IoT Cybersecurity Improvement Act of 2020, Digital Certificate, and PKI

Landmärket IoT Cybersecurity Improvement Act från 2020 förkunnar en ny era av Internet of Things (IoT) säkerhetsstandarder för myndigheter och industri. Ta reda på om den här nya lagen och hur SSL.com kan hjälpa IoT-tillverkare att följa nya standarder och bästa praxis när de framträder.

Beskrivning

Det är svårt att hitta enighet om alla frågor i dessa dagar, men båda husen i USA: s kongress godkändes enhälligt HR1668/S.734, den IoT Cybersecurity Improvement Act från 2020, innan det undertecknades i lag den 4 december 2020. Lagförslagets enkla passage visar ett brett, tvåpartsstöd för utveckling och genomförande av Internet of Things (IoT) säkerhetsstandarder för den federala regeringen. Från huspropositionens sammanfattning:

Detta lagförslag kräver att National Institute of Standards and Technology (NIST) och Office of Management and Budget (OMB) vidtar specifika åtgärder för att öka cybersäkerhet för Internet of Things (IoT) -enheter. IoT är förlängningen av internetanslutning till fysiska enheter och vardagliga föremål.

Konkret kräver lagförslaget att NIST utvecklar och publicerar standarder och riktlinjer för den federala regeringen om lämplig användning och hantering av byråer av IoT-enheter som ägs eller kontrolleras av en byrå och är anslutna till informationssystem som ägs eller kontrolleras av en byrå, inklusive minsta informationssäkerhet krav för hantering av cybersäkerhetsrisker förknippade med sådana enheter.

Enligt Iot Cybersecurity Improvement Act kommer NISTs standarder att ses över och revideras vart femte år. US Office of Management and Budget (OMB) kommer att "utveckla och övervaka genomförandet av policyer, principer, standarder eller riktlinjer som är nödvändiga för att hantera säkerhetsproblem i informationssystem." Viktigast för IoT-tillverkare är byråer "förbjudna att skaffa, skaffa eller använda en IoT-enhet om byrån under en granskning av ett avtal fastställer att användningen av en sådan enhet förhindrar överensstämmelse med standarder och riktlinjer," utom "där det är nödvändigt för nationell säkerhet, för forskningsändamål eller där en sådan enhet är skyddad med alternativa effektiva metoder. ”

IoT: s säkerhetsförbättringslag följer ledningen för stater som nyligen har antagit lagstiftning som syftar till att skydda IoT: s integritet och säkerhet, inklusive kalifornien och Oregon.

Även om lagen är inriktad på att reglera enheter som upphandlats av den federala regeringen, är säkerhetsförespråkare hoppfulla att det också kommer att leda till upprättandet av IoT-säkerhetsstandarder och bästa praxis för den privata sektorn också. I en blogginlägg från ioXT Alliance, en branschgrupp som främjar IoT-säkerhetsstandarder, säger CTO Brad Ree att "Även om detta är USA: s regeringsspecifika, är vi övertygade om att det kommer att fungera som en katalysator som uppmanar nätoperatörer, konsumenters ekosystem och återförsäljare att följa efter i säkerhetscertifiering av enheter går vidare."

IoT (In) säkerhet

Den nya IoT Cybersecurity Improvement Act, tillsammans med andra statliga lagar och branschinitiativ, är ett svar på den enorma attackyta som för närvarande erbjuds av bokstavligen miljarder av internetanslutna enheter som sträcker sig från hjärtmonitorer till stadsjeepar. När vi tänker på missbruk av osäkra ”smarta” enheter, berättas högprofilerade berättelser om säkerhetskameror or smarta lås kan komma att tänka på riskerna med intrång i privatlivet och egendomsbrott. Men stora botnät som kan göra saker som massiva denial-of-service-attacker är också en verklig och nuvarande fara. Säkerhetsforskare Elie Bursztein beskriver 2016 Mirai botnet:

Vid sin topp i september 2016 förlamade Mirai tillfälligt flera högt profilerade tjänster som OVH, Dyn och Krebs om säkerhet via massiva distribuerade Denial of Service-attacker (DDoS). OVH rapporterade att dessa attacker översteg 1Tbps - den största på public record.

Det som är anmärkningsvärt med dessa rekordbrytande attacker är att de utfördes via små, oskadliga Internet-of-Things (IoT) -enheter som hemroutrar, luftkvalitetsmonitorer och personliga övervakningskameror. Enligt sin mätning slaver Mirai över 600,000 XNUMX utsatta IoT-enheter när det var som mest.

.

För att kompromissa enheter förlitar sig den ursprungliga versionen av MIRAI uteslutande på en fast uppsättning med 64 välkända standardinloggnings- / lösenordskombinationer som vanligtvis används av IoT-enheter. Även om denna attack var mycket lågteknologisk, visade den sig vara extremt effektiv och ledde till kompromiss mellan över 600,000 XNUMX enheter.

Föreställ dig miljontals sådana enheter som levereras med lätt gissade standarduppgifter som ofta inte ändras av användare och administratörer. Du kan lätt se potentialen för framgång med ett sådant ”lågteknologiskt” brute force-tillvägagångssätt, och det är en anledning till att den federala regeringen har tagit ett sådant intresse för slapp IoT-säkerhet. (Intressant - och förmodligen för att undvika att locka uppmärksamhet - var Mirai-robotarna det kodade för att undvika US Department of Defense and Postal Service and Internet Assigned Numbers Authority (IANA) IP-adresser vid skanning.)

