Ustawa IoT o poprawie cyberbezpieczeństwa z 2020 r., Certyfikaty cyfrowe i PKI

Przełomowa ustawa o poprawie cyberbezpieczeństwa IoT z 2020 r. Zapowiada nową erę standardów bezpieczeństwa Internetu rzeczy (IoT) dla rządu i przemysłu. Dowiedz się o tym nowym prawie io tym, jak SSL.com może pomóc producentom IoT zachować zgodność z nowymi standardami i najlepszymi praktykami w miarę ich pojawiania się.

Wprowadzenie

W dzisiejszych czasach trudno jest znaleźć powszechne porozumienie w jakiejkolwiek sprawie, ale obie izby Kongresu Stanów Zjednoczonych jednogłośnie zatwierdziły HR1668/S.734The Ustawa o poprawie cyberbezpieczeństwa Internetu Rzeczy z 2020 r, zanim została ona podpisana 4 grudnia 2020 r. Łatwe przejście do ustawy wskazuje na szerokie, ponadpartyjne poparcie dla rozwoju i wdrażania standardów bezpieczeństwa Internetu rzeczy (IoT) dla rządu federalnego. Z podsumowania ustawy House:

Ustawa ta wymaga od Narodowego Instytutu Standardów i Technologii (NIST) oraz Biura Zarządzania i Budżetu (OMB) podjęcia określonych kroków w celu zwiększenia cyberbezpieczeństwa urządzeń Internetu rzeczy (IoT). IoT to rozszerzenie łączności internetowej na urządzenia fizyczne i przedmioty codziennego użytku.

W szczególności ustawa wymaga, aby NIST opracował i opublikował standardy i wytyczne dla rządu federalnego dotyczące właściwego wykorzystania i zarządzania przez agencje urządzeniami IoT należącymi do agencji lub przez nią kontrolowanymi i podłączonymi do systemów informatycznych należących do agencji lub przez nią kontrolowanych, w tym minimalnego bezpieczeństwa informacji wymogi dotyczące zarządzania ryzykiem cyberbezpieczeństwa związanym z takimi urządzeniami.

Zgodnie z ustawą IoT Cybersecurity Improvement Act, standardy NIST będą poddawane przeglądowi i aktualizowane co pięć lat. Amerykańskie Biuro Zarządzania i Budżetu (OMB) „opracuje i nadzoruje wdrażanie polityk, zasad, standardów lub wytycznych w razie potrzeby, aby wyeliminować luki w zabezpieczeniach systemów informatycznych”. Co najważniejsze dla producentów IoT, agencjom „zabrania się zamawiania, uzyskiwania lub korzystania z urządzenia IoT, jeśli podczas przeglądu umowy agencja ustali, że użycie takiego urządzenia uniemożliwia zgodność ze standardami i wytycznymi”, z wyjątkiem „gdy jest to konieczne dla bezpieczeństwa narodowego, do celów badawczych lub gdy takie urządzenie jest zabezpieczone za pomocą alternatywnych skutecznych metod. ”

Fragment ustawy IoT Security Improvement Act podąża śladem państw, które niedawno uchwaliły przepisy mające na celu ochronę prywatności i bezpieczeństwa IoT, w tym California i Oregon.

Chociaż ustawa ma na celu regulację urządzeń zamawianych przez rząd federalny, zwolennicy bezpieczeństwa mają nadzieję, że doprowadzi to również do ustanowienia standardów bezpieczeństwa IoT i najlepszych praktyk również dla sektora prywatnego. W blogu z Sojusz ioXT, grupa branżowa promująca standardy bezpieczeństwa IoT, CTO Brad Ree stwierdza, że ​​„Chociaż jest to specyficzne dla rządu Stanów Zjednoczonych, jesteśmy przekonani, że posłuży jako katalizator, który zachęci operatorów sieci, ekosystemy konsumenckie i sprzedawców detalicznych do pójścia za przykładem certyfikacji bezpieczeństwa urządzeń iść naprzód ”.

