Undang-Undang Peningkatan Keamanan Siber IoT tahun 2020 yang terkenal menandai era baru standar keamanan Internet of Things (IoT) untuk pemerintah dan industri. Cari tahu tentang undang-undang baru ini, dan bagaimana SSL.com dapat membantu produsen IoT tetap mematuhi standar baru dan praktik terbaik saat muncul.
Pengantar
Sulit untuk menemukan kesepakatan universal tentang masalah apa pun saat ini, tetapi kedua majelis Kongres Amerika Serikat dengan suara bulat menyetujui HR1668/S.734, yang Undang-Undang Peningkatan Keamanan Siber IoT tahun 2020, sebelum ditandatangani menjadi undang-undang pada 4 Desember 2020. Bagian mudah dari RUU tersebut menunjukkan dukungan bipartisan yang luas untuk pengembangan dan penerapan standar keamanan Internet of Things (IoT) untuk pemerintah federal. Dari ringkasan RUU DPR:
RUU ini mengharuskan National Institute of Standards and Technology (NIST) dan Office of Management and Budget (OMB) untuk mengambil langkah-langkah tertentu guna meningkatkan keamanan siber untuk perangkat Internet of Things (IoT). IoT adalah perluasan konektivitas internet ke perangkat fisik dan objek sehari-hari.
Secara khusus, RUU tersebut mewajibkan NIST untuk mengembangkan dan menerbitkan standar dan pedoman untuk pemerintah federal tentang penggunaan dan pengelolaan yang tepat oleh lembaga perangkat IoT yang dimiliki atau dikendalikan oleh lembaga dan terhubung ke sistem informasi yang dimiliki atau dikendalikan oleh suatu lembaga, termasuk keamanan informasi minimum. persyaratan untuk mengelola risiko keamanan siber yang terkait dengan perangkat tersebut.
Di bawah Iot Cybersecurity Improvement Act, standar NIST akan ditinjau dan direvisi setiap lima tahun. Kantor Manajemen dan Anggaran AS (OMB) akan "mengembangkan dan mengawasi implementasi kebijakan, prinsip, standar, atau pedoman yang diperlukan untuk mengatasi kerentanan keamanan sistem informasi". Yang terpenting bagi produsen IoT, agensi “dilarang untuk mendapatkan, memperoleh, atau menggunakan perangkat IoT jika agensi menentukan selama peninjauan kontrak bahwa penggunaan perangkat tersebut mencegah kepatuhan terhadap standar dan pedoman,” kecuali “jika diperlukan untuk keamanan nasional, untuk tujuan penelitian, atau di mana perangkat semacam itu diamankan menggunakan metode efektif alternatif. "
Pengesahan UU Peningkatan Keamanan IoT mengikuti jejak negara bagian yang baru-baru ini mengesahkan undang-undang yang bertujuan untuk melindungi privasi dan keamanan IoT, termasuk California dan Oregon.
Meskipun undang-undang tersebut ditargetkan untuk mengatur perangkat yang dibeli oleh pemerintah federal, pendukung keamanan berharap undang-undang tersebut juga akan mengarah pada pembentukan standar keamanan IoT dan praktik terbaik untuk sektor swasta juga. Di sebuah posting blog dari Aliansi ioXT, sebuah grup industri yang mempromosikan standar keamanan IoT, CTO Brad Ree menyatakan bahwa "Meskipun ini khusus untuk pemerintah AS, kami yakin bahwa ini akan berfungsi sebagai katalisator yang mendorong operator jaringan, ekosistem konsumen, dan pengecer untuk mengikuti sertifikasi keamanan perangkat bergerak kedepan."
