Apakah ada sertifikat untuk menunjukkan tingkat keamanan perangkat IoT?

11

Apakah ada sertifikat yang dapat diandalkan untuk perangkat IoT, yang dapat digunakan untuk membandingkan keamanan yang disediakan perangkat ini? 1

Saat ini, lanskap IoT sepenuhnya tersebar dengan berbagai protokol, standar, dan solusi hak milik. Di sisi lain perangkat IoT jatuh ke botnet seperti lalat . Apakah ada standar di luar sana di mana pelanggan dapat mempercayai perangkat untuk mematuhi tingkat keamanan tertentu? Mungkin bahkan sertifikat menjamin keamanan yang disediakan?

Jika tidak ada standar saat ini, apakah ada inisiatif yang menjanjikan untuk membuat standar seperti itu?


1: Penafian: Ini didasarkan pada pertanyaan Area 51 dari pengguna yang tampaknya tidak berkomitmen ke situs dalam tahap komitmen. Saya ingin mempostingnya untuk membantu menentukan ruang lingkup situs.

Helmar
sumber

Jawaban:

10

UL (sebelumnya Underwriters Laboratories) menyediakan Program Jaminan Keamanan Siber untuk menyatakan bahwa perangkat Internet of Things, menurut pendapat mereka, aman dari sebagian besar ancaman utama.

UL tampaknya sangat dihormati dalam proses sertifikasi mereka, menurut Ars Technica :

UL, organisasi standar keamanan berusia 122 tahun yang berbagai mereknya (UL, ENEC, dll.) Mensertifikasi standar keamanan minimum di berbagai bidang seperti kabel listrik, produk pembersih, dan bahkan suplemen makanan, kini menangani keamanan dunia maya dari Internet. Perangkat Things (IoT) dengan sertifikasi UL 2900 yang baru.

UL menggambarkan sertifikasi mereka sebagai melibatkan:

  • Pengujian fuzz produk untuk mengidentifikasi kerentanan zero day atas semua antarmuka
  • Evaluasi kerentanan yang diketahui pada produk yang belum ditambal menggunakan skema Common Vulnerability Enumerations (CVE)
  • Identifikasi malware yang diketahui pada produk
  • Analisis kode sumber statis untuk kelemahan perangkat lunak yang diidentifikasi oleh Common Weakness Enumerations (CWE)
  • Analisis biner statis untuk kelemahan perangkat lunak yang diidentifikasi oleh Common Weakness Enumerations (CWE), perangkat lunak sumber terbuka dan perpustakaan pihak ketiga
  • Kontrol keamanan khusus yang diidentifikasi untuk digunakan dalam produk yang mengurangi risiko keamanan [...]
  • Pengujian penetrasi terstruktur atas produk berdasarkan cacat yang diidentifikasi dalam tes lain
  • Penilaian risiko mitigasi keamanan produk dirancang menjadi produk.

Namun, proses pasti di mana perangkat UL meneliti dengan tidak jelas (kecuali Anda membayar untuk membeli set lengkap spesifikasi), seperti catatan Ars Technica (dan mengkritik):

Ketika Ars meminta salinan UL 2900 dokumen untuk melihat lebih dekat pada standar, UL (sebelumnya dikenal sebagai Underwriters Laboratories) menolak, menunjukkan bahwa jika kami ingin membeli salinan — harga eceran, sekitar £ 600 / $ 800 untuk harga penuh. set — kami dipersilakan melakukannya. Peneliti keamanan independen juga harus berasumsi untuk menjadi pelanggan ritel UL.

Meskipun UL dihormati, kami tidak dapat berasumsi bahwa sertifikasi mereka sangat baik dalam hal keamanan tanpa pengawasan lebih lanjut, meskipun memenuhi pertanyaan awal.

Sayangnya, saya tidak dapat menemukan standar / sertifikasi terbuka untuk keamanan, meskipun ini mungkin karena sumber daya yang dibutuhkan akan terlalu besar untuk asosiasi nirlaba.

Aurora0001
sumber
3

Saya ingin menambahkan jawaban Aurora0001 bahwa kita hanya bisa melindungi dari ancaman yang diketahui.

Baru-baru ini, kita telah melihat serangan Spectre dan Meltdown terhadap perangkat keras . Sementara Intel CPU tidak umum digunakan dalam perangkat IoT, kami mungkin akan menemukan masalah keamanan dengan perangkat keras IoT di masa depan. Sebelumnya kita telah melihat Rowhammer dan Heartbleed , sebagai bug kelas sistem umum, yang memengaruhi sejumlah besar sistem. Seiring pertumbuhan IoT, saya yakin akan lebih umum untuk melihat kerentanan semacam itu.

Jadi saya akan kurang fokus pada sertifikasi keamanan, dan lebih banyak tentang:

  • Keterbukaan, sehingga pihak ketiga dapat mengevaluasi perangkat lunak.
  • Dukungan seumur hidup lainnya, di mana produsen menjamin pembaruan keamanan
  • Upgradeabilitas, termasuk peningkatan otomatis sebagai pengaturan default.

Jika suatu perangkat dinyatakan berada di bawah dukungan untuk waktu yang lama, dan secara default memperbarui perangkat lunak ketika rilis baru terjadi, dampak dari masalah keamanan akan berkurang. Sertifikasi hanya akan memberi tahu Anda bahwa tidak ada bug keamanan yang diketahui saat produk dikirim.

vidarlo
sumber
Heartbleed mungkin adalah bug kelas sistem dari sudut pandang penerapan sistem, tetapi itu masih bug dalam perangkat lunak tertentu yang hanya perlu ditingkatkan. Contoh yang lebih baik adalah serangan pada protokol itu sendiri, seperti BEAST dan CRIME.
Gilles 'SANGAT berhenti menjadi jahat'
Intinya adalah bahwa bug dapat ditemukan di tempat yang tidak biasa (CPU), dan dalam perangkat lunak yang terkenal (Heartbleed), sehingga kita perlu menambal dan memperbarui perangkat lunak. Tapi ya - ada banyak bug untuk dipilih.
vidarlo
Sertifikasi dapat mencakup dukungan seumur hidup atau kemampuan untuk memperbarui firmware — bahkan keterbukaan. Jadi, sementara Anda benar bahwa itu adalah poin yang sangat penting, saya tidak mengerti mengapa mereka tidak sesuai dengan sertifikasi secara umum.
Helmar
2
@Helmar Sayangnya, sertifikasi serius pada dasarnya merupakan proses kelas berat. Menyertifikasi versi awal dan proses pembaruan adalah satu hal, tetapi mensertifikasi setiap pembaruan sebelum disebarkan menambah overhead yang signifikan, yang membuatnya sulit untuk membangun proses sertifikasi yang baik (di mana pembaruan keamanan harus disertifikasi setelah fakta - yang bertentangan dengan butir sertifikasi, karena itu berarti perangkat akan menjalankan versi yang tidak bersertifikat).
Gilles 'SANGAT berhenti menjadi jahat'
@Gilles Saya setuju orang hanya bisa menyatakan proses kualitas pengembangan perangkat lunak atau sesuatu seperti itu. Sertifikasi setiap versi perangkat lunak sebenarnya bukan opsi.
Helmar