A mérföldkőnek számító, 2020-as IoT kiberbiztonsági fejlesztési törvény a tárgyak internete (IoT) kormányzati és ipari biztonsági szabványainak új korszakát hirdeti meg. Tudjon meg többet erről az új törvényről, és arról, hogy miként segíthet az SSL.com az IoT gyártóknak abban, hogy megjelenésükkor megfeleljenek az új szabványoknak és bevált gyakorlatoknak.
Bevezetés
Napjainkban nehéz egyetemes megállapodást találni bármely kérdésben, de az Egyesült Államok Kongresszusának mindkét háza egyhangúlag jóváhagyta HR1668/S.734, a IoT kiberbiztonsági fejlesztési törvény, 2020, mielőtt 4. december 2020-én aláírták volna a törvényt. A törvényjavaslat egyszerű átfogása széles körű, kétpárti támogatást mutat a tárgyak internete (IoT) biztonsági szabványainak kidolgozásához és végrehajtásához a szövetségi kormány számára. A házszámla összegzéséből:
Ez a törvényjavaslat előírja, hogy a Nemzeti Szabványügyi és Technológiai Intézetnek (NIST) és a Vezetési és Költségvetési Hivatalnak (OMB) meghatározott lépéseket kell tennie a tárgyak internete (IoT) eszközök kiberbiztonságának növelése érdekében. Az IoT az internetkapcsolat kiterjesztése fizikai eszközökre és mindennapi tárgyakra.
A törvényjavaslat előírja, hogy a NIST dolgozzon ki és tegyen közzé szabványokat és iránymutatásokat a szövetségi kormány számára az ügynökségek tulajdonában lévő vagy ellenőrzése alatt álló és az ügynökség tulajdonában lévő vagy ellenőrzése alatt álló információs rendszerekhez kapcsolódó IoT-eszközök ügynökségek általi megfelelő használatáról és kezeléséről, ideértve a minimális információbiztonságot is. az ilyen eszközökkel kapcsolatos kiberbiztonsági kockázatok kezelésének követelményei.
Az Iot kiberbiztonsági fejlesztési törvény értelmében a NIST szabványait ötévente felülvizsgálják és felülvizsgálják. Az Egyesült Államok Vezetési és Költségvetési Irodája (OMB) „kidolgozza és felügyeli az információs rendszerek biztonsági réseinek kezeléséhez szükséges politikák, elvek, szabványok vagy irányelvek végrehajtását” Ami a legfontosabb az IoT gyártók számára, az ügynökségeknek „tilos IoT-eszközök beszerzése, beszerzése vagy használata, ha az ügynökség a szerződés felülvizsgálata során megállapítja, hogy az ilyen eszköz használata megakadályozza a szabványok és irányelvek betartását”, kivéve „ahol ez szükséges nemzetbiztonság, kutatási célokra, vagy ha az ilyen eszközt alternatív hatékony módszerekkel rögzítik. ”
Az IoT biztonságának javításáról szóló törvény elfogadása azon államok vezetését követi, amelyek a közelmúltban elfogadták az IoT magánéletének és biztonságának védelmét célzó jogszabályokat, többek között Kalifornia és a Oregon.
Noha a törvény a szövetségi kormány által beszerzett eszközök szabályozására irányul, a biztonság szószólói remélik, hogy az IoT biztonsági normáinak és a magánszektor számára is bevált gyakorlatok kialakításához vezet. A blogbejegyzés tól ioXT Szövetség, az IoT biztonsági normáit népszerűsítő ipari csoport, a CTO Brad Ree kijelenti, hogy „Bár ez az Egyesült Államok kormányának sajátossága, bízunk benne, hogy ez katalizátorként szolgál, amely arra ösztönzi a hálózatüzemeltetőket, a fogyasztói ökoszisztémákat és a kiskereskedőket, hogy kövessék példájukat az eszközbiztonsági tanúsításban. haladni előre."
