NIST pareigūnas perspėja dėl tik įrenginių požiūrio į daiktų internetą apsaugoti


Federalinėms agentūroms artėjant Kongreso terminui kontroliuoti įrenginių, galinčių prisijungti prie interneto, pirkimą, pagrindinis Nacionalinio standartų ir technologijų instituto pareigūnas pabrėžė debesijos paslaugų ir kitų infrastruktūros teikėjų (ne tik įrenginių gamintojų) vaidmenį mažinant kibernetines atakas. kurie siekia išnaudoti savo ryšį.

„Produktas dažnai yra daugiau nei tik koks [customers] įdiegė“, iš dėžutės, kurią jie perka iš lentynos, sakė Katerina Megas, valdanti NIST kibernetinio saugumo programą daiktų internetui. „Dažnai yra mobilioji programėlė, kuri valdo prieigą prie įrenginio, [that] leidžia pasiekti įrenginyje esančius duomenis; tai gali leisti jį įjungti ir išjungti. Dažnai tas įrenginys yra prijungtas prie debesies.

Megas antradienį kalbėjo renginyje, kurį surengė Amerikos įmonių institutas. Ji vadovavo NIST gamybai a dokumentų serija kurios kartu sudaro orientavimo agentūras pagal IoT kibernetinio saugumo tobulinimo įstatymą – dviejų partijų įstatymo projektą, kuriuo Kongresas buvo patvirtintas 2020 m. pabaigoje, kartu su didelis pagyrimas iš kibernetinio saugumo pareigūnų.

Tarp dokumentų yra katalogas įrenginio galimybes agentūros gali pasinaudoti pranešdamos apie naujus pirkimų reikalavimus, kurie, kaip pažymėjo „Mega“, pagal įstatymą turi būti aktyvuoti gruodžio mėnesį. Agentūros gali svarstyti galimybę reikalauti, kad pardavėjai leistų jiems pakeisti slaptažodžius, reikalingus norint pasiekti savo įrenginius, pavyzdžiui, pagal katalogą.

Kartu su IoT kibernetinio saugumo tobulinimo aktu NIST taip pat nurodo dokumentų rinkinį – 8259 seriją –, kurie atsirado vadovaujantis prezidento Donaldo Trumpo vykdomuoju įsakymu. Tuo 2017 m. gegužės mėn. įsakymu buvo siekiama sukurti „atsparumą robotų tinklams ir kitoms automatizuotoms, paskirstytoms grėsmėms“. Ir tai lėmė a planas kuriame išdėstyti vaidmenys ir atsakomybė ne tik įrenginio gamintojui, bet ir galutiniams įmonių naudotojams bei interneto paslaugų teikėjams, kurie tiekia juos tarpusavyje jungiančią infrastruktūrą.

„Turime užtikrinti, kad nepamirštume, kaip viskas yra tarpusavyje susiję“, – sakė Megas. „Mes visada perspėjome: „Nesakykime, kad atsakomybė už kibernetinį saugumą yra [only with] prietaisų gamintojai.“ Tai tikrai ekosistema. Negalite tikėtis, kad įrenginys bus saugus, nes jis taip tarpusavyje susijęs.

2018 m. veiksmų planas buvo įtrauktas iš pagrindinių pramonės suinteresuotųjų šalių, įskaitant telekomunikacijų pramonę, kuri sutiko apie priemonių, skirtų apsaugoti interneto maršruto parinkimo sistemas, pvz., „Border Gateway Protocol“, svarbą apsaugant nuo botnetų atakų, kai įsilaužėliai gali paskatinti plačiai atsisakyti paslaugų visame tinkle nuotoliniu būdu valdydami užgrobtus daiktų interneto įrenginius.

Tačiau kaip ir kitos federalinės agentūros kreiptis į Federalinę ryšių komisiją norėdama apsvarstyti galimybę pereiti nuo savanoriškų pramonės iniciatyvų, skirtų maršrutų parinkimo sistemos pažeidžiamumui pašalinti, pramonė prieštarauja tokiam reguliavimui.

„Gerbkite interneto daugelio suinteresuotųjų šalių standartų kūrimo procesą“, – rašoma a Lapkričio mėn. 2 pranešimai iš Plačiajuosčio interneto techninių konsultacijų grupės, ne pelno siekiančios organizacijos, remiamos tokių interneto paslaugų teikėjų kaip „Comcast“ ir „AT&T“. “Jei svarstomas reguliavimas, nustatykite tikslus, o ne nurodykite technologijas.”

Scenoje su „Mega“ per AEI renginį Brianas Scriberis, „CableLabs“ – kabelių pramonės prekybos asociacijos, tiekiančios tokius įrenginius kaip kabelių dėžės, modemai ir maršrutizatoriai – saugumo ir privatumo technologijų viceprezidentas, taip pat susidūrė su NIST aspektu. agentūrų IoT pirkimų gairės.

Pati pirmoji įrenginio galimybė, nurodyta NIST galimų reikalavimų kataloge, yra įrenginio galimybė identifikuoti save. NIST įžvelgė įrenginių gamintojų naudingumą, įskaitant vadinamąjį gamintojo naudojimo aprašymą (arba MUD) savo gaminiuose, susijusius su agentūros projektu, vadinamu „įrenginio ketinimo signalizacija“.

„Įrenginys gali išsiųsti pranešimą maršrutizatoriams ir pasakyti: „Aš esu lemputė… Aš neturėčiau kalbėti su termostatu savo namuose“. Ši lemputė neturėtų kalbėti su kitais dalykais“, – projektą apibūdino Megas.

Nurodydamas įmonių klientų, tokių kaip agentūros, pareigas, Scriberis sakė:[MUD] užkrauna keistą prievolę kažkam kitam išspręsti problemą pasroviui“, – pridūrė: „nėra ekonominio motyvo grįžti ir būtinai atnaujinti tą įrenginį“.

Megas gynė MUD įtraukimą į NIST gaires, remdamasi a panašus dokumentas agentūra parengė apibūdindama klientų daiktų interneto pareigas, susijusias su prezidento Joe Bideno vykdomuoju įsakymu dėl kibernetinio saugumo. Ji pabrėžė, kad suinteresuotosios šalys turi įsisavinti „gilumos gynybos“ sąvoką, siekiant veiksmingai pagerinti daiktų interneto kibernetinį saugumą taikant visapusišką požiūrį.