De IoT Cybersecurity Improvement Act van 2020, digitale certificaten en PKI

De baanbrekende IoT Cybersecurity Improvement Act van 2020 luidt een nieuw tijdperk in van Internet of Things (IoT) -beveiligingsnormen voor overheid en bedrijfsleven. Lees meer over deze nieuwe wet en hoe SSL.com IoT-fabrikanten kan helpen om te blijven voldoen aan nieuwe normen en best practices zodra deze verschijnen.

Introductie

Het is tegenwoordig moeilijk om universele overeenstemming te vinden over welke kwestie dan ook, maar beide huizen van het Amerikaanse Congres keurden het unaniem goed HR1668/S.734 IoT Cybersecurity Improvement Act van 2020, voordat het op 4 december 2020 in de wet werd ondertekend. De gemakkelijke passage van het wetsvoorstel toont brede, tweeledige steun aan voor de ontwikkeling en implementatie van Internet of Things (IoT) -veiligheidsnormen voor de federale overheid. Uit de samenvatting van het wetsvoorstel:

Dit wetsvoorstel vereist dat het National Institute of Standards and Technology (NIST) en het Office of Management and Budget (OMB) specifieke stappen ondernemen om de cybersecurity voor Internet of Things (IoT) -apparaten te vergroten. IoT is de uitbreiding van internetconnectiviteit naar fysieke apparaten en alledaagse voorwerpen.

In het bijzonder vereist het wetsvoorstel dat NIST normen en richtlijnen voor de federale overheid ontwikkelt en publiceert over het juiste gebruik en beheer door instanties van IoT-apparaten die eigendom zijn van of beheerd worden door een instantie en verbonden zijn met informatiesystemen die eigendom zijn van of beheerd worden door een instantie, inclusief minimale informatiebeveiliging vereisten voor het beheer van cyberbeveiligingsrisico's die aan dergelijke apparaten zijn verbonden.

Onder de Iot Cybersecurity Improvement Act zullen de normen van NIST elke vijf jaar worden herzien en herzien. Het Amerikaanse Office of Management and Budget (OMB) zal "de implementatie van beleid, principes, standaarden of richtlijnen ontwikkelen en er toezicht op houden, indien nodig om beveiligingsproblemen van informatiesystemen aan te pakken." Het belangrijkste voor IoT-fabrikanten is dat het agentschappen "verboden is om een ​​IoT-apparaat aan te schaffen, te verkrijgen of te gebruiken als het agentschap tijdens een beoordeling van een contract vaststelt dat het gebruik van een dergelijk apparaat de naleving van de normen en richtlijnen verhindert", behalve "indien nodig voor nationale veiligheid, voor onderzoeksdoeleinden, of waar een dergelijk apparaat is beveiligd met behulp van alternatieve effectieve methoden. "

De passage van de IoT Security Improvement Act volgt het voorbeeld van staten die onlangs wetgeving hebben aangenomen ter bescherming van de privacy en veiligheid van IoT, waaronder Californië en Oregon.

Hoewel de wet gericht is op het reguleren van apparaten die door de federale overheid worden aangeschaft, hopen voorstanders van veiligheid dat dit ook zal leiden tot de vaststelling van IoT-beveiligingsnormen en best practices voor de particuliere sector. In een blogpost van het ioXT Alliantie, een branchegroep die IoT-beveiligingsnormen promoot, stelt CTO Brad Ree: "Hoewel dit specifiek is voor de Amerikaanse overheid, zijn we ervan overtuigd dat het zal dienen als de katalysator die netwerkoperators, consumentenecosystemen en retailers ertoe aanzet om dit voorbeeld te volgen bij de certificering van apparaatbeveiliging vooruit gaan."

