Existe um certificado para indicar o nível de segurança dos dispositivos IoT?

11

Existe algum certificado confiável para dispositivos IoT que possa ser usado para comparar a segurança fornecida desses dispositivos? 1

Atualmente, o cenário da IoT está completamente disperso em diferentes protocolos, padrões e soluções proprietárias. Por outro lado, os dispositivos IoT caem nas redes de bots como moscas . Existe algum padrão no qual os clientes possam confiar em que o dispositivo atenda a um certo nível de segurança? Talvez até um certificado atestando a segurança fornecida?

Se não houver um padrão atual, existem iniciativas promissoras para criar esse padrão?


1: Isenção de responsabilidade: baseia-se nesta pergunta da Área 51 de um usuário que aparentemente não se comprometeu com o site no estágio de confirmação. Quero publicá-lo para ajudar a definir o escopo do site.

Helmar
fonte

Respostas:

10

A UL (ex-Underwriters Laboratories) fornece o Cybersecurity Assurance Program para certificar que um dispositivo da Internet das Coisas é, na opinião deles, seguro contra a maioria das ameaças importantes.

A UL parece ser altamente respeitada em seus processos de certificação, de acordo com a Ars Technica :

A UL, organização de padrões de segurança de 122 anos cujas várias marcas (UL, ENEC, etc.) certificam padrões mínimos de segurança em campos tão diversos quanto fiação elétrica, produtos de limpeza e até suplementos alimentares, agora está enfrentando a cibersegurança da Internet de Coisas (IoT) com sua nova certificação UL 2900.

A UL descreve sua certificação como envolvendo:

  • Teste confuso de produtos para identificar vulnerabilidades de dia zero em todas as interfaces
  • Avaliação de vulnerabilidades conhecidas em produtos que não foram corrigidos usando o esquema Common Vulnerability Enumerations (CVE)
  • Identificação de malware conhecido em produtos
  • Análise estática de código-fonte para deficiências de software identificadas por Common Weakness Enumerations (CWE)
  • Análise binária estática para fraquezas de software identificadas por Common Weakness Enumerations (CWE), software de código aberto e bibliotecas de terceiros
  • Controles de segurança específicos identificados para uso em produtos que reduzem o risco de segurança [...]
  • Ensaios estruturados de penetração de produtos com base em falhas identificadas em outros ensaios
  • Avaliação de risco da mitigação de segurança do produto projetada em produtos

No entanto, o processo exato no qual a UL examina os dispositivos não é claro (a menos que você pague para comprar o conjunto completo de especificações), como observa a Ars Technica (e critica):

Quando a Ars solicitou uma cópia dos documentos da UL 2900 para examinar mais de perto o padrão, a UL (anteriormente conhecida como Underwriters Laboratories) recusou, indicando que se desejássemos comprar uma cópia - preço de varejo, em torno de £ 600 / $ 800 pelo preço total conjunto - fomos bem-vindos a fazê-lo. Pesquisadores de segurança independentes também são, devemos assumir, bem-vindos para se tornarem clientes de varejo da UL.

Embora a UL seja respeitada, não podemos assumir que a certificação deles seja particularmente sólida em termos de segurança sem um exame mais aprofundado, embora satisfaça a pergunta original.

Infelizmente, não foi possível encontrar padrões / certificações abertas de segurança, embora isso seja provável porque os recursos necessários seriam muito grandes para uma associação sem fins lucrativos.

Aurora0001
fonte
3

Quero acrescentar à resposta do Aurora0001 que só podemos proteger contra ameaças conhecidas.

Recentemente, vimos os ataques Spectre e Meltdown contra hardware . Embora as CPUs da Intel não sejam comumente usadas em dispositivos IoT, provavelmente encontraremos problemas de segurança no hardware da IoT no futuro. Anteriormente, vimos Rowhammer e Heartbleed , como bugs gerais da classe do sistema, afetando um grande número de sistemas. À medida que a IoT cresce, acredito que será mais comum ver essas vulnerabilidades.

Então, eu focaria menos nas certificações de segurança e mais sobre:

  • Abertura, para que terceiros possam avaliar o software.
  • Vida útil do suporte declarada, em que o fabricante garante atualizações de segurança
  • Capacidade de atualização, incluindo atualizações automáticas como configuração padrão.

Se um dispositivo estiver sob suporte por um longo tempo, e o padrão for atualizar automaticamente o software quando ocorrerem novas versões, o impacto dos problemas de segurança será reduzido. A certificação informará apenas que não havia erros de segurança conhecidos quando o produto foi enviado.

vidarlo
fonte
O Heartbleed pode ser um bug de classe do sistema do ponto de vista da implantação do sistema, mas ainda é um bug em um software específico que só precisa ser atualizado. Exemplos melhores seriam ataques ao próprio protocolo, como BEAST e CRIME.
Gilles 'SO- stop be evil'
O ponto é que os bugs podem ser encontrados em locais improváveis ​​(CPUs) e em softwares conhecidos (Heartbleed), portanto, precisamos de correções e atualizações de software. Mas sim - há uma infinidade de bugs para escolher.
vidarlo 15/01/18
As certificações podem muito bem incluir a vida útil do suporte ou a capacidade de atualizações de firmware - até abertura. Portanto, enquanto você estiver certo de que esses são pontos muito importantes, não entendo por que eles são incompatíveis com as certificações em geral.
Helmar
2
@ Helmar Infelizmente, as certificações sérias são basicamente um processo pesado. Certificar a versão inicial e o processo de atualização é uma coisa, mas a certificação de cada atualização antes de sua implantação adiciona uma sobrecarga significativa, o que dificulta o estabelecimento de um bom processo de certificação (onde as atualizações de segurança precisariam ser certificadas após o fato - o que é contra o grão da certificação, pois significa que o dispositivo executará versões não certificadas).
Gilles 'SO- stop be evil'
@Gilles Concordo que só se pode certificar os processos de qualidade do desenvolvimento de software ou algo assim. Certificar todas as versões de software não é realmente uma opção.
Helmar