Чи є сертифікат, який вказує на рівень безпеки пристроїв IoT?

11

Чи існує якийсь надійний сертифікат для пристроїв IoT, який можна використовувати для порівняння забезпеченості цих пристроїв? 1

В даний час ландшафт IoT повністю розпорошений різними протоколами, стандартами та фірмовими рішеннями. З іншого боку, пристрої IoT потрапляють до ботнетів, як мухи . Чи є там якийсь стандарт, якому клієнти можуть довіряти, щоб пристрій відповідав певному рівню безпеки? Можливо, навіть сертифікат, який підтверджує безпеку?

Якщо нинішнього стандарту немає, чи існують перспективні ініціативи щодо створення такого стандарту?

1: Відмова від відповідальності: Це ґрунтується на цьому питанні області 51 від користувача, який, здавалося б, не взяв на себе зобов'язання щодо сайту на стадії зобов'язання. Я хочу розмістити його, щоб допомогти визначити масштаб сайту.

security  standards  certifications 
Гельмар
джерело

Відповіді:

10

UL (колишня лабораторія андеррайтерів) надає Програму забезпечення кібербезпеки, щоб підтвердити, що пристрій Інтернет речей, на їхню думку, захищений від більшості основних загроз.

За інформацією Ars Technica, UL, здається, дуже поважають у своїх сертифікаційних процесах :

UL, 122-річна організація стандартів безпеки, чиї різні знаки (UL, ENEC та ін.) Підтверджують мінімальні стандарти безпеки в таких різних галузях, як електропроводка, чистячі засоби та навіть дієтичні добавки, зараз вирішують кібербезпеку Інтернету Прилади (IoT) з новою сертифікацією UL 2900.

UL описують їх сертифікацію як такі:

  • Тестування продуктів Fuzz для виявлення вразливості за нульовий день у всіх інтерфейсах
  • Оцінка відомих уразливостей на продуктах, які не були виправлені за допомогою схеми загального перерахування вразливості (CVE)
  • Ідентифікація відомих зловмисних програм на продуктах
  • Статичний аналіз вихідного коду для програмних слабкостей, виявлених загальними перерахунками слабкості (CWE)
  • Статичний бінарний аналіз на програмні слабкості, виявлені загальними перерахунками слабкості (CWE), програмним забезпеченням з відкритим кодом та бібліотеками сторонніх розробників
  • Конкретний контроль безпеки, визначений для використання в продуктах, що знижують ризик безпеки [...]
  • Структуроване тестування на проникнення продуктів на основі недоліків, виявлених в інших випробуваннях
  • Оцінка ризику пом'якшення безпеки продукту, розробленого в продуктах.

Однак точний процес, в якому UL перевіряють пристрої, є незрозумілим (якщо ви не платите за придбання повного набору специфікацій), як зазначає Ars Technica (і критикує):

Коли Ars попросила копію документів UL 2900, щоб детальніше ознайомитися зі стандартом, UL (раніше відомий як "Андеррайтер Лабораторії") відмовився, вказуючи, що якщо ми хочемо придбати копію - роздрібна ціна, близько 600 фунтів / 800 доларів за повну набір — ми були раді зробити це. Ми повинні припустити, що незалежні дослідники безпеки також стануть роздрібними клієнтами UL.

Хоча UL поважають, ми не можемо вважати, що їх сертифікація є особливо надійною з точки зору безпеки без подальшої перевірки, хоча це задовольняє оригінальний питання.

На жаль, я не зміг знайти жодних відкритих стандартів / сертифікатів на безпеку, хоча це, мабуть, тому, що потрібні ресурси будуть надто великими для некомерційної асоціації.

Aurora0001
джерело
3

Я хочу додати відповідь Aurora0001 про те, що ми можемо захистити лише від відомих загроз.

Останнім часом ми спостерігали напади Spectre та Meltdown на обладнання . Хоча процесори Intel не часто використовуються на пристроях IoT, ми, мабуть, в майбутньому матимемо проблеми із безпекою обладнання IoT. Раніше ми бачили Rowhammer і Heartbleed , як загальні помилки системного класу, що впливають на величезну кількість систем. У міру зростання IoT я вважаю, що подібні уразливості стануть звичнішими.

Тож я б менше зосереджувався на сертифікаціях безпеки, а більше на:

  • Відкритість, щоб треті сторони могли оцінювати програмне забезпечення.
  • Заявлений термін служби підтримки, коли виробник гарантує оновлення безпеки
  • Можливість оновлення, включаючи автоматичне оновлення як налаштування за замовчуванням.

Якщо декларація про те, що пристрій тривалий час підтримується, і за умовчанням автоматично оновлюється програмне забезпечення, коли виникають нові випуски, вплив проблем безпеки зменшиться. Сертифікація скаже лише вам, що не було відомо про помилки безпеки під час доставки товару.

vidarlo
джерело
Heartbleed може бути помилкою системного класу з точки зору розгортання системи, але це все-таки помилка в певному програмному забезпеченні, який просто потрібно оновити. Кращими прикладами може бути напад на сам протокол, наприклад BEAST та CRIME.
Жиль "ТАК - перестань бути злим"
Справа в тому, що помилки можна знайти в малоймовірних місцях (процесорах) та у добре відомих програмах (Heartbleed), тому нам потрібно виправлення та оновлення програмного забезпечення. Але так - помилок є на вибір.
vidarlo
Сертифікати можуть дуже добре включати тривалість підтримки або можливість оновлення програмного забезпечення - навіть відкритість. Тож якщо ви маєте рацію, що це дуже важливі моменти, я не зовсім розумію, чому вони взагалі несумісні з сертифікатами .
Гельмар
2
@Helmar На жаль, серйозні сертифікати є в основному важким процесом. Сертифікація початкової версії та процесу оновлення - одне, але сертифікація кожного оновлення перед його розгортанням додає значних витрат, що ускладнює встановлення хорошого процесу сертифікації (де оновлення безпеки повинні бути сертифіковані після факту - що суперечить зерна сертифікації, оскільки це означає, що пристрій буде працювати без сертифікованих версій).
Жил "ТАК - перестань бути злим"
@Gilles Я погоджуюся, що можна було лише засвідчити якісні процеси розробки програмного забезпечення або щось подібне. Сертифікація кожної версії програмного забезпечення насправді не є варіантом.
Гельмар
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.