάδας πωλήσεων του SSL.com:
- Λύσεις Internet of Things (IoT)
- Εξασφάλιση του Διαδικτύου των πραγμάτων (IoT) με SSL /TLS
- SSL /TLS Αυτοματοποίηση για το IoT με ACME
- SSL /TLS Αυτοματοποίηση για το Διαδίκτυο των πραγμάτων (IoT)
- Έλεγχος ταυτότητας χρηστών και συσκευών IoT με αμοιβαία TLS
