A Lei de Melhoria da Segurança Cibernética da IoT de 2020, Certificados Digitais e PKI

O marco da IoT Cybersecurity Improvement Act de 2020 anuncia uma nova era de padrões de segurança da Internet das Coisas (IoT) para o governo e a indústria. Descubra mais sobre essa nova lei e como SSL.com pode ajudar os fabricantes de IoT a se manterem em conformidade com os novos padrões e práticas recomendadas à medida que aparecem.

Introdução

É difícil encontrar um acordo universal sobre qualquer questão hoje em dia, mas ambas as casas do Congresso dos Estados Unidos aprovaram por unanimidade HR1668/S.734, Lei de Melhoria da Cibersegurança IoT de 2020, antes de ser sancionado em 4 de dezembro de 2020. A fácil aprovação do projeto mostra amplo apoio bipartidário para o desenvolvimento e implementação de padrões de segurança da Internet das Coisas (IoT) para o governo federal. Do resumo do projeto de lei da Câmara:

Este projeto de lei exige que o Instituto Nacional de Padrões e Tecnologia (NIST) e o Escritório de Gerenciamento e Orçamento (OMB) tomem medidas específicas para aumentar a segurança cibernética para dispositivos de Internet das Coisas (IoT). A IoT é a extensão da conectividade com a Internet para dispositivos físicos e objetos do dia a dia.

Especificamente, o projeto de lei exige que o NIST desenvolva e publique padrões e diretrizes para o governo federal sobre o uso e gerenciamento apropriado por agências de dispositivos de IoT pertencentes ou controlados por uma agência e conectados a sistemas de informação de propriedade ou controlados por uma agência, incluindo segurança mínima da informação requisitos para gerenciar riscos de segurança cibernética associados a tais dispositivos.

De acordo com o Iot Cybersecurity Improvement Act, os padrões do NIST serão analisados ​​e revisados ​​a cada cinco anos. O Escritório de Gestão e Orçamento dos Estados Unidos (OMB) irá “desenvolver e supervisionar a implementação de políticas, princípios, padrões ou diretrizes conforme necessário para lidar com as vulnerabilidades de segurança dos sistemas de informação”. Mais importante ainda para os fabricantes de IoT, as agências são "proibidas de adquirir, obter ou usar um dispositivo de IoT se a agência determinar durante uma revisão de um contrato que o uso de tal dispositivo impede a conformidade com os padrões e diretrizes", exceto "quando necessário para segurança nacional, para fins de pesquisa, ou onde tal dispositivo é protegido usando métodos alternativos eficazes. ”

A aprovação da Lei de Melhoria da Segurança da IoT segue o exemplo dos estados que aprovaram recentemente uma legislação que visa proteger a privacidade e a segurança da IoT, incluindo Califórnia e Oregon.

Embora a lei seja destinada a regulamentar dispositivos adquiridos pelo governo federal, os defensores da segurança têm esperança de que também levará ao estabelecimento de padrões de segurança IoT e melhores práticas para o setor privado. Em um blog do Aliança ioXT, um grupo da indústria que promove padrões de segurança de IoT, CTO Brad Ree afirma que “Embora seja específico do governo dos EUA, estamos confiantes de que servirá como o catalisador que solicitará que as operadoras de rede, ecossistemas de consumidores e varejistas sigam o exemplo na certificação de segurança de dispositivos seguindo em frente. ”

Ir para o início

Segurança IoT (In)

A nova Lei de Melhoria da Segurança Cibernética da IoT, junto com outras leis estaduais e iniciativas do setor, é uma resposta à enorme superfície de ataque oferecida atualmente por literalmente bilhões de dispositivos conectados à Internet, de monitores cardíacos a SUVs. Quando pensamos sobre o abuso de dispositivos "inteligentes" inseguros, histórias importantes sobre comprometimento câmeras de segurança or fechaduras inteligentes pode trazer os riscos de invasão de privacidade e crime de propriedade em primeiro lugar. No entanto, grandes botnets capazes de coisas como ataques massivos de negação de serviço são também um perigo real e presente. Pesquisador de segurança Elie Bursztein descreve o botnet Mirai 2016:

Em seu pico em setembro de 2016, Mirai paralisou temporariamente vários serviços de alto perfil, como OVH, Dyn e Krebs on Security por meio de ataques de negação de serviço (DDoS) distribuídos em massa. A OVH relatou que esses ataques ultrapassaram 1Tbps - o maior já registrado.

O que é notável sobre esses ataques que quebram recordes é que eles foram realizados por meio de dispositivos pequenos e inócuos de Internet das Coisas (IoT), como roteadores domésticos, monitores de qualidade do ar e câmeras de vigilância pessoais. Em seu pico, Mirai escravizou mais de 600,000 dispositivos IoT vulneráveis, de acordo com nossas medições.

...

Para comprometer os dispositivos, a versão inicial do MIRAI dependia exclusivamente de um conjunto fixo de 64 combinações de login / senha padrão bem conhecidas, comumente usadas por dispositivos IoT. Embora esse ataque fosse de tecnologia muito baixa, ele se mostrou extremamente eficaz e levou ao comprometimento de mais de 600,000 dispositivos.

Imagine milhões de tais dispositivos entregues com credenciais padrão facilmente adivinhadas que frequentemente nunca são alteradas por usuários e administradores. Você pode ver facilmente o potencial de sucesso dessa abordagem de força bruta de “baixa tecnologia”, e esse é um dos motivos pelos quais o governo federal se interessou tanto pela segurança frouxa da IoT. (Curiosamente - e presumivelmente para evitar atrair atenção - os bots Mirai foram codificado para evitar Endereços IP do Departamento de Defesa e Serviço Postal dos EUA e da Autoridade para Atribuição de Números da Internet (IANA) durante a digitalização.)

