2020 년의 획기적인 IoT 사이버 보안 개선법은 정부 및 산업을위한 사물 인터넷 (IoT) 보안 표준의 새로운 시대를 예고합니다. 이 새로운 법률에 대해 알아보고 SSL.com이 IoT 제조업체가 새로운 표준과 모범 사례를 그대로 준수하도록 지원하는 방법을 알아보십시오.
개요
요즘 어떤 문제에 대해서도 보편적 합의를 찾기가 어렵습니다, 그러나 미국 의회의 두 하원 만장일치로 승인 HR1668/S.734Walk Through California 프로그램, 2020 년 IoT 사이버 보안 개선법, 4 년 2020 월 XNUMX 일 법안에 서명되기 전. 법안의 쉬운 통과는 연방 정부를위한 사물 인터넷 (IoT) 보안 표준의 개발 및 구현에 대한 광범위하고 초당적인 지원을 보여줍니다. 하원 법안 요약에서 :
이 법안은 NIST (National Institute of Standards and Technology)와 OMB (Office of Management and Budget)가 사물 인터넷 (IoT) 장치에 대한 사이버 보안을 강화하기위한 특정 조치를 취하도록 요구합니다. IoT는 인터넷 연결을 물리적 장치와 일상적인 사물로 확장 한 것입니다.
특히,이 법안은 NIST가 최소 정보 보안을 포함하여 기관이 소유하거나 통제하고 기관이 소유하거나 통제하는 정보 시스템에 연결된 IoT 장치 기관의 적절한 사용 및 관리에 관한 연방 정부의 표준 및 지침을 개발하고 게시하도록 요구합니다. 이러한 장치와 관련된 사이버 보안 위험을 관리하기위한 요구 사항.
Iot 사이버 보안 개선법에 따라 NIST의 표준은 XNUMX 년마다 검토되고 수정됩니다. 미국 관리 예산처 (OMB)는 "정보 시스템의 보안 취약성을 해결하는 데 필요한 정책, 원칙, 표준 또는 지침의 구현을 개발하고 감독"합니다. IoT 제조업체에게 가장 중요한 것은 기관이 계약 검토 중에 해당 장치의 사용으로 인해 표준 및 지침을 준수하지 못한다고 판단하는 경우 기관이 IoT 장치를 조달, 획득 또는 사용하는 것이 금지된다는 것입니다. 국가 안보, 연구 목적 또는 대체 효과적인 방법을 사용하여 그러한 장치를 보호하는 경우. "
IoT 보안 개선법의 통과는 다음을 포함하여 IoT 개인 정보 및 보안을 보호하기위한 법안을 최근 통과시킨 주들의 주도를 따릅니다. 캘리포니아 와 오레곤.
이 법은 연방 정부에서 조달 한 장치를 규제하는 것을 목표로하고 있지만 보안 옹호자들은 또한 민간 부문을위한 IoT 보안 표준 및 모범 사례를 수립 할 수 있기를 희망합니다. 안에 블로그 게시물 인사말 ioXT 얼라이언스, IoT 보안 표준을 홍보하는 산업 그룹 인 CTO Brad Ree는“이는 미국 정부에만 국한되지만 네트워크 사업자, 소비자 생태계 및 소매 업체가 장치 보안 인증을 따르도록 유도하는 촉매제 역할을 할 것이라고 확신합니다. 앞으로 나아가 다."
IoT (In) 보안
다른 주법 및 업계 이니셔티브와 함께 새로운 IoT 사이버 보안 개선법은 현재 제공하는 거대한 공격 표면에 대한 대응입니다. 말 그대로 수십억 심장 모니터에서 SUV에 이르는 다양한 인터넷 연결 장치. 안전하지 않은 "스마트"장치의 남용에 대해 생각할 때 보안 카메라 or 똑똑한 자물쇠 사생활 침해 및 재산 범죄의 위험을 먼저 염두에 둘 수 있습니다. 그러나 다음과 같은 작업을 수행 할 수있는 거대한 봇넷은 대규모 서비스 거부 공격 또한 실제적이고 현재의 위험입니다. 보안 연구원 Elie Bursztein 기술하다 2016 년 미라이 봇넷 :
2016 년 1 월 정점에 이르렀을 때 Mirai는 대규모 분산 서비스 거부 공격 (DDoS)을 통해 OVH, Dyn 및 Krebs on Security와 같은 여러 주요 서비스를 일시적으로 손상 시켰습니다. OVH는 이러한 공격이 공개 기록상 가장 큰 XNUMXTbps를 초과했다고보고했습니다.
