IoT cihazlarının güvenlik seviyesini belirten bir sertifika var mı?


11

IoT cihazları için bu cihazların sağlanan güvenliğini karşılaştırmak için kullanılabilecek güvenilir bir sertifika var mı? 1

Şu anda, IoT ortamı tamamen farklı protokoller, standartlar ve tescilli çözümlerle dağılmıştır. Öte yandan IOT cihazlar düşmek için botnet'ler gibi sinekler . Müşterilerin, cihazın belirli bir güvenlik düzeyine uyması için güvenebileceği herhangi bir standart var mı? Belki de sağlanan güvenlik için bir sertifika kefil olabilir?

Mevcut bir standart yoksa, böyle bir standart oluşturmak için umut verici girişimler var mı?


1: Feragatname: Bu, taahhüt aşamasında görünüşte siteye taahhüt vermeyen bir kullanıcının bu Alan 51 sorusuna dayanmaktadır. Ben sitenin kapsamını tanımlamak için göndermek istiyorum.

Yanıtlar:


10

UL (eski adıyla Underwriters Laboratories), Nesnelerin İnterneti cihazının kendi görüşlerine göre çoğu büyük tehditten korunduğunu onaylamak için Siber Güvenlik Güvence Programı sunar.

Ars Technica'ya göre UL, belgelendirme süreçlerinde büyük saygı görüyor :

Çeşitli markaları (UL, ENEC, vb.) Elektrik kabloları, temizlik ürünleri ve hatta diyet takviyeleri kadar çeşitli alanlarda asgari güvenlik standartlarını onaylayan 122 yaşındaki güvenlik standartları kuruluşu UL, Yeni UL 2900 sertifikası ile Things (IoT) cihazları.

UL sertifikalarını aşağıdakileri içerdiğini açıklar:

  • Tüm arabirimlerdeki sıfır gün güvenlik açıklarını tanımlamak için ürünlerin bulanık testleri
  • Ortak Güvenlik Açığı Numaralandırma (CVE) şeması kullanılarak yamalanmamış ürünlerdeki bilinen güvenlik açıklarının değerlendirilmesi
  • Ürünlerdeki bilinen kötü amaçlı yazılımların tanımlanması
  • Yaygın Zayıflık Numaralandırmaları (CWE) tarafından tanımlanan yazılım zayıflıkları için statik kaynak kodu analizi
  • Common Weakness Enumerations (CWE), açık kaynaklı yazılım ve üçüncü taraf kütüphaneler tarafından tanımlanan yazılım zayıflıkları için statik ikili analiz
  • Güvenlik riskini azaltan ürünlerde kullanılmak üzere belirlenmiş özel güvenlik kontrolleri [...]
  • Diğer testlerde tanımlanan kusurlara dayalı ürünlerin yapısal penetrasyon testi
  • Ürünlerde tasarlanmış ürün güvenliği azaltımının risk değerlendirmesi.

Ancak, kesin Ars Technica notu (ve criticize) ettiği için (özellikleri tam set satın ödeme sürece) işlem hangi UL İnceleme Altına cihazlar belli değildir:

Ars, standardı daha yakından incelemek için UL 2900 dokümanlarının bir kopyasını istediğinde, UL (eski adıyla Underwriters Laboratories olarak bilinir), bir kopya satın almak istersek, tam olarak 600 £ / 800 $ civarında olduğunu gösterir. set - bunu memnuniyetle karşılıyoruz. Bağımsız güvenlik araştırmacıları da, UL perakende müşterileri olmayı kabul etmeliyiz.

UL saygı rağmen, kabul edemeyiz orijinal soruyu tatmin etmez gerçi onların belgelendirme özellikle, daha ileri inceleme olmaksızın güvenlik açısından sesi olduğunu.

Ne yazık ki, güvenlik için açık standartlar / sertifikalar bulamadım, ancak bunun nedeni büyük olasılıkla kar amacı gütmeyen bir dernek için çok büyük olması gerektiğidir.


3

Sadece bilinen tehditlere karşı koruyabileceğimiz Aurora0001'in cevabına eklemek istiyorum.

Son zamanlarda, Spectre ve Meltdown'ın donanıma yönelik saldırılarını gördük . Intel CPU'lar IoT cihazlarında yaygın olarak kullanılmasa da, gelecekte muhtemelen IoT donanımıyla ilgili güvenlik sorunları bulacağız. Daha önce Rowhammer ve Heartbleed'i genel sistem sınıfı hatalar olarak gördük ve çok sayıda sistemi etkiledi. IoT büyüdükçe, bu tür güvenlik açıklarını görmenin daha yaygın bir yer olacağına inanıyorum.

Bu yüzden güvenlik sertifikalarına daha az odaklanacağım ve daha fazlası:

  • Açıklık, böylece üçüncü tarafların yazılımı değerlendirebilmesi.
  • Üreticinin güvenlik güncellemelerini garanti ettiği belirtilen destek ömürleri
  • Varsayılan ayar olarak otomatik yükseltmeler dahil olmak üzere yükseltilebilirlik.

Bir cihazın uzun süre destek altında olduğu belirtilirse ve yeni sürümler çıktığında yazılımı otomatik olarak güncellemeyi varsayılan olarak yaparsa , güvenlik sorunlarının etkisi azalacaktır. Sertifika sadece ürün sevk edildiğinde bilinen bir güvenlik hatası olmadığını söyleyecektir .


Heartbleed, sistem dağıtım açısından sistem sınıfı bir hata olabilir, ancak yine de yükseltilmesi gereken belirli bir yazılım parçasındaki bir hatadır. BEAST ve CRIME gibi protokolün kendisine daha iyi örnekler verilebilir.
Gilles 'SO- kötü olmayı kes'

Mesele şu ki, hatalar olası olmayan yerlerde (CPU'lar) ve iyi bilinen yazılımlarda (Heartbleed) bulunabilir, bu nedenle yazılımın yamalanması ve güncellenmesi gerekir . Ama evet - aralarından seçim yapabileceğiniz çok sayıda hata var.
vidarlo

Sertifikalar, destek ömrünü veya ürün yazılımı güncellemelerini, hatta açıklığı bile içerebilir. Bu yüzden bunların çok önemli noktalar olduğunu doğrularken, neden genel olarak sertifikalarla uyumsuz olduklarını tam olarak anlamıyorum .
Helmar

2
@Helmar Ne yazık ki, ciddi sertifikalar doğal olarak ağır bir süreçtir. İlk sürümü ve güncelleme işlemini onaylamak bir şeydir, ancak her güncellemenin konuşlandırılmadan önce sertifikalandırılması önemli bir ek yük getirir; belgelendirme tanesi, çünkü cihazın sertifikalı olmayan sürümleri çalıştıracağı anlamına gelir).
Gilles 'SO- kötü olmayı bırak'

@Gilles Ben sadece yazılım geliştirme kalite süreçleri ya da bunun gibi bir şey sertifika olabilir kabul ediyorum. Her yazılım sürümünü onaylamak gerçekten bir seçenek değildir.
Helmar
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.