La Ley de mejora de la ciberseguridad de IoT de 2020, certificados digitales y PKI

La histórica Ley de mejora de la ciberseguridad de IoT de 2020 anuncia una nueva era de estándares de seguridad de Internet de las cosas (IoT) para el gobierno y la industria. Descubra esta nueva ley y cómo SSL.com puede ayudar a los fabricantes de IoT a cumplir con los nuevos estándares y las mejores prácticas a medida que aparecen.

Introducción

Es difícil encontrar un acuerdo universal sobre cualquier tema en estos días., pero ambas cámaras del Congreso de los Estados Unidos aprobaron por unanimidad HR1668/S.734, la Ley de mejora de la ciberseguridad de IoT de 2020, antes de que se convirtiera en ley el 4 de diciembre de 2020. La fácil aprobación del proyecto de ley muestra un amplio apoyo bipartidista para el desarrollo y la implementación de estándares de seguridad de Internet de las cosas (IoT) para el gobierno federal. Del resumen del proyecto de ley de la Cámara:

Este proyecto de ley requiere que el Instituto Nacional de Estándares y Tecnología (NIST) y la Oficina de Administración y Presupuesto (OMB) tomen medidas específicas para aumentar la ciberseguridad para los dispositivos de Internet de las cosas (IoT). IoT es la extensión de la conectividad a Internet a dispositivos físicos y objetos cotidianos.

Específicamente, el proyecto de ley requiere que NIST desarrolle y publique estándares y pautas para el gobierno federal sobre el uso y la administración apropiados por parte de las agencias de los dispositivos de IoT que son propiedad o están controlados por una agencia y conectados a sistemas de información que son propiedad o están controlados por una agencia, incluida la seguridad mínima de la información. requisitos para gestionar los riesgos de ciberseguridad asociados con dichos dispositivos.

Según la Ley de mejora de la seguridad cibernética de Iot, los estándares del NIST se revisarán y revisarán cada cinco años. La Oficina de Administración y Presupuesto de EE. UU. (OMB) "desarrollará y supervisará la implementación de políticas, principios, estándares o directrices según sea necesario para abordar las vulnerabilidades de seguridad de los sistemas de información". Lo más importante para los fabricantes de IoT es que las agencias "tienen prohibido adquirir, obtener o utilizar un dispositivo de IoT si, durante la revisión de un contrato, la agencia determina que el uso de dicho dispositivo impide el cumplimiento de las normas y directrices", excepto "cuando sea necesario para seguridad nacional, con fines de investigación, o cuando dicho dispositivo esté protegido mediante métodos alternativos eficaces ".

La aprobación de la Ley de mejora de la seguridad de IoT sigue el ejemplo de los estados que han aprobado recientemente leyes destinadas a proteger la privacidad y seguridad de IoT, que incluyen California. y Oregón.

Aunque la ley tiene como objetivo regular los dispositivos adquiridos por el gobierno federal, los defensores de la seguridad tienen la esperanza de que también conduzca al establecimiento de estándares de seguridad de IoT y mejores prácticas también para el sector privado. en un blog del desplegable Alianza ioXT, un grupo de la industria que promueve los estándares de seguridad de IoT, el CTO Brad Ree afirma que “si bien esto es específico del gobierno de EE. UU., estamos seguros de que servirá como catalizador que impulse a los operadores de red, ecosistemas de consumidores y minoristas a seguir su ejemplo en la certificación de seguridad de dispositivos avanzando ".

Ve arriba

Seguridad de IoT (In)

La nueva Ley de mejora de la ciberseguridad de IoT, junto con otras leyes estatales e iniciativas de la industria, es una respuesta a la enorme superficie de ataque que ofrece actualmente literalmente miles de millones de los dispositivos conectados a Internet que van desde monitores cardíacos hasta SUV. Cuando pensamos en el abuso de dispositivos "inteligentes" inseguros, las historias de alto perfil sobre cámaras de seguridad or cerraduras inteligentes puede traer a la mente los riesgos de invasión de la privacidad y los delitos contra la propiedad. Sin embargo, enormes botnets capaces de cosas como ataques masivos de denegación de servicio son también un peligro real y presente. Investigador de seguridad Elie Bursztein describe la botnet Mirai 2016:

En su apogeo en septiembre de 2016, Mirai paralizó temporalmente varios servicios de alto perfil como OVH, Dyn y Krebs on Security a través de ataques masivos distribuidos de denegación de servicio (DDoS). OVH informó que estos ataques excedieron 1Tbps, el mayor registrado público.

Lo notable de estos ataques récord es que se llevaron a cabo a través de dispositivos pequeños e inocuos de Internet de las cosas (IoT) como enrutadores domésticos, monitores de calidad del aire y cámaras de vigilancia personales. En su apogeo, Mirai esclavizó a más de 600,000 dispositivos IoT vulnerables, según nuestras mediciones.

...

Para comprometer los dispositivos, la versión inicial de MIRAI se basó exclusivamente en un conjunto fijo de 64 combinaciones de inicio de sesión / contraseña predeterminadas conocidas comúnmente utilizadas por los dispositivos IoT. Si bien este ataque fue de muy baja tecnología, demostró ser extremadamente efectivo y llevó a comprometer más de 600,000 dispositivos.

Imagine que millones de estos dispositivos se envían con credenciales predeterminadas fáciles de adivinar que los usuarios y administradores nunca cambian. Puede ver fácilmente el potencial de éxito de un enfoque de fuerza bruta de "baja tecnología", y esa es una de las razones por las que el gobierno federal se ha interesado tanto en la seguridad laxa de IoT. (Curiosamente, y presumiblemente para evitar llamar la atención, los robots Mirai fueron codificado para evitar Las direcciones IP del Departamento de Defensa y del Servicio Postal de EE. UU. Y la Autoridad de Números Asignados de Internet (IANA) al escanear).

