Czy istnieje certyfikat wskazujący poziom bezpieczeństwa urządzeń IoT?

11

Czy istnieje jakiś wiarygodny certyfikat dla urządzeń IoT, który można wykorzystać do porównania zapewnionego bezpieczeństwa tych urządzeń? 1

Obecnie krajobraz IoT jest całkowicie rozproszony przy użyciu różnych protokołów, standardów i zastrzeżonych rozwiązań. Z drugiej strony urządzenia IoT padają na botnety jak muchy . Czy istnieje jakiś standard, w którym klienci mogą zaufać, aby urządzenie spełniało określony poziom bezpieczeństwa? Może nawet certyfikat potwierdzający bezpieczeństwo?

Jeśli nie ma obecnego standardu, czy istnieją obiecujące inicjatywy, aby stworzyć taki standard?


1: Oświadczenie: To jest oparte na pytaniu Obszar 51 od użytkownika, który najwyraźniej nie zobowiązał się do witryny na etapie zobowiązania. Chcę to opublikować, aby pomóc zdefiniować zakres witryny.

Helmar
źródło

Odpowiedzi:

10

UL (dawniej Underwriters Laboratories) zapewnia program zapewniania bezpieczeństwa cybernetycznego w celu poświadczenia, że ​​urządzenie Internetu przedmiotów jest, ich zdaniem, zabezpieczone przed większością poważnych zagrożeń.

Według Ars Technica UL wydaje się być bardzo szanowany w procesie certyfikacji :

UL, 122-letnia organizacja norm bezpieczeństwa, której różne znaki (UL, ENEC itp.) Potwierdzają minimalne standardy bezpieczeństwa w dziedzinach tak różnorodnych, jak okablowanie elektryczne, produkty czyszczące, a nawet suplementy diety, zajmuje się obecnie cyberbezpieczeństwem Internetu Urządzenia Things (IoT) z nowym certyfikatem UL 2900.

UL opisują swoją certyfikację jako obejmującą:

  • Testowanie produktów Fuzz w celu wykrycia podatności na zero dni we wszystkich interfejsach
  • Ocena znanych luk w produktach, które nie zostały załatane za pomocą schematu Common Vulnerability Enumerations (CVE)
  • Identyfikacja znanego złośliwego oprogramowania w produktach
  • Statyczna analiza kodu źródłowego pod kątem słabości oprogramowania zidentyfikowanych przez wspólne wyliczenia słabości (CWE)
  • Statyczna analiza binarna pod kątem słabości oprogramowania zidentyfikowanych przez Common Weakness Enumerations (CWE), oprogramowanie open source i biblioteki stron trzecich
  • Określone szczególne zabezpieczenia stosowane w produktach zmniejszających ryzyko bezpieczeństwa [...]
  • Ustrukturyzowane testy penetracyjne produktów oparte na wadach zidentyfikowanych w innych testach
  • Ocena ryzyka związanego z ograniczeniem bezpieczeństwa produktu w produktach.

Jednak dokładny proces, w którym urządzenia kontrolujące UL są niejasne (chyba że płacisz za zakup pełnego zestawu specyfikacji), jak zauważa Ars Technica (i krytykuje):

Kiedy Ars poprosił o kopię dokumentów UL 2900, aby przyjrzeć się bliżej standardowi, UL (wcześniej znany jako Underwriters Laboratories) odmówił, wskazując, że jeśli chcielibyśmy kupić kopię - cena detaliczna, około 600 GBP / 800 USD za pełną set - mogliśmy to zrobić. Musimy założyć, że niezależni badacze bezpieczeństwa są klientami detalicznymi UL.

Mimo że UL są przestrzegane, nie możemy zakładać, że ich certyfikacja jest szczególnie solidna pod względem bezpieczeństwa bez dalszej kontroli, chociaż spełnia pierwotne pytanie.

Niestety nie mogłem znaleźć żadnych otwartych standardów / certyfikatów bezpieczeństwa, choć jest to prawdopodobne, ponieważ wymagane zasoby byłyby zdecydowanie za duże dla stowarzyszenia non-profit.

Aurora0001
źródło
3

Chcę dodać do odpowiedzi Aurora0001, że możemy chronić tylko przed znanymi zagrożeniami.

Ostatnio widzieliśmy ataki Spectre i Meltdown na sprzęt . Chociaż procesory Intel nie są powszechnie używane w urządzeniach IoT, prawdopodobnie będziemy mieć problemy z bezpieczeństwem ze sprzętem IoT w przyszłości. Wcześniej widzieliśmy Rowhammer i Heartbleed , jako ogólne błędy klasy systemowej, wpływające na ogromną liczbę systemów. W miarę rozwoju Internetu Rzeczy, uważam, że takie luki będą coraz powszechniejsze.

Dlatego skupiłbym się mniej na certyfikatach bezpieczeństwa, a więcej na:

  • Otwartość, aby osoby trzecie mogły oceniać oprogramowanie.
  • Podane czasy życia wsparcia, w których producent gwarantuje aktualizacje bezpieczeństwa
  • Możliwość aktualizacji, w tym automatyczne aktualizacje jako ustawienie domyślne.

Jeśli okaże się, że urządzenie jest obsługiwane przez długi czas i domyślnie automatycznie aktualizuje oprogramowanie, gdy pojawią się nowe wersje, wpływ problemów z bezpieczeństwem zostanie zmniejszony. Certyfikacja pokaże tylko, że nie było znanych błędów bezpieczeństwa podczas wysyłania produktu.

vidarlo
źródło
Heartbleed może być błędem klasy systemowej z punktu widzenia wdrażania systemu, ale nadal jest błędem w konkretnym oprogramowaniu, które po prostu wymaga aktualizacji. Lepszymi przykładami byłyby atak na sam protokół, taki jak BEAST i CRIME.
Gilles „SO- przestań być zły”
Chodzi o to, że błędy można znaleźć w mało prawdopodobnych miejscach (procesory) oraz w dobrze znanym oprogramowaniu (Heartbleed), dlatego potrzebujemy łatania i aktualizacji oprogramowania. Ale tak - do wyboru jest mnóstwo błędów.
vidarlo
Certyfikaty mogą równie dobrze obejmować okresy wsparcia technicznego lub możliwość aktualizacji oprogramowania układowego - nawet otwartość. Więc chociaż masz rację, że są to bardzo ważne punkty, nie bardzo rozumiem, dlaczego są one niezgodne z certyfikatami w ogóle.
Helmar
2
@Helmar Niestety, poważne certyfikaty są z natury bardzo ciężkim procesem. Certyfikacja początkowej wersji i procesu aktualizacji to jedno, ale certyfikacja każdej aktualizacji przed jej wdrożeniem powoduje znaczny narzut, co utrudnia ustanowienie dobrego procesu certyfikacji (gdzie aktualizacje bezpieczeństwa musiałyby być certyfikowane po fakcie - co jest sprzeczne z ziarno certyfikacji, ponieważ oznacza to, że urządzenie będzie działać w wersjach niecertyfikowanych).
Gilles „SO- przestań być zły”
@Gilles Zgadzam się, że można jedynie certyfikować procesy jakościowe tworzenia oprogramowania lub coś w tym rodzaju. Certyfikacja każdej wersji oprogramowania nie jest tak naprawdę opcją.
Helmar