IoT (on) beveiliging

De nieuwe IoT Cybersecurity Improvement Act, samen met andere staatswetten en branche-initiatieven, is een reactie op het enorme aanvalsoppervlak dat momenteel wordt geboden door letterlijk miljarden van met internet verbonden apparaten, variërend van hartmonitors tot SUV's. Als we denken aan misbruik van onveilige 'slimme' apparaten, spraakmakende verhalen over gecompromitteerde apparaten beveiligingscamera's or slimme sloten kan eerst de risico's van inbreuk op de privacy en vermogensdelicten in gedachten brengen. Maar enorme botnets kunnen dingen als massale denial-of-service-aanvallen zijn ook een reëel en aanwezig gevaar. Beveiligingsonderzoeker Elie Bursztein beschrijft het Mirai-botnet 2016:

Op het hoogtepunt in september 2016 verlamde Mirai tijdelijk verschillende spraakmakende services zoals OVH, Dyn en Krebs on Security via massale gedistribueerde Denial of Service-aanvallen (DDoS). OVH meldde dat deze aanvallen de 1Tbps overschreden - de grootste ooit openbaar gemaakt.

Het opmerkelijke aan deze recordbrekende aanvallen is dat ze werden uitgevoerd via kleine, onschadelijke Internet-of-Things (IoT) -apparaten zoals thuisrouters, monitoren met luchtkwaliteit en persoonlijke bewakingscamera's. Op zijn hoogtepunt maakte Mirai volgens onze metingen meer dan 600,000 kwetsbare IoT-apparaten tot slaaf.

...

Om apparaten te compromitteren, vertrouwde de eerste versie van MIRAI uitsluitend op een vaste set van 64 bekende standaard login / wachtwoord-combinaties die vaak worden gebruikt door IoT-apparaten. Hoewel deze aanval erg low-tech was, bleek deze buitengewoon effectief en leidde tot het compromitteren van meer dan 600,000 apparaten.

Stel u voor dat miljoenen van dergelijke apparaten worden verzonden met gemakkelijk te raden standaardreferenties die vaak nooit worden gewijzigd door gebruikers en beheerders. U kunt gemakkelijk het potentieel voor succes zien van een dergelijke "low-tech" brute force-aanpak, en dat is een van de redenen waarom de federale overheid zoveel belangstelling heeft getoond voor lakse IoT-beveiliging. (Interessant is - en vermoedelijk om te voorkomen dat ze de aandacht trekken - de Mirai-bots dat wel waren gecodeerd om te vermijden IP-adressen van het Amerikaanse ministerie van Defensie en Postal Service en Internet Assigned Numbers Authority (IANA) bij het scannen.)

Natuurlijk geen apparaten met internetverbinding verzenden met admin en password aangezien beheerdersreferenties een goed begin zouden zijn. En, zoals we hieronder zullen zien, authenticatie met client certificaten is een veilig alternatief voor wachtwoorden. Lees verder om deze en andere manieren te ontdekken waarop SSL.com IoT-fabrikanten kan helpen bij het verbeteren van de apparaatbeveiliging en om te blijven voldoen aan overheids- en industrienormen.

Hoe SSL.com kan helpen

De unanieme goedkeuring van de Internet of Things Cybersecurity Act van 2020 - plus de verwachting dat de industrie dit voorbeeld zal volgen - geeft aan dat de weg voorwaarts voor IoT-fabrikanten de naleving van strengere beveiligingsnormen en -regelgeving zal omvatten. Digitale certificaten en gehost PKI van SSL.com zijn een geweldige manier voor fabrikanten om IoT-apparaten te beveiligen. Digitale certificaten en openbare sleutelinfrastructuur (PKI) behoren tot de hoekstenen van moderne internet- en ivd-beveiliging en zullen alleen maar belangrijker worden naarmate er nieuwe normen worden opgesteld onder de wet.

Digitale certificaten

Digitale certificaten zijn speciale bestanden die cryptografische sleutelparen binden aan entiteiten zoals websites, individuen, organisaties en apparaten. Certificaatautoriteiten (CA's) zoals SSL.com valideren deze identiteiten voordat certificaten worden uitgegeven. Het meest bekende gebruik van digitale certificaten is in de SSL /TLS en HTTPS protocollen die worden gebruikt om websites te beveiligen, maar er zijn veel andere use-cases, waaronder code ondertekening en document ondertekening. Digitale certificaten bieden:

  • authenticatie, door te dienen als een cryptografisch verifieerbare referentie om de identiteit te valideren van de entiteit waaraan deze is uitgegeven.
  • Encryptie, voor veilige communicatie via onveilige netwerken zoals internet.
  • Integriteit van documenten ondertekend met het certificaat, zodat ze niet kunnen worden gewijzigd door een derde partij tijdens het transport.