Keamanan IoT (In)
Undang-Undang Peningkatan Keamanan Siber IoT yang baru, bersama dengan undang-undang negara bagian dan inisiatif industri lainnya, merupakan tanggapan terhadap permukaan serangan besar yang saat ini ditawarkan oleh secara harfiah miliaran perangkat yang terhubung ke internet mulai dari monitor jantung hingga SUV. Saat kita memikirkan tentang penyalahgunaan perangkat "pintar" yang tidak aman, cerita terkenal tentang disusupi kamera keamanan or kunci pintar dapat membawa risiko pelanggaran privasi dan kejahatan properti ke dalam pikiran pertama. Namun, botnet besar mampu melakukan hal-hal seperti serangan penolakan layanan besar-besaran juga bahaya yang nyata dan sekarang. Peneliti keamanan Elie Bursztein menjelaskan botnet Mirai 2016:
Pada puncaknya pada September 2016, Mirai untuk sementara melumpuhkan beberapa layanan profil tinggi seperti OVH, Dyn, dan Krebs on Security melalui serangan Denial of service (DDoS) terdistribusi besar-besaran. OVH melaporkan bahwa serangan ini melebihi 1Tbps — terbesar dalam catatan publik.
Apa yang luar biasa dari serangan pemecah rekor ini adalah serangan tersebut dilakukan melalui perangkat Internet-of-Things (IoT) yang kecil dan tidak berbahaya seperti router rumah, monitor kualitas udara, dan kamera pengintai pribadi. Pada puncaknya, Mirai memperbudak lebih dari 600,000 perangkat IoT yang rentan, menurut pengukuran kami.
...
Untuk menyusupi perangkat, versi awal MIRAI hanya mengandalkan serangkaian tetap 64 kombinasi login / sandi default terkenal yang biasa digunakan oleh perangkat IoT. Meskipun serangan ini berteknologi sangat rendah, namun terbukti sangat efektif dan menyebabkan penyusupan lebih dari 600,000 perangkat.
Bayangkan jutaan perangkat tersebut dikirim dengan kredensial default yang mudah ditebak yang sering kali tidak pernah diubah oleh pengguna dan administrator. Anda dapat dengan mudah melihat potensi keberhasilan dari pendekatan brute force "berteknologi rendah", dan itulah salah satu alasan mengapa pemerintah federal menaruh perhatian besar pada keamanan IoT yang lemah. (Menariknya — dan mungkin untuk menghindari menarik perhatian — bot Mirai memang demikian diberi kode untuk dihindari Departemen Pertahanan AS dan Layanan Pos serta alamat IP Internet Assigned Numbers Authority (IANA) saat memindai.)
Tentu saja, tidak mengirimkan perangkat yang terhubung ke internet dengan admin dan password karena kredensial administratif akan menjadi awal yang baik. Dan, seperti yang akan kita lihat di bawah, otentikasi dengan sertifikat klien adalah alternatif kata sandi yang aman. Baca terus untuk mengetahui hal ini dan cara lain SSL.com dapat membantu produsen IoT meningkatkan keamanan perangkat dan tetap mematuhi standar pemerintah dan industri.
Bagaimana SSL.com Dapat Membantu
Pengesahan Undang-Undang Keamanan Siber Internet of Things tahun 2020 dengan suara bulat — ditambah ekspektasi bahwa industri akan mengikutinya — menunjukkan bahwa jalan ke depan bagi produsen IoT akan mencakup kepatuhan terhadap standar dan peraturan keamanan yang lebih ketat. Sertifikat digital dan host PKI dari SSL.com adalah cara terbaik bagi produsen untuk mengamankan perangkat IoT. Sertifikat digital dan infrastruktur kunci publik (PKI) adalah salah satu landasan internet modern dan keamanan IoT, dan hanya akan menjadi lebih penting karena standar baru dirancang berdasarkan undang-undang.
Sertifikat Digital
Sertifikat digital adalah file khusus yang mengikat pasangan kunci kriptografi ke entitas seperti situs web, individu, organisasi, dan perangkat. Otoritas sertifikat (CA) seperti SSL.com memvalidasi identitas ini sebelum menerbitkan sertifikat. Penggunaan sertifikat digital yang paling banyak dikenal ada di SSL /TLS dan HTTPS protokol yang digunakan untuk mengamankan situs web, tetapi ada banyak kasus penggunaan lainnya, termasuk penandatanganan kode dan penandatanganan dokumen. Sertifikat digital menyediakan:
- Otentikasi, dengan berfungsi sebagai kredensial yang dapat diverifikasi secara kriptografis untuk memvalidasi identitas entitas yang menerbitkannya.
- enkripsi, untuk komunikasi yang aman melalui jaringan yang tidak aman seperti Internet.
-
Integritas dokumen yang ditandatangani dengan sertifikat sehingga tidak dapat diubah oleh pihak ketiga saat transit.
