La loi historique sur l'amélioration de la cybersécurité de l'IoT de 2020 annonce une nouvelle ère de normes de sécurité de l'Internet des objets (IoT) pour le gouvernement et l'industrie. Découvrez cette nouvelle loi et comment SSL.com peut aider les fabricants d'IoT à rester en conformité avec les nouvelles normes et les meilleures pratiques telles qu'elles apparaissent.
Introduction
Il est difficile de trouver un accord universel sur n'importe quelle question ces jours-ci, mais les deux chambres du Congrès des États-Unis ont approuvé à l'unanimité HR1668/S.734, Loi sur l'amélioration de la cybersécurité IoT de 2020, avant qu'il ne soit promulgué le 4 décembre 2020. L'adoption facile du projet de loi montre un large soutien bipartisan au développement et à la mise en œuvre des normes de sécurité de l'Internet des objets (IoT) pour le gouvernement fédéral. Extrait du résumé du projet de loi de la Chambre:
Ce projet de loi oblige l'Institut national des normes et de la technologie (NIST) et le Bureau de la gestion et du budget (OMB) à prendre des mesures spécifiques pour accroître la cybersécurité des appareils de l'Internet des objets (IoT). L'IoT est l'extension de la connectivité Internet dans les appareils physiques et les objets du quotidien.
Plus précisément, le projet de loi oblige le NIST à élaborer et à publier des normes et des lignes directrices à l'intention du gouvernement fédéral sur l'utilisation et la gestion appropriées par les agences des appareils IoT détenus ou contrôlés par une agence et connectés à des systèmes d'information détenus ou contrôlés par une agence, y compris une sécurité minimale de l'information. les exigences de gestion des risques de cybersécurité associés à ces appareils.
En vertu de la loi sur l'amélioration de la cybersécurité de l'IOT, les normes du NIST seront revues et révisées tous les cinq ans. L'Office of Management and Budget (OMB) des États-Unis «élaborera et supervisera la mise en œuvre de politiques, principes, normes ou lignes directrices, le cas échéant, pour remédier aux vulnérabilités de sécurité des systèmes d'information». Plus important encore, pour les fabricants d'IoT, il est «interdit aux agences de se procurer, d'obtenir ou d'utiliser un appareil IoT si l'agence détermine lors de l'examen d'un contrat que l'utilisation d'un tel appareil empêche la conformité aux normes et directives», sauf «lorsque cela est nécessaire pour sécurité nationale, à des fins de recherche, ou lorsque ce dispositif est sécurisé par d’autres méthodes efficaces. »
Le passage de la loi sur l'amélioration de la sécurité de l'IoT suit l'exemple des États qui ont récemment adopté une législation visant à protéger la confidentialité et la sécurité de l'IoT, notamment Californie et Oregon.
Bien que la loi vise à réglementer les appareils achetés par le gouvernement fédéral, les défenseurs de la sécurité espèrent qu'elle conduira également à l'établissement de normes de sécurité IoT et des meilleures pratiques pour le secteur privé. Dans un blog du Alliance ioXT, un groupe industriel promouvant les normes de sécurité IoT, le CTO Brad Ree déclare: «Bien que cela soit spécifique au gouvernement américain, nous sommes convaincus que cela servira de catalyseur qui incitera les opérateurs de réseau, les écosystèmes de consommateurs et les détaillants à emboîter le pas dans la certification de la sécurité des appareils avancer."
