2020年具有里程碑意义的《物联网网络安全改进法案》预示了政府和行业的物联网(IoT)安全标准的新时代。 了解此新法律,以及SSL.com如何帮助IoT制造商遵守新标准和最佳实践的出现。
介绍
如今很难在任何问题上达成普遍协议,但美国国会两院一致通过 HR1668/S.734是, 2020年物联网网络安全改进法,该法案在4年2020月XNUMX日签署成为法律之前。该法案的轻松通过表明了两党对联邦政府制定和实施物联网(IoT)安全标准的广泛支持。 从众议院法案的摘要中:
该法案要求美国国家标准技术研究院(NIST)和管理与预算办公室(OMB)采取特定步骤,以提高物联网(IoT)设备的网络安全性。 物联网是互联网连接到物理设备和日常物品的扩展。
具体来说,该法案要求NIST针对各机构拥有或控制并与该机构拥有或控制的信息系统相连的IoT设备的各机构的适当使用和管理,为联邦政府制定和发布标准和指南。管理与此类设备相关的网络安全风险的要求。
根据《物联网安全改进法案》,NIST的标准将每五年进行审查和修订。 美国管理和预算局(OMB)将“制定和监督必要的政策,原则,标准或准则的实施,以解决信息系统的安全漏洞。” 对于物联网制造商而言,最重要的是,“如果代理商在合同审查期间确定使用此类设备妨碍遵守标准和准则,则代理商不得采购,获取或使用物联网设备”,除非“国家安全,出于研究目的或使用其他有效方法保护此类设备的位置。”
《物联网安全改进法》的通过是继最近通过州旨在保护物联网隐私和安全的立法之后,包括 加利福尼亚州 和 俄勒冈.
尽管该法律的目标是监管联邦政府采购的设备,但安全倡导者希望这也将导致为私有部门建立IoT安全标准和最佳实践。 在一个 博客文章 来自 ioXT联盟作为推动物联网安全标准的行业组织,CTO Brad Ree表示:“虽然这是美国政府的特定规定,但我们有信心,它将作为催化剂,促使网络运营商,消费者生态系统和零售商效仿设备安全认证向前进。”
物联网(内部)安全
新的《物联网网络安全改进法案》以及其他州法律和行业计划,是对目前由 数十亿 从心脏监护仪到SUV的各种互联网连接设备。 当我们想到滥用不安全的“智能”设备时,有关受感染的高知名度的故事 监控摄像头 or 智能锁 首先可能会想到侵犯隐私和财产犯罪的风险。 但是,大型僵尸网络可以执行以下操作 大规模的拒绝服务攻击 也是现实和当前的危险。 安全研究员Elie Bursztein 介绍 2016 Mirai僵尸网络:
在2016年1月达到顶峰时,Mirai通过大规模分布式拒绝服务攻击(DDoS)暂时破坏了OVH,Dyn和Krebs on Security等几项备受瞩目的服务。 OVH报告说,这些攻击超过了XNUMXTbps,这是有记录以来最大的攻击。
这些破纪录的攻击的显着之处在于,它们是通过小型,无害的物联网(IoT)设备(如家用路由器,空气质量监控器和个人监控摄像头)进行的。 根据我们的测量,Mirai在高峰时奴役了超过600,000万个易受攻击的IoT设备。
...