    In termen van IoT-beveiliging betekent dit dat:

  • Elk apparaat kan tijdens de fabricage een unieke identiteit en clientcertificaat krijgen, zodat het kan worden gebruikt wederzijds TLS om veilig te verifiëren met bedrijfsservers.
  • De communicatie tussen de computer van een gebruiker en een apparaat, of tussen een apparaat en de servers van een bedrijf, is gecodeerd en de integriteit van deze communicatie is gegarandeerd.
  • Clientcertificaten die op pc's of mobiele apparaten zijn geïnstalleerd, kunnen ook worden gebruikt als een authenticatiefactor bij het inloggen op een apparaat naast (of in plaats van) gebruikersnamen en wachtwoorden.
  • Apparaten kunnen worden geconfigureerd om alleen software-updates te vertrouwen die zijn ondertekend met certificaten voor codeondertekening het identificeren van de uitgever.

En, omdat digitale certificaten en PKI zijn gevestigde veiligheidsnormen, standaard industrieprotocollen zoals ACME, SCEP en EST kunnen worden gebruikt voor het inschrijven en beheren van apparaatcertificaten.

Hosted PKI

De technologie en procedures die door een CA worden onderhouden voor het binden van identiteiten aan cryptografische sleutels en het uitgeven van digitale certificaten staat bekend als Public Key Infrastructure (of PKI). Elke organisatie kan haar eigen bedrijf runnen PKI en CA voor intern vertrouwen, maar alleen publiek vertrouwde CA's, zoals SSL.com, kunnen certificaten leveren die automatisch worden vertrouwd door alle huidige browsers en besturingssystemen.

Om dit universele niveau van vertrouwen te behouden, werkt SSL.com voortdurend om te blijven voldoen aan de industrienormen en overheidsvoorschriften wereldwijd. Onze processen en faciliteiten worden jaarlijks aan strenge eisen onderworpen WebTrust-audits die nodig zijn om onze certificaten universeel vertrouwd te houden. Deze brancheaudits zorgen er ook voor dat we blijven voldoen aan de nationale normen PKI normen en richtlijnen van overheden wereldwijd. We zijn vastbesloten om alle nieuwe PKI normen en voorschriften in de toekomst - als een commerciële, publiekelijk vertrouwde CA is ons bedrijf ervan afhankelijk.

IoT-fabrikanten kunnen profiteren van de infrastructuur en expertise van SSL.com gehoste onderneming PKI, waardoor toegang wordt geboden tot openbaar vertrouwde certificaten en de noodzaak om te investeren in extra apparatuur en deskundig personeel overbodig wordt. Certificaatuitgifte en levenscyclusbeheer kunnen worden gedaan via standaardprotocollen zoals ACME, SCEP en EST, of SSL.com's RESTful SWS-API. Particulier vertrouwd PKI is ook beschikbaar via SSL.com, en kan voor sommige toepassingen de voorkeur hebben. Gelieve te lezen Privé versus openbaar PKI: Het opbouwen van een effectief plan voor veel meer informatie over dit onderwerp.

Door samen te werken met SSL.com voor IoT PKI met een particulier of openbaar vertrouwen, kunt u er zeker van zijn dat de systemen en het proces dat u hebt ingevoerd voor het uitgeven en onderhouden van certificaten op uw apparaten, in overeenstemming blijven met de voorschriften van NIST onder de IoT Cybersecurity Improvement Act.

Lees Meer

Wilt u meer weten over hoe SSL.com IoT-fabrikanten kan helpen? Bekijk deze SSL.com-bronnen voor veel meer informatie, of vul het onderstaande formulier in om een ​​lid van het zakelijke verkoopteam van SSL.com te bereiken:

Neem contact op met SSL.com Enterprise Sales

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.