Gibt es ein Zertifikat, das die Sicherheitsstufe von IoT-Geräten angibt?

11

Gibt es ein zuverlässiges Zertifikat für IoT-Geräte, mit dem die bereitgestellte Sicherheit dieser Geräte verglichen werden kann? 1

Derzeit ist die IoT-Landschaft mit verschiedenen Protokollen, Standards und proprietären Lösungen vollständig verstreut. Auf der anderen Seite IoT - Geräte fallen zu Botnets wie Fliegen . Gibt es einen Standard, auf den Kunden vertrauen können, damit das Gerät einem bestimmten Sicherheitsniveau entspricht? Vielleicht sogar ein Zertifikat, das für die bereitgestellte Sicherheit bürgt?

Wenn es keinen aktuellen Standard gibt, gibt es vielversprechende Initiativen zur Schaffung eines solchen Standards?


1: Haftungsausschluss: Dies basiert auf dieser Frage von Area 51 eines Benutzers, der sich in der Verpflichtungsphase anscheinend nicht für die Website entschieden hat. Ich möchte es veröffentlichen, um den Umfang der Website zu definieren.

Helmar
quelle

Antworten:

10

UL (ehemals Underwriters Laboratories) bietet das Cybersecurity Assurance-Programm an, um zu bestätigen, dass ein Gerät für das Internet der Dinge ihrer Meinung nach vor den meisten größeren Bedrohungen geschützt ist.

Laut Ars Technica scheint UL in seinen Zertifizierungsprozessen hoch angesehen zu sein :

UL, die 122 Jahre alte Organisation für Sicherheitsstandards, deren verschiedene Marken (UL, ENEC usw.) Mindestsicherheitsstandards in so unterschiedlichen Bereichen wie elektrische Verkabelung, Reinigungsprodukte und sogar Nahrungsergänzungsmittel zertifizieren, befasst sich jetzt mit der Cybersicherheit des Internet of Things (IoT) -Geräte mit der neuen UL 2900-Zertifizierung.

UL beschreibt ihre Zertifizierung als:

  • Fuzz-Tests von Produkten zur Identifizierung von Zero-Day-Schwachstellen über alle Schnittstellen
  • Bewertung bekannter Schwachstellen bei Produkten, die nicht mithilfe des CVE-Schemas (Common Vulnerability Enumerations) gepatcht wurden
  • Identifizierung bekannter Malware auf Produkten
  • Statische Quellcode-Analyse für Software-Schwachstellen, die durch Common Weakness Enumerations (CWE) identifiziert wurden
  • Statische binäre Analyse auf Softwareschwächen, die durch Common Weakness Enumerations (CWE), Open Source-Software und Bibliotheken von Drittanbietern identifiziert wurden
  • Spezifische Sicherheitskontrollen zur Verwendung in Produkten, die das Sicherheitsrisiko verringern [...]
  • Strukturierte Penetrationstests von Produkten basierend auf Fehlern, die in anderen Tests identifiziert wurden
  • Risikobewertung der Produktsicherheitsminderung für Produkte.

Der genaue Prozess, bei dem UL Geräte überprüft, ist jedoch unklar (es sei denn, Sie zahlen für den Kauf des vollständigen Satzes von Spezifikationen), wie Ars Technica feststellt (und kritisiert):

Als Ars eine Kopie der UL 2900-Dokumente anforderte, um sich den Standard genauer anzusehen, lehnte UL (früher bekannt als Underwriters Laboratories) ab und gab an, dass, wenn wir eine Kopie kaufen wollten - der Verkaufspreis etwa 600 GBP / 800 USD für den gesamten Preis Set - wir waren dazu herzlich eingeladen. Unabhängige Sicherheitsforscher sind auch willkommen, UL-Einzelhandelskunden zu werden.

