IoT Cybersecurity Improvement Act del 2020, certificati digitali e PKI

Lo storico IoT Cybersecurity Improvement Act del 2020 annuncia una nuova era di standard di sicurezza per Internet of Things (IoT) per il governo e l'industria. Scopri questa nuova legge e come SSL.com può aiutare i produttori di IoT a rimanere in conformità con i nuovi standard e le migliori pratiche man mano che si presentano.

Introduzione

È difficile trovare un accordo universale su qualsiasi questione in questi giorni, ma entrambe le camere del Congresso degli Stati Uniti hanno approvato all'unanimità HR1668/S.734, le IoT Cybersecurity Improvement Act del 2020, prima che diventasse legge il 4 dicembre 2020. Il facile passaggio del disegno di legge mostra un ampio sostegno bipartisan per lo sviluppo e l'implementazione degli standard di sicurezza dell'Internet of Things (IoT) per il governo federale. Dal riepilogo del conto della casa:

Questo disegno di legge richiede che il National Institute of Standards and Technology (NIST) e l'Office of Management and Budget (OMB) adottino misure specifiche per aumentare la sicurezza informatica per i dispositivi Internet of Things (IoT). L'IoT è l'estensione della connettività Internet a dispositivi fisici e oggetti di uso quotidiano.

In particolare, il disegno di legge richiede al NIST di sviluppare e pubblicare standard e linee guida per il governo federale sull'uso appropriato e la gestione da parte di agenzie di dispositivi IoT posseduti o controllati da un'agenzia e collegati a sistemi informativi posseduti o controllati da un'agenzia, inclusa la sicurezza minima delle informazioni requisiti per la gestione dei rischi per la sicurezza informatica associati a tali dispositivi.

In base allo Iot Cybersecurity Improvement Act, gli standard del NIST saranno riesaminati e rivisti ogni cinque anni. L'Office of Management and Budget (OMB) degli Stati Uniti "svilupperà e supervisionerà l'attuazione di politiche, principi, standard o linee guida secondo necessità per affrontare le vulnerabilità di sicurezza dei sistemi informativi". Soprattutto per i produttori di IoT, le agenzie sono "vietate di procurarsi, ottenere o utilizzare un dispositivo IoT se l'agenzia determina durante la revisione di un contratto che l'uso di tale dispositivo impedisce la conformità con gli standard e le linee guida", tranne "dove necessario per sicurezza nazionale, per scopi di ricerca, o laddove tale dispositivo sia protetto utilizzando metodi alternativi efficaci. "

Il passaggio dell'IoT Security Improvement Act segue l'esempio degli stati che hanno recentemente approvato una legislazione volta a proteggere la privacy e la sicurezza dell'IoT, tra cui California ed Oregon.

Sebbene la legge sia mirata a regolamentare i dispositivi acquistati dal governo federale, i sostenitori della sicurezza sperano che condurrà anche alla definizione di standard di sicurezza IoT e migliori pratiche anche per il settore privato. In un post sul blog dal Alleanza ioXT, un gruppo industriale che promuove gli standard di sicurezza IoT, il CTO Brad Ree afferma che "Anche se questo è specifico del governo degli Stati Uniti, siamo fiduciosi che servirà da catalizzatore che spinge gli operatori di rete, gli ecosistemi di consumatori e i rivenditori a seguire l'esempio nella certificazione della sicurezza dei dispositivi andando avanti."

Sicurezza IoT (in)

Il nuovo IoT Cybersecurity Improvement Act, insieme ad altre leggi statali e iniziative del settore, è una risposta all'enorme superficie di attacco attualmente offerta da letteralmente miliardi dei dispositivi connessi a Internet che vanno dai cardiofrequenzimetri ai SUV. Quando pensiamo all'abuso di dispositivi "intelligenti" non sicuri, storie di alto profilo su compromessi telecamere di sicurezza or serrature intelligenti può far pensare in primo luogo ai rischi di violazione della privacy e di reati contro la proprietà. Tuttavia, enormi botnet capaci di cose come massicci attacchi denial-of-service sono anche un pericolo reale e presente. Ricercatore di sicurezza Elie Bursztein descrive la botnet Mirai 2016:

Al suo apice nel settembre 2016, Mirai ha temporaneamente paralizzato diversi servizi di alto profilo come OVH, Dyn e Krebs on Security tramite massicci attacchi Denial of Service (DDoS) distribuiti. OVH ha riferito che questi attacchi hanno superato 1 Tbps, il più grande mai registrato.

La cosa straordinaria di questi attacchi da record è che sono stati effettuati tramite piccoli e innocui dispositivi Internet of Things (IoT) come router domestici, monitor della qualità dell'aria e telecamere di sorveglianza personali. Al suo apice, Mirai ha ridotto in schiavitù oltre 600,000 dispositivi IoT vulnerabili, secondo le nostre misurazioni.

...

Per compromettere i dispositivi, la versione iniziale di MIRAI si basava esclusivamente su un set fisso di 64 ben note combinazioni di login / password predefinite comunemente utilizzate dai dispositivi IoT. Sebbene questo attacco fosse a bassissima tecnologia, si è rivelato estremamente efficace e ha portato alla compromissione di oltre 600,000 dispositivi.

Immagina che milioni di dispositivi di questo tipo vengano spediti con credenziali predefinite facilmente intuibili che spesso non vengono mai modificate da utenti e amministratori. Si può facilmente vedere il potenziale di successo di un simile approccio di forza bruta "a bassa tecnologia", e questo è uno dei motivi per cui il governo federale ha mostrato un tale interesse per la scarsa sicurezza IoT. (È interessante notare che, e presumibilmente per evitare di attirare l'attenzione, i bot Mirai lo erano codificato per evitare Gli indirizzi IP del Dipartimento della difesa e del servizio postale degli Stati Uniti e IANA (Internet Assigned Numbers Authority) durante la scansione.)