Przejdź do góry

Bezpieczeństwo IoT (In)

Nowa ustawa IoT Cybersecurity Improvement Act, wraz z innymi przepisami stanowymi i inicjatywami branżowymi, jest odpowiedzią na ogromną powierzchnię ataku oferowaną obecnie przez dosłownie miliardy urządzeń podłączonych do Internetu, od monitorów pracy serca po SUV-y. Kiedy myślimy o nadużyciach niezabezpieczonych „inteligentnych” urządzeń, głośne historie o zagrożeniach kamery ochrony or inteligentne zamki może najpierw przypomnieć o ryzyku naruszenia prywatności i przestępstw przeciwko mieniu. Jednak ogromne botnety zdolne do takich rzeczy jak masowe ataki typu „odmowa usługi” są także rzeczywistym i aktualnym zagrożeniem. Badacz bezpieczeństwa Elie Bursztein opisuje botnet Mirai 2016:

W szczytowym momencie we wrześniu 2016 r. Mirai tymczasowo sparaliżował kilka głośnych usług, takich jak OVH, Dyn i Krebs on Security, poprzez masowe rozproszone ataki typu odmowa usługi (DDoS). OVH poinformowało, że liczba tych ataków przekroczyła 1 Tb / s - najwięcej w publicznym rejestrze.

Niezwykłe w tych rekordowych atakach jest to, że zostały przeprowadzone za pośrednictwem małych, nieszkodliwych urządzeń Internetu rzeczy (IoT), takich jak routery domowe, monitory jakości powietrza i osobiste kamery monitorujące. Według naszych pomiarów w szczytowym okresie Mirai zniewolił ponad 600,000 XNUMX wrażliwych urządzeń IoT.

...

Aby naruszyć bezpieczeństwo urządzeń, początkowa wersja MIRAI opierała się wyłącznie na ustalonym zestawie 64 dobrze znanych domyślnych kombinacji loginu / hasła powszechnie używanych przez urządzenia IoT. Chociaż ten atak był bardzo mało zaawansowany technicznie, okazał się niezwykle skuteczny i doprowadził do skompromitowania ponad 600,000 XNUMX urządzeń.

Wyobraź sobie miliony takich urządzeń, które są dostarczane z łatwymi do odgadnięcia domyślnymi poświadczeniami, które często nigdy nie są zmieniane przez użytkowników i administratorów. Łatwo można dostrzec potencjał sukcesu takiego „mało zaawansowanego technicznie” podejścia brutalnej siły i to jest jeden z powodów, dla których rząd federalny tak bardzo interesuje się luźnym bezpieczeństwem Internetu Rzeczy. (Co ciekawe - i prawdopodobnie w celu uniknięcia przyciągnięcia uwagi - były to boty Mirai zakodowane, aby uniknąć Adresy IP Departamentu Obrony i Usług Pocztowych i Internet Assigned Numbers Authority (IANA) podczas skanowania).

Oczywiście nie wysyłamy urządzeń połączonych z Internetem z admin i password jako poświadczenia administracyjne byłoby świetnym początkiem. I, jak zobaczymy poniżej, uwierzytelnianie za pomocą certyfikaty klienta to bezpieczna alternatywa dla haseł. Czytaj dalej, aby odkryć ten i inne sposoby, w jakie SSL.com może pomóc producentom IoT w poprawie bezpieczeństwa urządzeń i przestrzeganiu standardów rządowych i branżowych.

Przejdź do góry

Jak SSL.com może pomóc

Jednogłośne uchwalenie Ustawy o cyberbezpieczeństwie Internetu rzeczy z 2020 r. Oraz oczekiwanie, że przemysł pójdzie w jego ślady, wskazuje, że droga naprzód dla producentów IoT będzie obejmować przestrzeganie surowszych norm i przepisów dotyczących bezpieczeństwa. Certyfikaty cyfrowe i hostowane PKI z SSL.com to świetny sposób dla producentów na zabezpieczenie urządzeń IoT. Certyfikaty cyfrowe i infrastruktura kluczy publicznych (PKI) są jednym z fundamentów nowoczesnego internetu i bezpieczeństwa Internetu rzeczy i staną się bardziej istotne, gdy nowe standardy zostaną opracowane zgodnie z prawem.

Certyfikaty cyfrowe

Certyfikaty cyfrowe to specjalne pliki, które wiążą pary kluczy kryptograficznych z takimi jednostkami, jak strony internetowe, osoby fizyczne, organizacje i urządzenia. Urzędy certyfikacji (CA) jak SSL.com, weryfikuje te tożsamości przed wystawieniem certyfikatów. Najbardziej znanym zastosowaniem certyfikatów cyfrowych jest SSL /TLS i HTTPS protokoły używane do zabezpieczania witryn internetowych, ale istnieje wiele innych przypadków użycia, w tym podpisywanie kodu i podpisywanie dokumentów. Certyfikaty cyfrowe zapewniają:

  • Uwierzytelnianie, służąc jako weryfikowalne kryptograficznie dane uwierzytelniające w celu potwierdzenia tożsamości podmiotu, któremu zostały wydane.
  • Szyfrowanie, do bezpiecznej komunikacji w niezabezpieczonych sieciach, takich jak Internet.