이러한 기록적인 공격의 놀라운 점은 가정용 라우터, 공기 품질 모니터 및 개인 감시 카메라와 같은 작고 무해한 사물 인터넷 (IoT) 장치를 통해 수행되었다는 것입니다. 측정에 따르면 미라이는 최고조에 600,000 개 이상의 취약한 IoT 장치를 노예화했습니다.
...
장치를 손상시키기 위해 MIRAI의 초기 버전은 IoT 장치에서 일반적으로 사용되는 잘 알려진 64 개의 기본 로그인 / 암호 조합 고정 세트에만 의존했습니다. 이 공격은 매우 낮은 기술 이었지만 매우 효과적이었으며 600,000 개 이상의 장치가 손상되었습니다.
사용자와 관리자가 자주 변경하지 않는 쉽게 추측 할 수있는 기본 자격 증명과 함께 제공되는 이러한 장치 수백만 대를 상상해보십시오. 이러한 "저급 기술"무차별 대입 접근 방식의 성공 가능성을 쉽게 확인할 수 있으며, 이것이 연방 정부가 느슨한 IoT 보안에 관심을 기울인 이유 중 하나입니다. (흥미롭게도-그리고 아마도 관심을 끌지 않기 위해-Mirai 봇은 피하기 위해 코딩 스캔시 미국 국방성 우편 서비스 및 IANA (Internet Assigned Numbers Authority) IP 주소.)
물론 인터넷에 연결된 장치를 admin 와 password 관리 자격 증명이 좋은 시작이 될 것입니다. 그리고 아래에서 볼 수 있듯이 클라이언트 인증서 암호에 대한 안전한 대안입니다. SSL.com이 IoT 제조업체가 장치 보안을 개선하고 관리 및 산업 표준을 준수하는 데 도움이 될 수있는 다른 방법을 알아 보려면 계속 읽으십시오.
SSL.com이 도울 수있는 방법
2020 년 사물 인터넷 사이버 보안법의 만장일치 통과와 업계가이를 따를 것이라는 기대는 IoT 제조업체의 발전 경로에 더 엄격한 보안 표준 및 규정 준수가 포함될 것임을 나타냅니다. 디지털 인증서 와 호스팅 PKI SSL.com에서 제공하는 것은 제조업체가 IoT 장치를 보호 할 수있는 좋은 방법입니다. 디지털 인증서 및 공개 키 인프라 (PKI)는 현대 인터넷 및 IoT 보안의 초석 중 하나이며, 법률에 따라 새로운 표준이 초안이 작성됨에 따라 더욱 중요해질 것입니다.
디지털 인증서
디지털 인증서는 암호화 키 쌍을 웹 사이트, 개인, 조직 및 장치와 같은 엔터티에 바인딩하는 특수 파일입니다. 인증 기관 (CA) SSL.com과 같이 인증서를 발급하기 전에 이러한 신원을 확인합니다. 가장 널리 알려진 디지털 인증서 사용은 SSL /TLS 와 HTTPS 웹 사이트를 보호하는 데 사용되는 프로토콜이지만 다음과 같은 다른 많은 사용 사례가 있습니다. 코드 서명 와 문서 서명. 디지털 인증서는 다음을 제공합니다.
- 인증, 발급 된 엔터티의 ID를 확인하기 위해 암호화로 확인 가능한 자격 증명으로 사용됩니다.
- 암호화, 인터넷과 같은 안전하지 않은 네트워크를 통한 보안 통신용.
-
진실성 전송중인 제 XNUMX자가 변경할 수 없도록 인증서로 서명 된 문서의 수
IoT 보안 측면에서 이는 다음을 의미합니다.
- 각 장치는 제조 중에 고유 한 ID와 클라이언트 인증서를 제공하여 사용할 수 있습니다. 공동의 TLS 회사 서버로 안전하게 인증합니다.
- 사용자의 컴퓨터와 장치 간 또는 장치와 회사 서버 간의 통신은 암호화되며 이러한 통신의 무결성이 보장됩니다.
- 개인용 컴퓨터 또는 모바일 장치에 설치된 클라이언트 인증서를 인증 요인 사용자 이름 및 암호 외에 (또는 대신) 장치에 로그인 할 때.
- 서명 된 소프트웨어 업데이트 만 신뢰하도록 장치를 구성 할 수 있습니다. 코드 서명 인증서 게시자 식별.
그리고 디지털 인증서와 PKI 확립 된 보안 표준, 표준 산업 프로토콜 절정, SCEP 및 EST는 장치 인증서 등록 및 관리에 사용할 수 있습니다.
호스팅 PKI
ID를 암호화 키에 바인딩하고 디지털 인증서를 발급하기 위해 CA에서 유지 관리하는 기술과 절차를 공개 키 인프라 (또는 PKI). 모든 조직이 자체적으로 운영 할 수 있습니다. PKI 내부 신뢰를위한 CA이지만 SSL.com과 같이 공개적으로 신뢰할 수있는 CA만이 현재의 모든 브라우저 및 운영 체제에서 자동으로 신뢰하는 인증서를 제공 할 수 있습니다.
이러한 보편적 신뢰 수준을 유지하기 위해 SSL.com은 전 세계 산업 표준 및 정부 규정을 준수하기 위해 지속적으로 노력하고 있습니다. 우리의 프로세스와 시설은 매년 엄격하게 적용됩니다. WebTrust 감사 우리의 인증서를 보편적으로 신뢰하는 데 필요합니다. 이러한 산업 감사는 또한 우리가 국가 규정을 준수하도록 보장합니다. PKI 표준 및 지침 정부 세계적인. 우리는 새로운 PKI 앞으로의 표준 및 규정 — 공개적으로 신뢰할 수있는 상업 CA로서 우리의 비즈니스는 여기에 의존합니다.
IoT 제조업체는 다음을 통해 SSL.com의 인프라와 전문 지식을 활용할 수 있습니다. 호스팅 된 기업 PKI, 공개적으로 신뢰할 수있는 인증서에 대한 액세스를 제공하고 추가 장비 및 전문 인력에 투자 할 필요가 없습니다. 인증서 발급 및 수명주기 관리는 다음과 같은 표준 프로토콜을 통해 수행 할 수 있습니다. 절정, SCEP 및 EST 또는 SSL.com의 RESTful SW API. 개인적으로 신뢰 PKI SSL.com에서도 구할 수 있으며 일부 응용 프로그램에 적합 할 수 있습니다. 읽어주세요 비공개 대 공개 PKI: 효과적인 계획 수립 이 주제에 대한 자세한 정보는
IoT 용 SSL.com과 제휴 PKI 개인 또는 공공 신뢰를 통해 장치에서 인증서 발급 및 유지 관리를 위해 배치 한 시스템 및 프로세스가 IoT 사이버 보안 개선법에 따라 NIST에서 발행 한 규정을 준수 할 것임을 확신 할 수 있습니다.
자세히 보기
SSL.com이 IoT 제조업체를 어떻게 도울 수 있는지 자세히 알고 싶으십니까? 자세한 내용은 다음 SSL.com 리소스를 확인하거나 아래 양식을 제출하여 SSL.com의 기업 영업 팀원에게 문의하십시오.
- 사물 인터넷 (IoT) 솔루션
- SSL /으로 사물 인터넷 (IoT) 보안TLS
- SSL /TLS ACME를 통한 IoT 자동화
- SSL /TLS 사물 인터넷 (IoT)을위한 자동화
- 상호로 사용자 및 IoT 장치 인증 TLS