为了妥协设备,MIRAI的初始版本仅依赖于固定的一组IoT设备通常使用的64个众所周知的默认登录/密码组合。 尽管这种攻击的技术水平很低,但事实证明它非常有效,并导致超过600,000台设备受到攻击。
想象一下,成千上万的此类设备带有易于猜测的默认凭据,而用户和管理员通常不会更改它们。 您可以轻松地看到这种“低技术”蛮力方法成功的潜力,这就是联邦政府对物联网安全松懈如此感兴趣的原因之一。 (有趣的是-大概是为了避免引起注意-Mirai机器人是 编码以避免 扫描时,美国国防部和邮政总局和互联网号码分配机构(IANA)IP地址。)
当然,不运送带有 admin 和 password 因为管理凭据将是一个很好的开始。 而且,正如我们将在下面看到的那样,通过 客户证书 是安全替代密码的方法。 请继续阅读以发现SSL.com可以帮助IoT制造商提高设备安全性并保持与政府和行业标准的合规性的其他方式。
SSL.com如何提供帮助
2020年《物联网网络安全法案》获得一致通过,加上业界将会效仿的预期,表明物联网制造商的前进之路将包括遵守更严格的安全标准和法规。 数字证书 和 托管 PKI SSL.com提供的安全保护是制造商保护IoT设备安全的好方法。 数字证书和公钥基础结构(PKI)是现代互联网和IoT安全的基石,并且只有在根据法律起草新标准时才会变得更加重要。
数字证书
数字证书是将加密密钥对绑定到诸如网站,个人,组织和设备之类的实体的特殊文件。 证书颁发机构(CA) 像SSL.com这样的机构会在颁发证书之前先验证这些身份。 数字证书最广为人知的用途是 SSL /TLS 和 HTTPS 用于保护网站安全的协议,但还有许多其他用例,包括 代码签名 和 文件签署。 数字证书提供:
- 认证,通过充当可加密验证的凭证来验证向其颁发实体的身份。
- 加密,用于通过不安全的网络(例如Internet)进行安全通信。
-
诚信 带有证书签名的文件,以便在运输过程中第三方不能更改它们。
在物联网安全方面,这意味着:
- 在制造过程中,可以为每个设备提供唯一的身份和客户证书,以便其使用 相互 TLS 与公司服务器安全地进行身份验证。
- 用户计算机与设备之间或设备与公司服务器之间的通信经过加密,从而确保了这些通信的完整性。
- 安装在个人计算机或移动设备上的客户端证书也可以用作 认证因素 除了(或代替)用户名和密码登录设备时。
- 可以将设备配置为仅信任使用签名的软件更新 代码签名证书 识别发布者。
而且,因为数字证书和 PKI 是已建立的安全标准,标准行业协议,例如 ACME,SCEP和EST可用于设备证书注册和管理。
托管 PKI
由CA维护的用于将身份绑定到加密密钥并颁发数字证书的技术和过程称为“公共密钥基础结构”(或 PKI)。 任何组织都可以自己运作 PKI 以及用于内部信任的CA,但是只有公共信任的CA(例如SSL.com)才能提供所有当前浏览器和操作系统自动信任的证书。
为了保持这种普遍的信任水平,SSL.com会继续努力以遵守全球行业标准和政府法规。 我们的流程和设施每年严格 WebTrust审核 保持我们的证书被普遍信任所必需的。 这些行业审核还确保我们遵守国家 PKI 的标准和准则 政府 全世界。 我们致力于保持对任何新产品的遵守 PKI 未来的标准和法规-作为一个商业的,受公众信任的CA,我们的业务完全依靠它。
物联网制造商可以通过以下方式利用SSL.com的基础架构和专业知识 托管企业 PKI,提供对公共信任证书的访问权限,并且无需投资购买额外的设备和专家人员。 证书颁发和生命周期管理可以通过标准协议完成,例如 ACME,SCEP和EST或SSL.com的RESTful 软件接口。 私人信任 PKI 也可从SSL.com获得,对于某些应用程序可能更可取。 请阅读 私人与公共 PKI:制定有效的计划 有关此主题的更多信息。
通过与SSL.com合作进行物联网 PKI 无论是私人信任还是公共信任,您都可以放心,为在设备上颁发和维护证书而建立的系统和流程将始终符合NIST根据《物联网网络安全改进法》发布的法规。
了解更多
想更多地了解SSL.com如何帮助物联网制造商? 请查看这些SSL.com资源以获取更多信息,或提交以下表单以联系SSL.com企业销售团队的成员:
