UL (trước đây là Phòng thí nghiệm của Underwriters) cung cấp Chương trình Đảm bảo An ninh mạng để chứng nhận rằng thiết bị Internet of Things, theo ý kiến của họ, được bảo mật khỏi hầu hết các mối đe dọa lớn.
UL dường như rất được tôn trọng trong các quy trình chứng nhận của họ, theo Ars Technica :
UL, tổ chức tiêu chuẩn an toàn 122 tuổi có nhiều nhãn hiệu khác nhau (UL, ENEC, v.v.) chứng nhận các tiêu chuẩn an toàn tối thiểu trong các lĩnh vực đa dạng như hệ thống dây điện, sản phẩm làm sạch và thậm chí bổ sung chế độ ăn uống, hiện đang giải quyết vấn đề an ninh mạng của Internet Thiết bị Things (IoT) với chứng nhận UL 2900 mới.
UL mô tả chứng nhận của họ liên quan đến:
- Kiểm tra Fuzz các sản phẩm để xác định lỗ hổng zero day trên tất cả các giao diện
- Đánh giá các lỗ hổng đã biết trên các sản phẩm chưa được vá bằng cách sử dụng lược đồ liệt kê lỗ hổng phổ biến (CVE)
- Xác định phần mềm độc hại đã biết trên sản phẩm
- Phân tích mã nguồn tĩnh cho các điểm yếu của phần mềm được xác định theo Số liệt kê chung (CWE)
- Phân tích nhị phân tĩnh cho các điểm yếu của phần mềm được xác định bởi Số lượng điểm yếu chung (CWE), phần mềm nguồn mở và thư viện của bên thứ ba
- Kiểm soát bảo mật cụ thể được xác định để sử dụng trong các sản phẩm làm giảm rủi ro bảo mật [...]
- Kiểm tra thâm nhập có cấu trúc của các sản phẩm dựa trên sai sót được xác định trong các thử nghiệm khác
- Đánh giá rủi ro giảm thiểu an ninh sản phẩm được thiết kế thành các sản phẩm.
Tuy nhiên, quy trình chính xác trong đó các thiết bị kiểm tra kỹ lưỡng của UL không rõ ràng (trừ khi bạn trả tiền để mua bộ thông số kỹ thuật đầy đủ), như Ars Technica lưu ý (và chỉ trích):
Khi Ars yêu cầu một bản sao của tài liệu UL 2900 để xem xét kỹ hơn về tiêu chuẩn, UL (trước đây gọi là Phòng thí nghiệm Underwriters) đã từ chối, cho biết rằng nếu chúng tôi muốn mua một mức giá bán lẻ sao chép, khoảng 600 bảng / 800 đô la cho toàn bộ chúng tôi được chào đón để làm như vậy. Các nhà nghiên cứu bảo mật độc lập cũng vậy, chúng tôi phải thừa nhận, chào mừng trở thành khách hàng bán lẻ của UL.
Mặc dù UL được tôn trọng, chúng tôi không thể cho rằng chứng nhận của họ đặc biệt hợp lý về mặt bảo mật mà không cần xem xét kỹ lưỡng hơn, mặc dù nó đáp ứng câu hỏi ban đầu.
Thật không may, tôi không thể tìm thấy bất kỳ tiêu chuẩn / chứng nhận mở nào về bảo mật, mặc dù điều này có thể là do các tài nguyên cần thiết sẽ quá lớn cho một hiệp hội phi lợi nhuận.