Sécurité IoT (In)
La nouvelle loi sur l'amélioration de la cybersécurité de l'IoT, ainsi que d'autres lois étatiques et initiatives de l'industrie, est une réponse à l'énorme surface d'attaque actuellement offerte par littéralement des milliards des appareils connectés à Internet allant des moniteurs cardiaques aux SUV. Lorsque nous pensons à l’abus d’appareils «intelligents» non sécurisés, des histoires très médiatisées sur des des caméras de sécurité or serrures intelligentes peut faire penser en premier aux risques d'atteinte à la vie privée et de crimes contre les biens. Cependant, d'énormes botnets capables de choses comme attaques massives par déni de service sont également un danger réel et actuel. Chercheur en sécurité Elie Bursztein décrit le botnet Mirai 2016:
À son apogée en septembre 2016, Mirai a temporairement paralysé plusieurs services de haut niveau tels que OVH, Dyn et Krebs on Security via des attaques massives par déni de service (DDoS). OVH a signalé que ces attaques dépassaient 1 Tbit / s, la plus importante jamais enregistrée.
Ce qui est remarquable à propos de ces attaques record, c'est qu'elles ont été menées via de petits appareils inoffensifs de l'Internet des objets (IoT) tels que des routeurs domestiques, des moniteurs de qualité de l'air et des caméras de surveillance personnelles. À son apogée, Mirai a réduit en esclavage plus de 600,000 XNUMX appareils IoT vulnérables, selon nos mesures.
...
Pour compromettre les appareils, la version initiale de MIRAI reposait exclusivement sur un ensemble fixe de 64 combinaisons de connexion / mot de passe par défaut bien connues couramment utilisées par les appareils IoT. Bien que cette attaque soit de très faible technicité, elle s'est avérée extrêmement efficace et a conduit au compromis de plus de 600,000 XNUMX appareils.
Imaginez des millions de ces appareils livrés avec des informations d'identification par défaut facilement devinables qui ne sont souvent jamais modifiées par les utilisateurs et les administrateurs. Vous pouvez facilement voir le potentiel de réussite d'une telle approche de force brute «low-tech», et c'est l'une des raisons pour lesquelles le gouvernement fédéral s'est tellement intéressé à la sécurité IoT laxiste. (Fait intéressant - et vraisemblablement pour éviter d'attirer l'attention - les robots Mirai étaient codé pour éviter Adresses IP du Département américain de la défense et des services postaux et de l'IANA (Internet Assigned Numbers Authority) lors de la numérisation.)
Bien sûr, ne pas expédier d'appareils connectés à Internet avec admin et password car les informations d'identification administratives seraient un bon début. Et, comme nous le verrons ci-dessous, l'authentification avec certificats clients est une alternative sécurisée aux mots de passe. Poursuivez votre lecture pour découvrir ceci et d'autres moyens par lesquels SSL.com peut aider les fabricants d'IoT à améliorer la sécurité des appareils et à rester en conformité avec les normes gouvernementales et industrielles.
Comment SSL.com peut vous aider
L'adoption à l'unanimité de la loi sur la cybersécurité de l'Internet des objets de 2020 - plus l'espoir que l'industrie suivra cet exemple - indique que la voie à suivre pour les fabricants d'IoT comprendra le respect de normes et de réglementations de sécurité plus strictes. Certificats numériques et organisé PKI de SSL.com sont un excellent moyen pour les fabricants de sécuriser les appareils IoT. Certificats numériques et infrastructure à clé publique (PKI) font partie des pierres angulaires de la sécurité moderne d'Internet et de l'IdO, et ne deviendront que plus essentielles à mesure que de nouvelles normes seront rédigées en vertu de la loi.
Certificats numériques
Les certificats numériques sont des fichiers spéciaux qui lient des paires de clés cryptographiques à des entités telles que des sites Web, des individus, des organisations et des appareils. Autorités de certification (CA) comme SSL.com, validez ces identités avant d'émettre des certificats. L'utilisation la plus connue des certificats numériques est dans le SSL /TLS et HTTPS protocoles utilisés pour sécuriser les sites Web, mais il existe de nombreux autres cas d'utilisation, notamment signature de code et signature de documents. Les certificats numériques fournissent:
- Authentification, en servant d'identifiant vérifiable par cryptographie pour valider l'identité de l'entité à laquelle il est délivré.