Dalam hal keamanan IoT, ini berarti:
- Setiap perangkat dapat diberikan identitas unik dan sertifikat klien selama pembuatan, yang memungkinkannya untuk digunakan saling TLS untuk mengautentikasi secara aman dengan server perusahaan.
- Komunikasi antara komputer pengguna dan perangkat, atau antara perangkat dan server perusahaan, dienkripsi, dan integritas komunikasi ini dipastikan.
- Sertifikat klien yang dipasang di komputer pribadi atau perangkat seluler juga dapat digunakan sebagai file faktor otentikasi saat masuk ke perangkat selain (atau sebagai pengganti) nama pengguna dan kata sandi.
- Perangkat dapat dikonfigurasi untuk mempercayai hanya pembaruan perangkat lunak yang ditandatangani sertifikat penandatanganan kode mengidentifikasi penerbit.
Dan, karena sertifikat digital dan PKI ditetapkan standar keamanan, seperti protokol industri standar PUNCAK, SCEP, dan EST dapat digunakan untuk pendaftaran dan pengelolaan sertifikat perangkat.
Hosted PKI
Teknologi dan prosedur yang dikelola oleh CA untuk mengikat identitas ke kunci kriptografi dan menerbitkan sertifikat digital dikenal sebagai Infrastruktur Kunci Publik (atau PKI). Setiap organisasi dapat beroperasi sendiri PKI dan CA untuk kepercayaan internal, tetapi hanya CA yang dipercaya secara publik, seperti SSL.com, yang dapat memberikan sertifikat yang dipercaya secara otomatis oleh semua browser dan sistem operasi saat ini.
Untuk mempertahankan tingkat kepercayaan universal ini, SSL.com bekerja terus-menerus untuk tetap mematuhi standar industri dan peraturan pemerintah di seluruh dunia. Proses dan fasilitas kami tunduk pada ketat setiap tahun Audit WebTrust yang diperlukan untuk menjaga sertifikat kami dipercaya secara universal. Audit industri ini juga memastikan bahwa kami tetap mematuhi peraturan nasional PKI standar dan pedoman pemerintah di seluruh dunia. Kami berkomitmen untuk menjaga kepatuhan dengan yang baru PKI standar dan peraturan ke depan — sebagai CA komersial yang dipercaya secara publik, bisnis kita sangat bergantung padanya.
Produsen IoT dapat memanfaatkan infrastruktur dan keahlian SSL.com melalui perusahaan yang dihosting PKI, menyediakan akses ke sertifikat yang dipercaya secara publik dan menghilangkan kebutuhan untuk berinvestasi pada peralatan tambahan dan staf ahli. Penerbitan sertifikat dan manajemen siklus hidup dapat dilakukan melalui protokol standar seperti PUNCAK, SCEP, dan EST, atau SSL.com RESTful API SWS. Dipercaya secara pribadi PKI juga tersedia dari SSL.com, dan mungkin lebih disukai untuk beberapa aplikasi. Mohon dibaca Pribadi vs Publik PKI: Membangun Rencana yang Efektif untuk informasi lebih lanjut tentang subjek ini.
Dengan bermitra dengan SSL.com untuk IoT PKI dengan kepercayaan pribadi atau publik, Anda dapat yakin bahwa sistem dan proses yang Anda lakukan untuk menerbitkan dan memelihara sertifikat di perangkat Anda akan tetap sesuai dengan peraturan yang dikeluarkan oleh NIST berdasarkan IoT Cybersecurity Improvement Act.
Pelajari Lebih Lanjut
Ingin mempelajari lebih lanjut tentang bagaimana SSL.com dapat membantu produsen IoT? Lihat sumber daya SSL.com ini untuk informasi lebih lanjut, atau kirim formulir di bawah ini untuk menghubungi anggota tim penjualan perusahaan SSL.com:
- Solusi Internet of Things (IoT)
- Mengamankan Internet of Things (IoT) dengan SSL /TLS
- SSL /TLS Otomasi untuk IoT dengan ACME
- SSL /TLS Otomasi untuk Internet of Things (IoT)
- Mengautentikasi Pengguna dan Perangkat IoT dengan Mutual TLS
