Przełomowa ustawa o poprawie cyberbezpieczeństwa IoT z 2020 r. Zapowiada nową erę standardów bezpieczeństwa Internetu rzeczy (IoT) dla rządu i przemysłu. Dowiedz się o tym nowym prawie io tym, jak SSL.com może pomóc producentom IoT zachować zgodność z nowymi standardami i najlepszymi praktykami w miarę ich pojawiania się.
Wprowadzenie
W dzisiejszych czasach trudno jest znaleźć powszechne porozumienie w jakiejkolwiek sprawie, ale obie izby Kongresu Stanów Zjednoczonych jednogłośnie zatwierdziły HR1668/S.734The Ustawa o poprawie cyberbezpieczeństwa Internetu Rzeczy z 2020 r, zanim została ona podpisana 4 grudnia 2020 r. Łatwe przejście do ustawy wskazuje na szerokie, ponadpartyjne poparcie dla rozwoju i wdrażania standardów bezpieczeństwa Internetu rzeczy (IoT) dla rządu federalnego. Z podsumowania ustawy House:
Ustawa ta wymaga od Narodowego Instytutu Standardów i Technologii (NIST) oraz Biura Zarządzania i Budżetu (OMB) podjęcia określonych kroków w celu zwiększenia cyberbezpieczeństwa urządzeń Internetu rzeczy (IoT). IoT to rozszerzenie łączności internetowej na urządzenia fizyczne i przedmioty codziennego użytku.
W szczególności ustawa wymaga, aby NIST opracował i opublikował standardy i wytyczne dla rządu federalnego dotyczące właściwego wykorzystania i zarządzania przez agencje urządzeniami IoT należącymi do agencji lub przez nią kontrolowanymi i podłączonymi do systemów informatycznych należących do agencji lub przez nią kontrolowanych, w tym minimalnego bezpieczeństwa informacji wymogi dotyczące zarządzania ryzykiem cyberbezpieczeństwa związanym z takimi urządzeniami.
Zgodnie z ustawą IoT Cybersecurity Improvement Act, standardy NIST będą poddawane przeglądowi i aktualizowane co pięć lat. Amerykańskie Biuro Zarządzania i Budżetu (OMB) „opracuje i nadzoruje wdrażanie polityk, zasad, standardów lub wytycznych w razie potrzeby, aby wyeliminować luki w zabezpieczeniach systemów informatycznych”. Co najważniejsze dla producentów IoT, agencjom „zabrania się zamawiania, uzyskiwania lub korzystania z urządzenia IoT, jeśli podczas przeglądu umowy agencja ustali, że użycie takiego urządzenia uniemożliwia zgodność ze standardami i wytycznymi”, z wyjątkiem „gdy jest to konieczne dla bezpieczeństwa narodowego, do celów badawczych lub gdy takie urządzenie jest zabezpieczone za pomocą alternatywnych skutecznych metod. ”
Fragment ustawy IoT Security Improvement Act podąża śladem państw, które niedawno uchwaliły przepisy mające na celu ochronę prywatności i bezpieczeństwa IoT, w tym California i Oregon.
Chociaż ustawa ma na celu regulację urządzeń zamawianych przez rząd federalny, zwolennicy bezpieczeństwa mają nadzieję, że doprowadzi to również do ustanowienia standardów bezpieczeństwa IoT i najlepszych praktyk również dla sektora prywatnego. W blogu z Sojusz ioXT, grupa branżowa promująca standardy bezpieczeństwa IoT, CTO Brad Ree stwierdza, że „Chociaż jest to specyficzne dla rządu Stanów Zjednoczonych, jesteśmy przekonani, że posłuży jako katalizator, który zachęci operatorów sieci, ekosystemy konsumenckie i sprzedawców detalicznych do pójścia za przykładem certyfikacji bezpieczeństwa urządzeń iść naprzód ”.
Bezpieczeństwo IoT (In)
Nowa ustawa IoT Cybersecurity Improvement Act, wraz z innymi przepisami stanowymi i inicjatywami branżowymi, jest odpowiedzią na ogromną powierzchnię ataku oferowaną obecnie przez dosłownie miliardy urządzeń podłączonych do Internetu, od monitorów pracy serca po SUV-y. Kiedy myślimy o nadużyciach niezabezpieczonych „inteligentnych” urządzeń, głośne historie o zagrożeniach kamery ochrony or inteligentne zamki może najpierw przypomnieć o ryzyku naruszenia prywatności i przestępstw przeciwko mieniu. Jednak ogromne botnety zdolne do takich rzeczy jak masowe ataki typu „odmowa usługi” są także rzeczywistym i aktualnym zagrożeniem. Badacz bezpieczeństwa Elie Bursztein opisuje botnet Mirai 2016:
W szczytowym momencie we wrześniu 2016 r. Mirai tymczasowo sparaliżował kilka głośnych usług, takich jak OVH, Dyn i Krebs on Security, poprzez masowe rozproszone ataki typu odmowa usługi (DDoS). OVH poinformowało, że liczba tych ataków przekroczyła 1 Tb / s - najwięcej w publicznym rejestrze.
