Landemerket IoT Cybersecurity Improvement Act of 2020 innvarsler en ny æra av Internet of Things (IoT) sikkerhetsstandarder for myndigheter og industri. Finn ut om denne nye loven, og hvordan SSL.com kan hjelpe IoT-produsenter å overholde nye standarder og beste praksis slik de ser ut.
Introduksjon
Det er vanskelig å finne universell enighet i alle spørsmål i disse dager, men begge husene til den amerikanske kongressen enstemmig godkjent HR1668/S.734den IoT Cybersecurity Improvement Act fra 2020, før det ble undertegnet i lov 4. desember 2020. Lovforslagets enkle oversikt viser bred, topartsstøtte for utvikling og implementering av Internet of Things (IoT) sikkerhetsstandarder for den føderale regjeringen. Fra husproposisjonens sammendrag:
Dette lovforslaget krever at National Institute of Standards and Technology (NIST) og Office of Management and Budget (OMB) tar spesifikke skritt for å øke cybersikkerhet for Internet of Things (IoT) -enheter. IoT er utvidelsen av internettforbindelse til fysiske enheter og hverdagsobjekter.
Nærmere bestemt krever regningen NIST å utvikle og publisere standarder og retningslinjer for den føderale regjeringen om riktig bruk og styring av byråer av IoT-enheter som eies eller kontrolleres av et byrå og er koblet til informasjonssystemer som eies eller kontrolleres av et byrå, inkludert minimum informasjonssikkerhet krav for å håndtere cybersikkerhetsrisiko forbundet med slike enheter.
I henhold til Iot Cybersecurity Improvement Act vil NISTs standarder gjennomgås og revideres hvert femte år. Det amerikanske kontoret for ledelse og budsjett (OMB) vil "utvikle og overvåke implementeringen av policyer, prinsipper, standarder eller retningslinjer etter behov for å løse sikkerhetsproblemer i informasjonssystemer." Viktigst av alt for IoT-produsenter er byråer "forbudt å anskaffe, skaffe eller bruke en IoT-enhet hvis byrået fastslår under en gjennomgang av en kontrakt at bruken av en slik enhet forhindrer overholdelse av standarder og retningslinjer," bortsett fra "der det er nødvendig for nasjonal sikkerhet, for forskningsformål, eller der en slik enhet er sikret ved hjelp av alternative effektive metoder. ”
IoTs sikkerhetsforbedringslovens passasje følger ledelsen av stater som nylig har vedtatt lovgivning som tar sikte på å beskytte IoTs personvern og sikkerhet, inkludert California og Oregon.
Selv om loven er rettet mot å regulere enheter anskaffet av den føderale regjeringen, er sikkerhetsadvokater håpefulle om at det også vil føre til etablering av IoT-sikkerhetsstandarder og beste praksis også for privat sektor. I en blogginnlegg fra ioXT Alliance, en bransjegruppe som fremmer IoT-sikkerhetsstandarder, sier CTO Brad Ree at “Selv om dette er USAs regjeringsspesifikke, er vi sikre på at det vil tjene som katalysator som ber nettoperatører, forbrukerøkosystemer og forhandlere om å følge etter i enhetssikkerhetssertifisering går videre."
IoT (In) sikkerhet
Den nye IoT Cybersecurity Improvement Act, sammen med andre statlige lover og bransjeinitiativer, er et svar på den enorme angrepsflaten som for øyeblikket tilbys av bokstavelig talt milliarder av Internett-tilkoblede enheter som strekker seg fra hjerteskjermer til SUV-er. Når vi tenker på misbruk av usikre "smarte" enheter, er profilerte historier om kompromittert overvåkningskamera or smarte låser kan tenke på risikoen for invasjon av personvern og eiendomskriminalitet først. Imidlertid store botnett i stand til ting som massive denial-of-service-angrep er også en reell og nåværende fare. Sikkerhetsforsker Elie Bursztein beskriver 2016 Mirai botnet:
På sitt høydepunkt i september 2016 lammet Mirai midlertidig flere høyprofilerte tjenester som OVH, Dyn og Krebs på sikkerhet via massivt distribuert Denial of Service-angrep (DDoS). OVH rapporterte at disse angrepene oversteg 1Tbps - den største på offentlig rekord.
Det som er bemerkelsesverdig med disse rekordbruddene, er at de ble utført via små, uskadelige Internet-of-Things (IoT) -enheter som hjemmerutere, luftkvalitetsmonitorer og personlige overvåkingskameraer. På det høyeste slaver Mirai over 600,000 sårbare IoT-enheter, ifølge våre målinger.
...
For å kompromittere enheter, baserte den første versjonen av MIRAI seg utelukkende på et fast sett med 64 kjente standardinnloggings- / passordkombinasjoner som ofte brukes av IoT-enheter. Mens dette angrepet var veldig lavteknologisk, viste det seg å være ekstremt effektivt og førte til kompromiss på over 600,000 enheter.
Tenk deg at millioner av slike enheter leveres med lett-gjettede standardopplysninger som ofte ikke endres av brukere og administratorer. Du kan enkelt se potensialet for suksess med en slik “lavteknologisk” brute force-tilnærming, og det er en grunn til at den føderale regjeringen har tatt en slik interesse for slapp IoT-sikkerhet. (Interessant - og antagelig for å unngå å tiltrekke seg oppmerksomhet - var Mirai-robotene det kodet for å unngå US Department of Defense and Postal Service and Internet Assigned Numbers Authority (IANA) IP-adresser når du skanner.)