Por supuesto, no enviar dispositivos conectados a Internet con admin y password como credenciales administrativas sería un gran comienzo. Y, como veremos a continuación, la autenticación con certificados de cliente es una alternativa segura a las contraseñas. Siga leyendo para descubrir esta y otras formas en las que SSL.com puede ayudar a los fabricantes de IoT a mejorar la seguridad de los dispositivos y cumplir con los estándares gubernamentales y de la industria.

Ve arriba

Cómo puede ayudar SSL.com

La aprobación unánime de la Ley de Ciberseguridad de Internet de las Cosas de 2020, más la expectativa de que la industria siga su ejemplo, indica que el camino a seguir para los fabricantes de IoT incluirá el cumplimiento de normas y regulaciones de seguridad más estrictas. Certificados digitales y organizado PKI de SSL.com son una excelente manera para que los fabricantes protejan los dispositivos de IoT. Certificados digitales e infraestructura de clave pública (PKI) se encuentran entre las piedras angulares de la seguridad moderna de Internet y de la IoT, y solo serán más esenciales a medida que se redacten nuevos estándares conforme a la ley.

Certificados digitales

Los certificados digitales son archivos especiales que vinculan pares de claves criptográficas a entidades como sitios web, individuos, organizaciones y dispositivos. Autoridades de certificación (CA) como SSL.com, valida estas identidades antes de emitir certificados. El uso más conocido de certificados digitales se encuentra en SSL /TLS y HTTPS protocolos que se utilizan para proteger los sitios web, pero hay muchos otros casos de uso, que incluyen firma de código y firma de documentos. Los certificados digitales proporcionan:

  • Autenticación, al servir como una credencial verificable criptográficamente para validar la identidad de la entidad a la que se emite.
  • Cifrado, para una comunicación segura a través de redes inseguras como Internet.

  • Integridad de documentos firmados con el certificado para que no puedan ser alterados por un tercero en tránsito.

    En términos de seguridad de IoT, esto significa que:

  • A cada dispositivo se le puede proporcionar una identidad única y un certificado de cliente durante la fabricación, lo que le permite usar mutuo TLS para autenticarse de forma segura con los servidores de la empresa.
  • La comunicación entre la computadora de un usuario y un dispositivo, o entre un dispositivo y los servidores de una empresa, está cifrada y se garantiza la integridad de estas comunicaciones.
  • Los certificados de cliente instalados en ordenadores personales o dispositivos móviles también se pueden utilizar como factor de autenticación al iniciar sesión en un dispositivo además de (o en lugar de) nombres de usuario y contraseñas.
  • Los dispositivos se pueden configurar para confiar solo en las actualizaciones de software firmadas con certificados de firma de código identificación del editor.

Y, porque los certificados digitales y PKI son estándares de seguridad establecidos, protocolos estándar de la industria como CUMBRE, SCEP y EST se pueden utilizar para la inscripción y la gestión de certificados de dispositivos.

Alojado PKI

La tecnología y los procedimientos mantenidos por una CA para vincular identidades a claves criptográficas y emitir certificados digitales se conocen como Infraestructura de clave pública (o PKI). Cualquier organización puede operar su propia PKI y CA para la confianza interna, pero solo las CA de confianza pública, como SSL.com, pueden proporcionar certificados en los que confían automáticamente todos los navegadores y sistemas operativos actuales.

Para mantener este nivel universal de confianza, SSL.com trabaja continuamente para cumplir con los estándares de la industria y las regulaciones gubernamentales en todo el mundo. Nuestros procesos e instalaciones están sujetos a rigurosos Auditorías de WebTrust que se requieren para mantener nuestros certificados de confianza universal. Estas auditorías de la industria también garantizan que sigamos cumpliendo con las PKI normas y directrices de gobiernos en todo el mundo. Estamos comprometidos a mantener el cumplimiento de cualquier PKI Estándares y regulaciones en el futuro: como CA comercial de confianza pública, nuestro negocio depende de ello.

Los fabricantes de IoT pueden aprovechar la infraestructura y la experiencia de SSL.com a través de empresa alojada PKI, proporcionando acceso a certificados de confianza pública y eliminando la necesidad de invertir en equipos adicionales y personal experto. La emisión de certificados y la gestión del ciclo de vida se pueden realizar mediante protocolos estándar como CUMBRE, SCEP y EST, o RESTful de SSL.com API SWS. Confianza privada PKI también está disponible en SSL.com y puede ser preferible para algunas aplicaciones. Por favor lee Privado vs Público PKI: Construyendo un plan efectivo para obtener mucha más información sobre este tema.

Al asociarse con SSL.com para IoT PKI con la confianza pública o privada, puede estar seguro de que los sistemas y procesos que implemente para emitir y mantener certificados en sus dispositivos seguirán cumpliendo con las regulaciones emitidas por NIST bajo la Ley de Mejora de la Ciberseguridad de IoT.

Ve arriba

Más Información

¿Quiere saber más sobre cómo SSL.com puede ayudar a los fabricantes de IoT? Consulte estos recursos de SSL.com para obtener mucha más información, o envíe el formulario a continuación para comunicarse con un miembro del equipo de ventas empresariales de SSL.com:

Comuníquese con SSL.com Enterprise Sales

Equipo de soporte de SSL.com

Autor - Administrador de contenido
Todos los Artículos

Blog y artículos

Ver todas las publicaciones del blog
Facebook LinkedIn Twitter YouTube Github

Que es SSL /TLS?

Juega Vídeo

Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.

Tomar encuesta