  • Integrość dokumentów podpisanych certyfikatem, tak aby nie mogły być zmienione przez osobę trzecią w tranzycie.

    W zakresie bezpieczeństwa IoT oznacza to, że:

  • Każde urządzenie może otrzymać podczas produkcji unikalną tożsamość i certyfikat klienta, umożliwiający jego użytkowanie wzajemny TLS do bezpiecznego uwierzytelniania na serwerach firmowych.
  • Komunikacja między komputerem użytkownika a urządzeniem lub między urządzeniem a serwerami firmy jest szyfrowana, a integralność tej komunikacji jest zapewniona.
  • Certyfikaty klienta zainstalowane na komputerach osobistych lub urządzeniach mobilnych mogą być również używane jako pliki współczynnik uwierzytelnienia podczas logowania do urządzenia oprócz (lub zamiast) nazw użytkownika i haseł.
  • Urządzenia można skonfigurować tak, aby ufały tylko aktualizacjom oprogramowania podpisanym certyfikaty do podpisywania kodu identyfikacja wydawcy.

A ponieważ certyfikaty cyfrowe i PKI to ustalone standardy bezpieczeństwa, standardowe protokoły branżowe, takie jak KULMINACJA, SCEP i EST mogą służyć do rejestrowania certyfikatów urządzeń i zarządzania nimi.

Hosted PKI

Technologia i procedury utrzymywane przez urząd certyfikacji w celu wiązania tożsamości z kluczami kryptograficznymi i wydawania certyfikatów cyfrowych są znane jako infrastruktura klucza publicznego (lub PKI). Każda organizacja może działać samodzielnie PKI i CA dla wewnętrznego zaufania, ale tylko publicznie zaufane CA, takie jak SSL.com, mogą dostarczać certyfikaty, które są automatycznie zaufane przez wszystkie obecne przeglądarki i systemy operacyjne.

Aby utrzymać ten uniwersalny poziom zaufania, SSL.com nieustannie pracuje, aby zachować zgodność ze standardami branżowymi i przepisami rządowymi na całym świecie. Nasze procesy i obiekty podlegają corocznym rygorystycznym zasadom Audyty WebTrust które są wymagane, aby nasze certyfikaty cieszyły się powszechnym zaufaniem. Te audyty branżowe zapewniają również, że przestrzegamy przepisów krajowych PKI standardy i wytyczne rządy na całym świecie. Zobowiązujemy się zachować zgodność z każdym nowym PKI standardów i przepisów w przyszłości - jako komercyjnego, zaufanego publicznie CA nasza działalność zależy od tego.

Producenci IoT mogą skorzystać z infrastruktury i wiedzy SSL.com poprzez hostowane przedsiębiorstwo PKI, zapewniając dostęp do publicznie zaufanych certyfikatów i eliminując konieczność inwestowania w dodatkowy sprzęt i kadrę ekspertów. Wydawanie certyfikatów i zarządzanie cyklem życia mogą odbywać się za pomocą standardowych protokołów, takich jak KULMINACJA, SCEP i EST lub SSL.com's RESTful API SWS. Zaufane prywatnie PKI jest również dostępny na SSL.com i może być preferowany w przypadku niektórych aplikacji. Proszę przeczytaj Prywatny a publiczny PKI: Budowanie skutecznego planu aby uzyskać więcej informacji na ten temat.

Współpracując z SSL.com dla IoT PKI dzięki zaufaniu prywatnemu lub publicznemu możesz mieć pewność, że systemy i procesy, które zastosujesz w celu wydawania i utrzymywania certyfikatów na swoich urządzeniach, pozostaną zgodne z przepisami wydanymi przez NIST na mocy ustawy IoT Cybersecurity Improvement Act.

Przejdź do góry

Więcej szczegółów

Chcesz dowiedzieć się więcej o tym, jak SSL.com może pomóc producentom IoT? Sprawdź te zasoby SSL.com, aby uzyskać więcej informacji, lub prześlij poniższy formularz, aby skontaktować się z członkiem zespołu sprzedaży korporacyjnej SSL.com:

Skontaktuj się z działem sprzedaży SSL.com Enterprise

Zespół wsparcia SSL.com

Autor - administrator treści
Wszystkie Posty

Powiązane posty na blogu

Zobacz wszystkie posty na blogu
Facebook LinkedIn Twitter youtube Github

Co to jest SSL /TLS?

Odtwórz wideo

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę