Có chứng chỉ nào cho biết mức độ bảo mật của các thiết bị IoT không?

11

Có chứng chỉ đáng tin cậy nào cho các thiết bị IoT, có thể được sử dụng để so sánh bảo mật được cung cấp của các thiết bị này không? 1

Hiện tại, bối cảnh IoT hoàn toàn phân tán với các giao thức, tiêu chuẩn và giải pháp độc quyền khác nhau. Mặt khác, các thiết bị IoT rơi vào botnet như ruồi . Có tiêu chuẩn nào ngoài đó mà khách hàng có thể đặt niềm tin vào thiết bị để tuân thủ một mức độ bảo mật nhất định không? Thậm chí có thể là một chứng chỉ chứng nhận cho bảo mật được cung cấp?

Nếu không có tiêu chuẩn hiện tại, liệu có những sáng kiến ​​đầy hứa hẹn để tạo ra một tiêu chuẩn như vậy?

1: Tuyên bố miễn trừ trách nhiệm: Điều này dựa trên câu hỏi Khu vực 51 này từ một người dùng dường như không cam kết với trang web trong giai đoạn cam kết. Tôi muốn đăng nó để giúp xác định phạm vi của trang web.

security  standards  certifications 
Helmar
nguồn

Câu trả lời:

10

UL (trước đây là Phòng thí nghiệm của Underwriters) cung cấp Chương trình Đảm bảo An ninh mạng để chứng nhận rằng thiết bị Internet of Things, theo ý kiến ​​của họ, được bảo mật khỏi hầu hết các mối đe dọa lớn.

UL dường như rất được tôn trọng trong các quy trình chứng nhận của họ, theo Ars Technica :

UL, tổ chức tiêu chuẩn an toàn 122 tuổi có nhiều nhãn hiệu khác nhau (UL, ENEC, v.v.) chứng nhận các tiêu chuẩn an toàn tối thiểu trong các lĩnh vực đa dạng như hệ thống dây điện, sản phẩm làm sạch và thậm chí bổ sung chế độ ăn uống, hiện đang giải quyết vấn đề an ninh mạng của Internet Thiết bị Things (IoT) với chứng nhận UL 2900 mới.

UL mô tả chứng nhận của họ liên quan đến:

  • Kiểm tra Fuzz các sản phẩm để xác định lỗ hổng zero day trên tất cả các giao diện
  • Đánh giá các lỗ hổng đã biết trên các sản phẩm chưa được vá bằng cách sử dụng lược đồ liệt kê lỗ hổng phổ biến (CVE)
  • Xác định phần mềm độc hại đã biết trên sản phẩm
  • Phân tích mã nguồn tĩnh cho các điểm yếu của phần mềm được xác định theo Số liệt kê chung (CWE)
  • Phân tích nhị phân tĩnh cho các điểm yếu của phần mềm được xác định bởi Số lượng điểm yếu chung (CWE), phần mềm nguồn mở và thư viện của bên thứ ba
  • Kiểm soát bảo mật cụ thể được xác định để sử dụng trong các sản phẩm làm giảm rủi ro bảo mật [...]
  • Kiểm tra thâm nhập có cấu trúc của các sản phẩm dựa trên sai sót được xác định trong các thử nghiệm khác
  • Đánh giá rủi ro giảm thiểu an ninh sản phẩm được thiết kế thành các sản phẩm.

Tuy nhiên, quy trình chính xác trong đó các thiết bị kiểm tra kỹ lưỡng của UL không rõ ràng (trừ khi bạn trả tiền để mua bộ thông số kỹ thuật đầy đủ), như Ars Technica lưu ý (và chỉ trích):

Khi Ars yêu cầu một bản sao của tài liệu UL 2900 để xem xét kỹ hơn về tiêu chuẩn, UL (trước đây gọi là Phòng thí nghiệm Underwriters) đã từ chối, cho biết rằng nếu chúng tôi muốn mua một mức giá bán lẻ sao chép, khoảng 600 bảng / 800 đô la cho toàn bộ chúng tôi được chào đón để làm như vậy. Các nhà nghiên cứu bảo mật độc lập cũng vậy, chúng tôi phải thừa nhận, chào mừng trở thành khách hàng bán lẻ của UL.

Mặc dù UL được tôn trọng, chúng tôi không thể cho rằng chứng nhận của họ đặc biệt hợp lý về mặt bảo mật mà không cần xem xét kỹ lưỡng hơn, mặc dù nó đáp ứng câu hỏi ban đầu.

Thật không may, tôi không thể tìm thấy bất kỳ tiêu chuẩn / chứng nhận mở nào về bảo mật, mặc dù điều này có thể là do các tài nguyên cần thiết sẽ quá lớn cho một hiệp hội phi lợi nhuận.

Aurora0001
nguồn
3

Tôi muốn thêm vào câu trả lời của Aurora0001 rằng chúng ta chỉ có thể bảo vệ chống lại các mối đe dọa đã biết.

Gần đây, chúng ta đã thấy các cuộc tấn công của SpectreMeltdown chống lại phần cứng . Mặc dù CPU Intel không được sử dụng phổ biến trong các thiết bị IoT, nhưng chúng ta có thể sẽ gặp vấn đề về bảo mật với phần cứng IoT trong tương lai. Trước đây chúng ta đã thấy RowhammerHeartbleed , như lỗi hệ thống lớp học chung, ảnh hưởng đến số lượng lớn các hệ thống. Khi IoT phát triển, tôi tin rằng sẽ phổ biến hơn khi thấy các lỗ hổng như vậy.

Vì vậy, tôi sẽ tập trung ít hơn vào các chứng chỉ bảo mật và nhiều hơn về:

  • Sự cởi mở, để các bên thứ ba có thể đánh giá phần mềm.
  • Tuổi thọ hỗ trợ được nêu, trong đó nhà sản xuất đảm bảo cập nhật bảo mật
  • Nâng cấp, bao gồm nâng cấp tự động làm cài đặt mặc định.

Nếu một thiết bị được tuyên bố là được hỗ trợ trong một thời gian dài và mặc định tự động cập nhật phần mềm khi có bản phát hành mới, tác động của các vấn đề bảo mật sẽ giảm. Chứng nhận sẽ chỉ cho bạn biết rằng không có lỗi bảo mật nào được biết đến khi sản phẩm được xuất xưởng.

vidarlo
nguồn
Heartbleed có thể là một lỗi lớp hệ thống theo quan điểm triển khai hệ thống, nhưng nó vẫn là một lỗi trong một phần mềm cụ thể chỉ cần nâng cấp. Các ví dụ tốt hơn sẽ là tấn công vào chính giao thức, chẳng hạn như BEAST và CRIME.
Gilles 'SO- ngừng trở nên xấu xa'
Vấn đề là các lỗi có thể được tìm thấy ở những nơi không chắc chắn (CPU) và trong phần mềm nổi tiếng (Heartbleed), do đó chúng tôi cần vá và cập nhật phần mềm. Nhưng có - có rất nhiều lỗi để lựa chọn.
vidarlo
Các chứng chỉ rất có thể bao gồm hỗ trợ trọn đời hoặc khả năng cập nhật phần sụn ngay cả khi mở. Vì vậy, trong khi bạn chính xác rằng đó là những điểm rất quan trọng, tôi không hiểu tại sao chúng không tương thích với các chứng chỉ nói chung.
Helmar
2
@Helmar Thật không may, các chứng chỉ nghiêm túc vốn dĩ là một quá trình nặng nề. Xác nhận phiên bản ban đầu và quy trình cập nhật là một điều, nhưng xác nhận mỗi bản cập nhật trước khi được triển khai sẽ thêm một chi phí đáng kể, điều này gây khó khăn cho việc thiết lập quy trình chứng nhận tốt (trong đó cập nhật bảo mật sẽ phải được chứng nhận sau khi thực tế - đi ngược lại hạt chứng nhận, vì nó có nghĩa là thiết bị sẽ chạy các phiên bản không được chứng nhận).
Gilles 'SO- ngừng trở nên xấu xa'
@Gilles Tôi đồng ý người ta chỉ có thể chứng nhận các quy trình chất lượng của sự phát triển phần mềm hoặc một cái gì đó tương tự. Xác nhận mọi phiên bản phần mềm không thực sự là một lựa chọn.
Helmar
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.