Niezwykłe w tych rekordowych atakach jest to, że zostały przeprowadzone za pośrednictwem małych, nieszkodliwych urządzeń Internetu rzeczy (IoT), takich jak routery domowe, monitory jakości powietrza i osobiste kamery monitorujące. Według naszych pomiarów w szczytowym okresie Mirai zniewolił ponad 600,000 XNUMX wrażliwych urządzeń IoT.
...
Aby naruszyć bezpieczeństwo urządzeń, początkowa wersja MIRAI opierała się wyłącznie na ustalonym zestawie 64 dobrze znanych domyślnych kombinacji loginu / hasła powszechnie używanych przez urządzenia IoT. Chociaż ten atak był bardzo mało zaawansowany technicznie, okazał się niezwykle skuteczny i doprowadził do skompromitowania ponad 600,000 XNUMX urządzeń.
Wyobraź sobie miliony takich urządzeń, które są dostarczane z łatwymi do odgadnięcia domyślnymi poświadczeniami, które często nigdy nie są zmieniane przez użytkowników i administratorów. Łatwo można dostrzec potencjał sukcesu takiego „mało zaawansowanego technicznie” podejścia brutalnej siły i to jest jeden z powodów, dla których rząd federalny tak bardzo interesuje się luźnym bezpieczeństwem Internetu Rzeczy. (Co ciekawe - i prawdopodobnie w celu uniknięcia przyciągnięcia uwagi - były to boty Mirai zakodowane, aby uniknąć Adresy IP Departamentu Obrony i Usług Pocztowych i Internet Assigned Numbers Authority (IANA) podczas skanowania).
Oczywiście nie wysyłamy urządzeń połączonych z Internetem z admin
i password
jako poświadczenia administracyjne byłoby świetnym początkiem. I, jak zobaczymy poniżej, uwierzytelnianie za pomocą certyfikaty klienta to bezpieczna alternatywa dla haseł. Czytaj dalej, aby odkryć ten i inne sposoby, w jakie SSL.com może pomóc producentom IoT w poprawie bezpieczeństwa urządzeń i przestrzeganiu standardów rządowych i branżowych.
Jak SSL.com może pomóc
Jednogłośne uchwalenie Ustawy o cyberbezpieczeństwie Internetu rzeczy z 2020 r. Oraz oczekiwanie, że przemysł pójdzie w jego ślady, wskazuje, że droga naprzód dla producentów IoT będzie obejmować przestrzeganie surowszych norm i przepisów dotyczących bezpieczeństwa. Certyfikaty cyfrowe i hostowane PKI z SSL.com to świetny sposób dla producentów na zabezpieczenie urządzeń IoT. Certyfikaty cyfrowe i infrastruktura kluczy publicznych (PKI) są jednym z fundamentów nowoczesnego internetu i bezpieczeństwa Internetu rzeczy i staną się bardziej istotne, gdy nowe standardy zostaną opracowane zgodnie z prawem.
Certyfikaty cyfrowe
Certyfikaty cyfrowe to specjalne pliki, które wiążą pary kluczy kryptograficznych z takimi jednostkami, jak strony internetowe, osoby fizyczne, organizacje i urządzenia. Urzędy certyfikacji (CA) jak SSL.com, weryfikuje te tożsamości przed wystawieniem certyfikatów. Najbardziej znanym zastosowaniem certyfikatów cyfrowych jest SSL /TLS i HTTPS protokoły używane do zabezpieczania witryn internetowych, ale istnieje wiele innych przypadków użycia, w tym podpisywanie kodu i podpisywanie dokumentów. Certyfikaty cyfrowe zapewniają:
- Uwierzytelnianie, służąc jako weryfikowalne kryptograficznie dane uwierzytelniające w celu potwierdzenia tożsamości podmiotu, któremu zostały wydane.