Claro, não enviar dispositivos conectados à Internet com admin e password como credenciais administrativas seria um grande começo. E, como veremos abaixo, a autenticação com certificados de cliente é uma alternativa segura para senhas. Continue lendo para descobrir esta e outras maneiras pelas quais SSL.com pode ajudar os fabricantes de IoT a melhorar a segurança do dispositivo e permanecer em conformidade com os padrões do governo e do setor.

Ir para o início

Como SSL.com pode ajudar

A aprovação unânime da Lei de Segurança Cibernética da Internet das Coisas de 2020 - mais a expectativa de que a indústria seguirá o exemplo - indica que o caminho para os fabricantes de IoT incluirá conformidade com padrões e regulamentos de segurança mais rígidos. Certificados digitais e hospedado PKI de SSL.com são uma ótima maneira para os fabricantes protegerem os dispositivos IoT. Certificados digitais e infraestrutura de chave pública (PKI) estão entre os pilares da segurança moderna da Internet e da IoT e só se tornarão mais essenciais à medida que novos padrões forem elaborados de acordo com a lei.

Certificados Digitais

Os certificados digitais são arquivos especiais que vinculam pares de chaves criptográficas a entidades, como sites, indivíduos, organizações e dispositivos. Autoridades de certificação (CAs) como SSL.com, valida essas identidades antes de emitir certificados. O uso mais conhecido de certificados digitais está no SSL /TLS e HTTPS protocolos que são usados ​​para proteger sites, mas existem muitos outros casos de uso, incluindo assinatura de código e assinatura de documento. Os certificados digitais fornecem:

  • Autenticação, servindo como uma credencial verificável criptograficamente para validar a identidade da entidade para a qual é emitida.
  • Criptografia, para comunicação segura em redes inseguras, como a Internet.

  • Integridade de documentos assinados com o certificado de forma que não possam ser alterados por terceiros em trânsito.

    Em termos de segurança de IoT, isso significa que:

  • Cada dispositivo pode receber uma identidade exclusiva e certificado de cliente durante a fabricação, permitindo que ele use mútuo TLS para autenticar com segurança os servidores da empresa.
  • A comunicação entre o computador de um usuário e um dispositivo, ou entre um dispositivo e os servidores de uma empresa, é criptografada e a integridade dessas comunicações é garantida.
  • Certificados de cliente instalados em computadores pessoais ou dispositivos móveis também podem ser usados ​​como um fator de autenticação ao fazer login em um dispositivo além de (ou em vez de) nomes de usuário e senhas.
  • Os dispositivos podem ser configurados para confiar apenas em atualizações de software assinadas com certificados de assinatura de código identificar o editor.

E, porque os certificados digitais e PKI são padrões de segurança estabelecidos, protocolos padrão da indústria como ACME, SCEP e EST podem ser usados ​​para registro e gerenciamento de certificado de dispositivo.

Hospedado PKI

A tecnologia e os procedimentos mantidos por uma CA para vincular identidades a chaves criptográficas e emitir certificados digitais são conhecidos como Infraestrutura de Chave Pública (ou PKI) Qualquer organização pode operar por conta própria PKI e CA para confiança interna, mas apenas CAs publicamente confiáveis, como SSL.com, podem fornecer certificados que são automaticamente confiáveis ​​por todos os navegadores e sistemas operacionais atuais.

Para manter esse nível universal de confiança, SSL.com trabalha continuamente para permanecer em conformidade com os padrões da indústria e regulamentações governamentais em todo o mundo. Nossos processos e instalações estão sujeitos a rigorosos procedimentos anuais Auditorias WebTrust que são necessários para manter nossos certificados universalmente confiáveis. Essas auditorias da indústria também garantem que permaneçamos em conformidade com as normas PKI padrões e diretrizes de governos no mundo todo. Estamos empenhados em manter a conformidade com qualquer novo PKI padrões e regulamentos futuros - como uma CA comercial e publicamente confiável, nossos negócios dependem disso.

Os fabricantes de IoT podem tirar proveito da infraestrutura e experiência de SSL.com por meio de empresa hospedada PKI, fornecendo acesso a certificados de confiança pública e eliminando a necessidade de investir em equipamentos adicionais e equipe especializada. A emissão de certificados e o gerenciamento do ciclo de vida podem ser feitos por meio de protocolos padrão como ACME, SCEP e EST ou RESTful de SSL.com API SWS. De confiança privada PKI também está disponível em SSL.com e pode ser preferível para alguns aplicativos. Por favor leia Privado x Público PKI: Criando um plano eficaz para muito mais informações sobre este assunto.

Em parceria com SSL.com para IoT PKI com confiança pública ou privada, você pode ter certeza de que os sistemas e processos que você implementou para emitir e manter certificados em seus dispositivos permanecerão em conformidade com os regulamentos emitidos pelo NIST sob a Lei de Melhoria da Segurança Cibernética da IoT.

Ir para o início

Saber Mais​

Quer saber mais sobre como SSL.com pode ajudar os fabricantes de IoT? Verifique esses recursos de SSL.com para obter muito mais informações ou envie o formulário abaixo para entrar em contato com um membro da equipe de vendas corporativas de SSL.com:

Contactar SSL.com Enterprise Sales

Equipe de Suporte SSL.com

Autor - Administrador de Conteúdo
Todas as mensagens

Posts Relacionados do Blog

Ver todas as postagens do blog
Facebook Linkedin Twitter Youtube Github

O que é SSL /TLS?

Reproduzir Vídeo

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.

Responder à pesquisa