Selvfølgelig, ikke sende internettkoblede enheter med admin og password som administrativ legitimasjon ville være en god start. Og, som vi vil se nedenfor, autentisering med klientsertifikater er et sikkert alternativ til passord. Les videre for å oppdage dette og andre måter som SSL.com kan hjelpe IoT-produsenter med å forbedre enhetssikkerheten og holde seg i samsvar med standarder og bransjestandarder.
Hvordan SSL.com kan hjelpe
Den enstemmige overgangen til Internet of Things Cybersecurity Act of 2020 - pluss forventningen om at industrien vil følge etter - indikerer at veien fremover for IoT-produsenter vil omfatte overholdelse av strengere sikkerhetsstandarder og forskrifter. Digitale sertifikater og vert PKI fra SSL.com er en flott måte for produsenter å sikre IoT-enheter. Digitale sertifikater og offentlig nøkkelinfrastruktur (PKI) er blant hjørnesteinene i moderne internett og IoT-sikkerhet, og vil bare bli viktigere ettersom nye standarder er utarbeidet i henhold til loven.
Digitale sertifikater
Digitale sertifikater er spesielle filer som binder kryptografiske nøkkelpar til enhetene som nettsteder, enkeltpersoner, organisasjoner og enheter. Sertifikatmyndigheter (CAer) som SSL.com validere disse identitetene før du utsteder sertifikater. Den mest kjente bruken av digitale sertifikater er i SSL /TLS og HTTPS protokoller som brukes til å sikre nettsteder, men det er mange andre brukssaker, inkludert kodesignering og dokument signering. Digitale sertifikater gir:
- Autentisering, ved å tjene som en kryptografisk verifiserbar legitimasjon for å validere identiteten til enheten som den er utstedt til.
- kryptering, for sikker kommunikasjon over usikre nettverk som Internett.
-
Integritet av dokumenter signert med sertifikatet, slik at de ikke kan endres av en tredjepart i transitt.
Når det gjelder IoT-sikkerhet, betyr dette at:
- Hver enhet kan få et unikt identitets- og klientsertifikat under produksjonen, slik at den kan brukes gjensidig TLS for å autentisere sikkert med selskapets servere.
- Kommunikasjon mellom en brukers datamaskin og en enhet, eller mellom en enhet og selskapets servere, er kryptert, og integriteten til denne kommunikasjonen er sikret.
- Klientsertifikater installert på personlige datamaskiner eller mobile enheter kan også brukes som en autentiseringsfaktor når du logger på en enhet i tillegg til (eller i stedet for) brukernavn og passord.
- Enheter kan konfigureres til kun å stole på programvareoppdateringer som er signert med kodesigneringssertifikater identifisere utgiveren.
Og, fordi digitale sertifikater og PKI er etablerte sikkerhetsstandarder, standard industriprotokoller som ACME, SCEP og EST kan brukes til å registrere og administrere enhetssertifikater.
Hosted PKI
Teknologien og prosedyrene som vedlikeholdes av en CA for å binde identiteter til kryptografiske nøkler og utstede digitale sertifikater er kjent som Public Key Infrastructure (eller PKI). Enhver organisasjon kan drive sin egen PKI og CA for intern tillit, men bare offentlig klarerte CAer, som SSL.com, kan gi sertifikater som automatisk er klarert av alle nåværende nettlesere og operativsystemer.
For å opprettholde dette universelle nivået av tillit jobber SSL.com kontinuerlig for å være i samsvar med bransjestandarder og myndighetsregler over hele verden. Våre prosesser og fasiliteter er underlagt strenge årlige WebTrust-revisjoner som kreves for å holde sertifikatene våre allment pålitelige. Disse bransjerevisjonene sørger også for at vi forblir i samsvar med det nasjonale PKI standarder og retningslinjer for regjeringer verdensomspennende. Vi er forpliktet til å opprettholde samsvar med alle nye PKI standarder og forskrifter fremover - som en kommersiell, offentlig klarert CA, er vår virksomhet avhengig av det.
IoT-produsenter kan dra nytte av SSL.coms infrastruktur og ekspertise gjennom vert bedrift PKI, gir tilgang til offentlig pålitelige sertifikater og eliminerer behovet for å investere i ekstra utstyr og ekspertpersonell. Sertifikatutstedelse og livssyklusadministrasjon kan gjøres via standardprotokoller som ACME, SCEP og EST, eller SSL.coms RESTful SWS API. Privat klarert PKI er også tilgjengelig fra SSL.com, og kan være å foretrekke for noen applikasjoner. Vennligst les Privat vs offentlig PKI: Bygge en effektiv plan for mye mer informasjon om dette emnet.
Ved å samarbeide med SSL.com for IoT PKI enten med privat eller offentlig tillit, kan du være trygg på at systemene og prosessen du har på plass for utstedelse og vedlikehold av sertifikater på enhetene dine, vil forbli i samsvar med forskrifter utstedt av NIST i henhold til IoT Cybersecurity Improvement Act.
lær MER
Vil du lære mer om hvordan SSL.com kan hjelpe IoT-produsenter? Ta en titt på disse SSL.com-ressursene for mye mer informasjon, eller send inn skjemaet nedenfor for å nå et medlem av SSL.coms virksomhetsteam:
- Internet of Things (IoT) -løsninger
- Sikre tingenes internett (IoT) med SSL /TLS
- SSL /TLS Automatisering for IoT med ACME
- SSL /TLS Automasjon for tingenes internett (IoT)
- Autentisering av brukere og IoT-enheter med gjensidig TLS