IoT (be) biztonság
Az új IoT kiberbiztonsági törvény, más állami törvényekkel és ipari kezdeményezésekkel együtt válasz a hatalmas támadási felületre, amelyet jelenleg szó szerint milliárdokat internetkapcsolattal rendelkező eszközök száma, a szívmonitoroktól a terepjárókig. Ha a bizonytalan „intelligens” eszközökkel való visszaélésre gondolunk, akkor nagy jelentőségű történetek kerülnek veszélybe biztonsági kamerák or intelligens zárak először a magánélet és a vagyon elleni bűncselekmények kockázatát idézheti fel. Hatalmas bothálók, amelyek képesek például hatalmas szolgáltatásmegtagadási támadások valódi és jelenlegi veszélyt jelentenek. Elie Bursztein biztonsági kutató körülír a 2016-os Mirai botnet:
A csúcsponton, 2016 szeptemberében, Mirai átmenetileg több magas rangú szolgáltatást, például az OVH-t, a Dyn-t és a Krebs-t bénította meg a Biztonság területén, masszív, elosztott szolgáltatásmegtagadási támadásokon keresztül. Az OVH jelentése szerint ezek a támadások meghaladták az 1Tbps-t - ami a nyilvántartás szerint a legnagyobb.
Az a figyelemre méltó ezekben a rekordokat elkövető támadásokban, hogy kicsi, ártalmatlan tárgyak internete (IoT) eszközökön hajtották végre őket, például otthoni útválasztókon, levegőminőségű monitorokon és személyes megfigyelő kamerákon keresztül. Méréseink szerint a csúcsponton Mirai több mint 600,000 XNUMX sebezhető IoT-eszközt rabszolgává tett.
...
Az eszközök veszélyeztetése érdekében a MIRAI kezdeti verziója kizárólag az IoT-eszközök által gyakran használt, 64 jól ismert alapértelmezett bejelentkezési / jelszó kombináció rögzített készletére támaszkodott. Bár ez a támadás nagyon korszerűtlen volt, rendkívül hatékonynak bizonyult és több mint 600,000 XNUMX eszköz kompromisszumához vezetett.
Képzelje el, hogy több millió ilyen eszköz könnyen kitalálható alapértelmezett hitelesítő adatokkal szállít, amelyeket a felhasználók és a rendszergazdák gyakran soha nem változtatnak meg. Könnyen beláthatja egy ilyen „alacsony technológiájú” durva erő megközelítés sikerességének lehetőségét, és ez az egyik oka annak, hogy a szövetségi kormány annyira érdeklődött a laza IoT biztonság iránt. (Érdekes módon - és feltehetően a figyelem felkeltésének elkerülése érdekében - a Mirai botok voltak kódolással kerülendő Az Egyesült Államok Védelmi Minisztériuma és a Postai Szolgálat és az Internet Assigned Numbers Authority (IANA) IP-címei szkenneléskor.)
Természetesen nem az internethez csatlakoztatott eszközök szállítását admin és a password mivel az adminisztratív adatok nagyszerű kezdetnek számítanának. És, amint alább láthatjuk, a hitelesítés a kliens tanúsítványok a jelszavak biztonságos alternatívája. Olvassa el, hogy felfedezze ezt és más módszereket, amelyek segítségével az SSL.com segíthet az IoT gyártóknak az eszközbiztonság javításában, és megfelelhet a kormányzati és az ipari szabványoknak.
Hogyan segíthet az SSL.com
A tárgyak internete kiberbiztonságáról szóló, 2020. évi törvény egyhangú elfogadása - valamint az az elvárás, hogy az ipar követi ezt - azt jelzi, hogy az IoT-gyártók felé vezető út magában foglalja a szigorúbb biztonsági előírások és előírások betartását is. Digitális tanúsítványok és a házigazdája PKI Az SSL.com-tól a gyártók nagyszerű módon biztosíthatják az IoT-eszközöket. Digitális tanúsítványok és nyilvános kulcsú infrastruktúra (PKI) a modern internet és az IoT biztonság sarkalatos pontjai közé tartoznak, és csak akkor válnak nélkülözhetetlenebbé, ha a törvény új szabványokat fogalmaz meg.
Digitális tanúsítványok
A digitális tanúsítványok olyan speciális fájlok, amelyek kriptográfiai kulcspárokat kötnek az entitásokhoz, például webhelyekhez, egyénekhez, szervezetekhez és eszközökhöz. Tanúsító hatóságok (CA) mint az SSL.com, igazolja ezeket az identitásokat a tanúsítványok kiadása előtt. A digitális tanúsítványok legismertebb használata a SSL /TLS és a HTTPS protokollok, amelyek a webhelyek biztonságára szolgálnak, de számos más felhasználási eset is létezik, beleértve a kód aláírása és a dokumentum aláírása. A digitális tanúsítványok a következőket nyújtják:
- Hitelesítés, kriptográfiailag ellenőrizhető hitelesítő adatokként szolgálva annak az entitásnak a személyazonosságát érvényesíteni, amelynek számára kiadták.