Ovviamente, non spedire dispositivi connessi a Internet con admin ed password poiché le credenziali amministrative sarebbero un ottimo inizio. E, come vedremo di seguito, l'autenticazione con certificati client è un'alternativa sicura alle password. Continua a leggere per scoprire questo e altri modi in cui SSL.com può aiutare i produttori di IoT a migliorare la sicurezza dei dispositivi e rimanere in conformità con il governo e gli standard di settore.

Come SSL.com può aiutare

L'approvazione unanime dell'Internet of Things Cybersecurity Act del 2020, oltre all'aspettativa che l'industria seguirà l'esempio, indica che il percorso futuro per i produttori di IoT includerà la conformità a standard e normative di sicurezza più rigorosi. Certificati digitali ed ospitato PKI di SSL.com sono un ottimo modo per i produttori di proteggere i dispositivi IoT. Certificati digitali e infrastruttura a chiave pubblica (PKI) sono tra i capisaldi della moderna sicurezza di Internet e dell'IoT e diventeranno più essenziali solo con la redazione di nuovi standard ai sensi della legge.

Certificati digitali

I certificati digitali sono file speciali che legano coppie di chiavi crittografiche a entità quali siti Web, individui, organizzazioni e dispositivi. Autorità di certificazione (CA) come SSL.com convalida queste identità prima di emettere i certificati. L'uso più noto dei certificati digitali è in SSL /TLS ed HTTPS protocolli utilizzati per proteggere i siti Web, ma esistono molti altri casi d'uso, tra cui firma del codice ed firma del documento. I certificati digitali forniscono:

  • Autenticazione, fungendo da credenziale verificabile crittograficamente per convalidare l'identità dell'entità a cui è stata rilasciata.
  • crittografia, per comunicazioni sicure su reti non sicure come Internet.
  • Integrità di documenti firmati con il certificato in modo che non possano essere alterati da terzi in transito.

    In termini di sicurezza IoT, ciò significa che:

  • A ogni dispositivo può essere fornita un'identità univoca e un certificato client durante la produzione, consentendone l'uso reciproco TLS per autenticarsi in modo sicuro con i server aziendali.
  • La comunicazione tra il computer di un utente e un dispositivo o tra un dispositivo e i server di un'azienda è crittografata e l'integrità di queste comunicazioni è garantita.
  • I certificati client installati su personal computer o dispositivi mobili possono essere utilizzati anche come file fattore di autenticazione quando si accede a un dispositivo in aggiunta a (o al posto di) nomi utente e password.
  • I dispositivi possono essere configurati per considerare attendibili solo gli aggiornamenti software firmati con certificati di firma del codice identificare l'editore.

Inoltre, poiché certificati digitali e PKI sono standard di sicurezza stabiliti, protocolli standard del settore come ACME, SCEP e EST possono essere utilizzati per la registrazione e la gestione dei certificati del dispositivo.

Hosted PKI

La tecnologia e le procedure gestite da una CA per l'associazione delle identità alle chiavi crittografiche e il rilascio di certificati digitali sono note come Public Key Infrastructure (o PKI). Ogni organizzazione può operare in proprio PKI e CA per l'attendibilità interna, ma solo CA pubblicamente attendibili, come SSL.com, possono fornire certificati automaticamente considerati attendibili da tutti i browser e sistemi operativi correnti.

Per mantenere questo livello di fiducia universale, SSL.com lavora continuamente per rimanere in conformità con gli standard di settore e le normative governative in tutto il mondo. I nostri processi e strutture sono soggetti a rigorosi annuali Verifiche WebTrust necessari per mantenere i nostri certificati universalmente affidabili. Questi audit di settore garantiscono inoltre che rimaniamo in conformità con le normative nazionali PKI standard e linee guida di governi In tutto il mondo. Ci impegniamo a mantenere la conformità con qualsiasi nuovo PKI standard e normative in futuro: in quanto CA commerciale pubblicamente attendibile, la nostra stessa attività dipende da questo.

I produttori IoT possono trarre vantaggio dall'infrastruttura e dall'esperienza di SSL.com impresa ospitata PKI, fornendo accesso a certificati pubblicamente affidabili ed eliminando la necessità di investire in apparecchiature aggiuntive e personale esperto. L'emissione del certificato e la gestione del ciclo di vita possono essere effettuate tramite protocolli standard come ACME, SCEP e EST o RESTful di SSL.com API SWS. Privatamente fidato PKI è anche disponibile su SSL.com e potrebbe essere preferibile per alcune applicazioni. Si prega di leggere Privato vs pubblico PKI: Costruzione di un piano efficace per molte più informazioni su questo argomento.

Collaborando con SSL.com per IoT PKI con fiducia pubblica o privata, puoi essere certo che i sistemi e il processo che metti in atto per l'emissione e la manutenzione dei certificati sui tuoi dispositivi rimarranno conformi alle normative emesse dal NIST ai sensi dell'IoT Cybersecurity Improvement Act.

Scopri di più

Vuoi saperne di più su come SSL.com può aiutare i produttori di IoT? Dai un'occhiata a queste risorse di SSL.com per molte più informazioni o invia il modulo sottostante per contattare un membro del team di vendita aziendale di SSL.com:

Contatta SSL.com Enterprise Sales

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.