- Szyfrowanie, do bezpiecznej komunikacji w niezabezpieczonych sieciach, takich jak Internet.
-
Integrość dokumentów podpisanych certyfikatem, tak aby nie mogły być zmienione przez osobę trzecią w tranzycie.
W zakresie bezpieczeństwa IoT oznacza to, że:
- Każde urządzenie może otrzymać podczas produkcji unikalną tożsamość i certyfikat klienta, umożliwiający jego użytkowanie wzajemny TLS do bezpiecznego uwierzytelniania na serwerach firmowych.
- Komunikacja między komputerem użytkownika a urządzeniem lub między urządzeniem a serwerami firmy jest szyfrowana, a integralność tej komunikacji jest zapewniona.
- Certyfikaty klienta zainstalowane na komputerach osobistych lub urządzeniach mobilnych mogą być również używane jako pliki współczynnik uwierzytelnienia podczas logowania do urządzenia oprócz (lub zamiast) nazw użytkownika i haseł.
- Urządzenia można skonfigurować tak, aby ufały tylko aktualizacjom oprogramowania podpisanym certyfikaty do podpisywania kodu identyfikacja wydawcy.
A ponieważ certyfikaty cyfrowe i PKI to ustalone standardy bezpieczeństwa, standardowe protokoły branżowe, takie jak KULMINACJA, SCEP i EST mogą służyć do rejestrowania certyfikatów urządzeń i zarządzania nimi.
Hosted PKI
Technologia i procedury utrzymywane przez urząd certyfikacji w celu wiązania tożsamości z kluczami kryptograficznymi i wydawania certyfikatów cyfrowych są znane jako infrastruktura klucza publicznego (lub PKI). Każda organizacja może działać samodzielnie PKI i CA dla wewnętrznego zaufania, ale tylko publicznie zaufane CA, takie jak SSL.com, mogą dostarczać certyfikaty, które są automatycznie zaufane przez wszystkie obecne przeglądarki i systemy operacyjne.
Aby utrzymać ten uniwersalny poziom zaufania, SSL.com nieustannie pracuje, aby zachować zgodność ze standardami branżowymi i przepisami rządowymi na całym świecie. Nasze procesy i obiekty podlegają corocznym rygorystycznym zasadom Audyty WebTrust które są wymagane, aby nasze certyfikaty cieszyły się powszechnym zaufaniem. Te audyty branżowe zapewniają również, że przestrzegamy przepisów krajowych PKI standardy i wytyczne rządy na całym świecie. Zobowiązujemy się zachować zgodność z każdym nowym PKI standardów i przepisów w przyszłości - jako komercyjnego, zaufanego publicznie CA nasza działalność zależy od tego.
Producenci IoT mogą skorzystać z infrastruktury i wiedzy SSL.com poprzez hostowane przedsiębiorstwo PKI, zapewniając dostęp do publicznie zaufanych certyfikatów i eliminując konieczność inwestowania w dodatkowy sprzęt i kadrę ekspertów. Wydawanie certyfikatów i zarządzanie cyklem życia mogą odbywać się za pomocą standardowych protokołów, takich jak KULMINACJA, SCEP i EST lub SSL.com's RESTful API SWS. Zaufane prywatnie PKI jest również dostępny na SSL.com i może być preferowany w przypadku niektórych aplikacji. Proszę przeczytaj Prywatny a publiczny PKI: Budowanie skutecznego planu aby uzyskać więcej informacji na ten temat.
Współpracując z SSL.com dla IoT PKI dzięki zaufaniu prywatnemu lub publicznemu możesz mieć pewność, że systemy i procesy, które zastosujesz w celu wydawania i utrzymywania certyfikatów na swoich urządzeniach, pozostaną zgodne z przepisami wydanymi przez NIST na mocy ustawy IoT Cybersecurity Improvement Act.
Więcej szczegółów
Chcesz dowiedzieć się więcej o tym, jak SSL.com może pomóc producentom IoT? Sprawdź te zasoby SSL.com, aby uzyskać więcej informacji, lub prześlij poniższy formularz, aby skontaktować się z członkiem zespołu sprzedaży korporacyjnej SSL.com:
- Rozwiązania Internetu rzeczy (IoT)
- Zabezpieczanie Internetu rzeczy (IoT) za pomocą SSL /TLS
- SSL /TLS Automatyzacja IoT z ACME
- SSL /TLS Automatyzacja dla Internetu przedmiotów (IoT)
- Uwierzytelnianie użytkowników i urządzeń IoT za pomocą funkcji wzajemnych TLS