- Titkosítás, a biztonságos kommunikációhoz a nem biztonságos hálózatokon, például az Interneten keresztül.
-
Sértetlenség a tanúsítvánnyal aláírt dokumentumokról, hogy azokat egy harmadik fél ne tudja megváltoztatni.
Az IoT biztonságát tekintve ez azt jelenti, hogy:
- Minden eszköz egyedi gyártási és kliens tanúsítvánnyal rendelkezhet a gyártás során, lehetővé téve annak használatát kölcsönös TLS biztonságosan hitelesíteni a vállalati szerverekkel.
- A felhasználó számítógépe és egy eszköze, vagy egy eszköz és egy vállalat szerverei közötti kommunikáció titkosított, és biztosított a kommunikáció integritása.
- A személyi számítógépekre vagy mobileszközökre telepített klienstanúsítványok szintén használhatók hitelesítési tényező amikor a felhasználónevek és jelszavak mellett (vagy azok helyett) bejelentkezik egy eszközbe.
- Az eszközök úgy konfigurálhatók, hogy csak a bejelentkezett szoftverfrissítésekben bízzanak kód aláíró tanúsítványok a kiadó azonosítása.
És, mert a digitális tanúsítványok és PKI kialakított biztonsági szabványok, szabványos ipari protokollok, mint például CSÚCSPONT, Az SCEP és az EST használhatók az eszköztanúsítványok regisztrálásához és kezeléséhez.
Hosted PKI
A CA által fenntartott technológia és eljárások az identitások kriptográfiai kulcsokhoz való kötésére és digitális tanúsítványok kiadására nyilvános kulcsú infrastruktúrának (vagy PKI). Bármely szervezet működhet saját PKI és a belső bizalomért felelős hitelesítésszolgáltató, de csak a nyilvánosan megbízható hitelesítésszolgáltatók - például az SSL.com - nyújthatnak tanúsítványokat, amelyekben minden jelenlegi böngésző és operációs rendszer automatikusan megbízik.
A bizalom ezen egyetemes szintjének fenntartása érdekében az SSL.com folyamatosan dolgozik, hogy továbbra is megfeleljen az ipari szabványoknak és a kormányzati előírásoknak világszerte. Folyamataink és létesítményeink évente szigorúak WebTrust auditok amelyek a tanúsítványaink általános megbízhatóságának megőrzéséhez szükségesek. Ezek az ipari auditok azt is biztosítják, hogy továbbra is megfeleljünk a nemzeti előírásoknak PKI szabványai és irányelvei kormányok világszerte. Elkötelezettek vagyunk az új előírások betartásának fenntartása mellett PKI szabványok és előírások - a mi üzleti, nyilvánosan megbízható CA-ként a mi vállalkozásunk függ tőle.
Az IoT gyártói ezen keresztül kihasználhatják az SSL.com infrastruktúráját és szakértelmét fogadó vállalkozás PKI, hozzáférés biztosítása a nyilvánosan megbízható tanúsítványokhoz, és feleslegessé teszi a további berendezésekbe és szakértő személyzetbe történő beruházás szükségességét. A tanúsítvány kiállítása és az életciklus-kezelés a szokásos protokollokkal, például CSÚCSPONT, SCEP és EST, vagy az SSL.com RESTful SWS API. Magánosan megbízható PKI elérhető az SSL.com webhelyről is, és egyes alkalmazásoknál előnyösebb lehet. Kérlek olvass Privát vs nyilvános PKI: Hatékony terv felépítése sokkal több információt erről a témáról.
Az SSLO-val való együttműködéssel az IoT számára PKI akár magán, akár állami bizalommal biztos lehet abban, hogy az eszközén tanúsítványok kiadására és karbantartására bevezetett rendszerek és folyamatok továbbra is megfelelnek a NIST által az IoT kiberbiztonsági fejlesztési törvénye által kiadott előírásoknak.
Bővebben
Szeretne többet megtudni arról, hogyan segíthet az SSL.com az IoT gyártóknak? Nézze meg ezeket az SSL.com forrásokat további információkért, vagy küldje el az alábbi űrlapot, hogy elérje az SSL.com vállalati értékesítési csapatának tagját:
- A tárgyak internete (IoT) megoldásai
- A tárgyak internetének (IoT) biztonsága SSL-vel /TLS
- SSL /TLS Az IoT automatizálása az ACME segítségével
- SSL /TLS Automatizálás a tárgyak internetéhez (IoT)
- Felhasználók és IoT-eszközök hitelesítése a kölcsönös használatával TLS
