UL (ehemals Underwriters Laboratories) bietet das Cybersecurity Assurance-Programm an, um zu bestätigen, dass ein Gerät für das Internet der Dinge ihrer Meinung nach vor den meisten größeren Bedrohungen geschützt ist.
Laut Ars Technica scheint UL in seinen Zertifizierungsprozessen hoch angesehen zu sein :
UL, die 122 Jahre alte Organisation für Sicherheitsstandards, deren verschiedene Marken (UL, ENEC usw.) Mindestsicherheitsstandards in so unterschiedlichen Bereichen wie elektrische Verkabelung, Reinigungsprodukte und sogar Nahrungsergänzungsmittel zertifizieren, befasst sich jetzt mit der Cybersicherheit des Internet of Things (IoT) -Geräte mit der neuen UL 2900-Zertifizierung.
UL beschreibt ihre Zertifizierung als:
- Fuzz-Tests von Produkten zur Identifizierung von Zero-Day-Schwachstellen über alle Schnittstellen
- Bewertung bekannter Schwachstellen bei Produkten, die nicht mithilfe des CVE-Schemas (Common Vulnerability Enumerations) gepatcht wurden
- Identifizierung bekannter Malware auf Produkten
- Statische Quellcode-Analyse für Software-Schwachstellen, die durch Common Weakness Enumerations (CWE) identifiziert wurden
- Statische binäre Analyse auf Softwareschwächen, die durch Common Weakness Enumerations (CWE), Open Source-Software und Bibliotheken von Drittanbietern identifiziert wurden
- Spezifische Sicherheitskontrollen zur Verwendung in Produkten, die das Sicherheitsrisiko verringern [...]
- Strukturierte Penetrationstests von Produkten basierend auf Fehlern, die in anderen Tests identifiziert wurden
- Risikobewertung der Produktsicherheitsminderung für Produkte.
Der genaue Prozess, bei dem UL Geräte überprüft, ist jedoch unklar (es sei denn, Sie zahlen für den Kauf des vollständigen Satzes von Spezifikationen), wie Ars Technica feststellt (und kritisiert):
Als Ars eine Kopie der UL 2900-Dokumente anforderte, um sich den Standard genauer anzusehen, lehnte UL (früher bekannt als Underwriters Laboratories) ab und gab an, dass, wenn wir eine Kopie kaufen wollten - der Verkaufspreis etwa 600 GBP / 800 USD für den gesamten Preis Set - wir waren dazu herzlich eingeladen. Unabhängige Sicherheitsforscher sind auch willkommen, UL-Einzelhandelskunden zu werden.
Obwohl UL respektiert wird, können wir nicht davon ausgehen, dass ihre Zertifizierung ohne weitere Prüfung in Bezug auf die Sicherheit besonders solide ist, obwohl sie die ursprüngliche Frage erfüllt.
Leider konnte ich keine offenen Standards / Zertifizierungen für Sicherheit finden, obwohl dies wahrscheinlich ist, weil die erforderlichen Ressourcen für einen gemeinnützigen Verein viel zu groß wären.