- Chiffrement, pour une communication sécurisée sur des réseaux non sécurisés tels qu'Internet.
-
Intégrité des documents signés avec le certificat afin qu'ils ne puissent pas être modifiés par un tiers en transit.
En termes de sécurité IoT, cela signifie que:
- Chaque appareil peut recevoir une identité unique et un certificat client lors de la fabrication, ce qui lui permet d'utiliser mutuel TLS pour s'authentifier en toute sécurité auprès des serveurs de l'entreprise.
- La communication entre l'ordinateur d'un utilisateur et un appareil, ou entre un appareil et les serveurs d'une entreprise, est cryptée et l'intégrité de ces communications est garantie.
- Les certificats clients installés sur des ordinateurs personnels ou des appareils mobiles peuvent également être utilisés comme facteur d'authentification lors de la connexion à un appareil en plus (ou à la place) des noms d'utilisateur et des mots de passe.
- Les appareils peuvent être configurés pour approuver uniquement les mises à jour logicielles signées avec certificats de signature de code identifier l'éditeur.
Et, parce que les certificats numériques et PKI sont des normes de sécurité établies, des protocoles standard de l'industrie comme ACME, SCEP et EST peuvent être utilisés pour l'inscription et la gestion des certificats d'appareil.
Hébergé PKI
La technologie et les procédures gérées par une autorité de certification pour lier les identités aux clés cryptographiques et émettre des certificats numériques sont appelées infrastructure à clé publique (ou PKI). Toute organisation peut gérer sa propre PKI et CA pour la confiance interne, mais seules les CA de confiance publique, comme SSL.com, peuvent fournir des certificats qui sont automatiquement approuvés par tous les navigateurs et systèmes d'exploitation actuels.
Pour maintenir ce niveau de confiance universel, SSL.com travaille continuellement pour rester en conformité avec les normes de l'industrie et les réglementations gouvernementales dans le monde entier. Nos processus et installations sont soumis à des Audits WebTrust qui sont nécessaires pour garantir la confiance universelle de nos certificats. Ces audits de l'industrie garantissent également que nous restons en conformité avec les PKI normes et directives de gouvernements à l'échelle mondiale. Nous nous engageons à maintenir la conformité à toute nouvelle PKI normes et réglementations à l'avenir - en tant que CA commerciale et de confiance publique, notre activité en dépend.
Les fabricants IoT peuvent tirer parti de l'infrastructure et de l'expertise de SSL.com grâce à entreprise hébergée PKI, donnant accès à des certificats de confiance publique et éliminant le besoin d'investir dans du matériel supplémentaire et du personnel expert. L'émission de certificats et la gestion du cycle de vie peuvent être effectuées via des protocoles standard tels que ACME, SCEP et EST, ou RESTful de SSL.com API SWS. Confiance privée PKI est également disponible sur SSL.com et peut être préférable pour certaines applications. Lisez s'il vous plaît Privé vs public PKI: Construire un plan efficace pour beaucoup plus d'informations à ce sujet.
En partenariat avec SSL.com pour l'IoT PKI Avec une confiance privée ou publique, vous pouvez être assuré que les systèmes et processus que vous mettez en place pour l'émission et la maintenance des certificats sur vos appareils resteront conformes aux réglementations émises par le NIST en vertu de l'IoT Cybersecurity Improvement Act.
En savoir plus
Vous voulez en savoir plus sur la manière dont SSL.com peut aider les fabricants IoT? Consultez ces ressources SSL.com pour plus d'informations, ou envoyez le formulaire ci-dessous pour contacter un membre de l'équipe commerciale de SSL.com:
- Solutions Internet des objets (IoT)
- Sécuriser l'Internet des objets (IoT) avec SSL /TLS
- SSL /TLS Automatisation de l'IoT avec ACME
- SSL /TLS Automatisation pour l'Internet des objets (IoT)
- Authentification des utilisateurs et des appareils IoT avec Mutual TLS