Obwohl UL respektiert wird, können wir nicht davon ausgehen, dass ihre Zertifizierung ohne weitere Prüfung in Bezug auf die Sicherheit besonders solide ist, obwohl sie die ursprüngliche Frage erfüllt.

Leider konnte ich keine offenen Standards / Zertifizierungen für Sicherheit finden, obwohl dies wahrscheinlich ist, weil die erforderlichen Ressourcen für einen gemeinnützigen Verein viel zu groß wären.

Aurora0001
quelle
3

Ich möchte der Antwort von Aurora0001 hinzufügen, dass wir nur vor bekannten Bedrohungen schützen können.

Kürzlich haben wir die Spectre- und Meltdown- Angriffe gegen Hardware gesehen . Während Intel-CPUs in IoT-Geräten nicht häufig verwendet werden, werden wir in Zukunft wahrscheinlich Sicherheitsprobleme mit IoT-Hardware feststellen. Zuvor haben wir Rowhammer und Heartbleed als allgemeine Fehler der Systemklasse gesehen , die eine große Anzahl von Systemen betreffen. Wenn das Internet der Dinge wächst, wird es meiner Meinung nach häufiger vorkommen, solche Schwachstellen zu erkennen.

Daher würde ich mich weniger auf Sicherheitszertifizierungen konzentrieren als vielmehr auf:

  • Offenheit, damit Dritte die Software bewerten können.
  • Angegebene Support-Lebensdauer, bei der der Hersteller Sicherheitsupdates garantiert
  • Aktualisierbarkeit, einschließlich automatischer Upgrades als Standardeinstellung.

Wenn angegeben wird, dass ein Gerät längere Zeit unterstützt wird und die Software standardmäßig automatisch aktualisiert wird, wenn neue Versionen erscheinen, werden die Auswirkungen von Sicherheitsproblemen verringert. Die Zertifizierung zeigt Ihnen nur, dass zum Zeitpunkt des Versands des Produkts keine Sicherheitslücken bekannt waren.

vidarlo
quelle
Heartbleed ist aus Sicht der Systembereitstellung möglicherweise ein Fehler der Systemklasse, aber es ist immer noch ein Fehler in einer bestimmten Software, die nur aktualisiert werden muss. Bessere Beispiele wären Angriffe auf das Protokoll selbst wie BEAST und CRIME.
Gilles 'SO - hör auf böse zu sein'
Der Punkt ist, dass Fehler an unwahrscheinlichen Stellen (CPUs) und in bekannter Software (Heartbleed) gefunden werden können. Daher müssen wir die Software patchen und aktualisieren. Aber ja - es gibt eine Vielzahl von Fehlern zur Auswahl.
Vidarlo
Zertifizierungen können sehr gut die Lebensdauer des Supports oder die Möglichkeit für Firmware-Updates umfassen - sogar Offenheit. Obwohl Sie richtig sind, dass dies sehr wichtige Punkte sind, verstehe ich nicht ganz, warum sie mit Zertifizierungen im Allgemeinen nicht kompatibel sind .
Helmar
2
@Helmar Leider sind ernsthafte Zertifizierungen von Natur aus ein Schwergewichtsprozess. Das Zertifizieren der ursprünglichen Version und des Aktualisierungsprozesses ist eine Sache, aber das Zertifizieren jedes Updates vor seiner Bereitstellung verursacht einen erheblichen Aufwand, der es schwierig macht, einen guten Zertifizierungsprozess einzurichten (bei dem Sicherheitsupdates nachträglich zertifiziert werden müssten - was dagegen spricht das Korn der Zertifizierung, da dies bedeutet, dass auf dem Gerät nicht zertifizierte Versionen ausgeführt werden).
Gilles 'SO - hör auf böse zu sein'
@ Gilles Ich bin damit einverstanden, dass man nur die Qualitätsprozesse der Softwareentwicklung oder ähnliches zertifizieren kann. Die Zertifizierung jeder Softwareversion ist nicht wirklich eine Option.
Helmar