Naturligtvis inte leverera internetanslutna enheter med admin och password eftersom administrativa uppgifter skulle vara en bra start. Och, som vi kommer att se nedan, autentisering med kundcertifikat är ett säkert alternativ till lösenord. Läs vidare för att upptäcka detta och andra sätt som SSL.com kan hjälpa IoT-tillverkare att förbättra enhetssäkerheten och följa regler och branschstandarder.

Hur SSL.com kan hjälpa

Den enhälliga passagen av Internet of Things Cybersecurity Act från 2020 - plus förväntan att industrin kommer att följa efter - indikerar att vägen framåt för IoT-tillverkare kommer att omfatta efterlevnad av strängare säkerhetsstandarder och regler. Digitala certifikat och värd PKI från SSL.com är ett utmärkt sätt för tillverkare att säkra IoT-enheter. Digitala certifikat och offentlig nyckelinfrastruktur (PKI) hör till hörnstenarna i modern internet- och IoT-säkerhet och kommer bara att bli viktigare när nya standarder utarbetas enligt lagen.

Digitala certifikat

Digitala certifikat är speciella filer som binder kryptografiska nyckelpar till enheter som webbplatser, individer, organisationer och enheter. Certifikatutfärdare som SSL.com validera dessa identiteter innan du utfärdar certifikat. Den mest kända användningen av digitala certifikat finns i SSL /TLS och HTTPS protokoll som används för att säkra webbplatser, men det finns många andra användningsfall, inklusive kodsignering och dokumentsignering. Digitala certifikat ger:

  • Autentisering, genom att fungera som en kryptografiskt verifierbar referens för att validera identiteten på den enhet som den utfärdas till.
  • kryptering, för säker kommunikation över osäkra nätverk som Internet.
  • Integritet av dokument som undertecknats med intyget så att de inte kan ändras av en tredje part i transit.

    När det gäller IoT-säkerhet betyder detta att:

  • Varje enhet kan få ett unikt identitets- och klientcertifikat under tillverkningen så att den kan användas ömsesidigt TLS för att autentisera säkert med företagets servrar.
  • Kommunikation mellan en användares dator och en enhet, eller mellan en enhet och företagets servrar, är krypterad och integriteten hos dessa kommunikationer säkerställs.
  • Klientcertifikat installerade på persondatorer eller mobila enheter kan också användas som ett autentiseringsfaktor när du loggar in på en enhet utöver (eller istället för) användarnamn och lösenord.
  • Enheter kan konfigureras för att bara lita på programuppdateringar som är signerade med kodsigneringscertifikat identifiera utgivaren.

Och eftersom digitala certifikat och PKI är etablerade säkerhetsstandarder, standardindustrin protokoll som ACME, SCEP och EST kan användas för registrering och hantering av enhetscertifikat.

värd PKI

Tekniken och procedurerna som upprätthålls av en CA för att binda identiteter till kryptografiska nycklar och utfärda digitala certifikat kallas Public Key Infrastructure (eller PKI). Varje organisation kan driva sin egen PKI och CA för internt förtroende, men endast offentligt betrodda CA, som SSL.com, kan tillhandahålla certifikat som är automatiskt betrodda av alla nuvarande webbläsare och operativsystem.

För att upprätthålla denna universella nivå av förtroende arbetar SSL.com kontinuerligt för att följa branschstandarder och statliga regler över hela världen. Våra processer och anläggningar är föremål för rigorösa årliga WebTrust-revisioner som krävs för att hålla våra certifikat allmänt betrodda. Dessa branschgranskningar säkerställer också att vi fortsätter att följa det nationella PKI standarder och riktlinjer för regeringar över hela världen. Vi åtar oss att upprätthålla överensstämmelse med alla nya PKI standarder och förordningar framöver - som en kommersiell, offentligt betrodd CA är vår verksamhet beroende av den.

IoT-tillverkare kan utnyttja SSL.coms infrastruktur och expertis genom värdföretag PKI, ger tillgång till offentligt betrodda certifikat och eliminerar behovet av att investera i ytterligare utrustning och expertpersonal. Certifikatutfärdande och livscykelhantering kan göras via standardprotokoll som ACME, SCEP och EST, eller SSL.coms RESTful SWS API. Privat betrodd PKI är också tillgängligt från SSL.com och kan vara att föredra för vissa applikationer. Vänligen läs Privat vs offentligt PKI: Att bygga en effektiv plan för mycket mer information om detta ämne.

Genom att samarbeta med SSL.com för IoT PKI antingen privat eller offentligt förtroende kan du vara säker på att de system och processer du inför för att utfärda och underhålla certifikat på dina enheter kommer att förbli i överensstämmelse med regler som utfärdats av NIST enligt IoT Cybersecurity Improvement Act.

Läs mer

Vill du lära dig mer om hur SSL.com kan hjälpa IoT-tillverkare? Kolla in dessa SSL.com-resurser för mycket mer information, eller skicka in formuläret nedan för att nå en medlem av SSL.coms företagsförsäljningsteam:

Kontakta SSL.com Enterprise Sales

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.