Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
Satıcılar Cihaz Güvenliği için ‘Net, Tutarlı ve Uygulanabilir Bilgi’ İstiyor
Mathew J. Schwartz (euroinfosec) •
25 Ekim 2023
Teknoloji satıcılarından oluşan bir konsorsiyum, IoT güvenlik ilkeleri listesinde, her Nesnelerin İnterneti cihazıyla ilgili temel, gerçek zamanlı güvenlik bilgilerinin satın almadan önce ve sonra tüketicilere açıkça iletilmesi gerektiğini söylüyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Google’da Android güvenlik çalışmalarına liderlik etmeye yardımcı olan David Kleidemacher ve Eugene Liderman, tüketicilerin IoT satın alma kararlarına ve satın alma sonrası güvenlik eylemlerine rehberlik etmek için “cihazın güvenliği hakkında daha net, tutarlı ve uygulanabilir bilgilere” ihtiyaç duyduğunu söyledi. önerileri destekliyoruz. Daha iyi şeffaflığın, bağlı cihaz ekosistemindeki tüm oyuncular arasında güvenlik için daha iyi koordinasyonu kolaylaştırması gerektiğini söylediler.
Piyasa gözlemcileri şu anda 17 milyar IoT cihazının kullanımda olduğunu tahmin ediyor ve bu sayının 2030 yılına kadar 25 milyara çıkması bekleniyor. Bu tür cihazlar, ev de dahil olmak üzere tüketiciler tarafından ev içinde veya dışında kullanılabilecek her türlü internet bağlantılı donanımı ifade ediyor. ve küçük ofis yönlendiricileri, internet bağlantılı ev güvenlik kameraları ve cihazları, fitness takip cihazları, GPS takip cihazları, tıbbi cihazlar, garaj kapısı açıcıları, bebek monitörleri ve Amazon Alexa ve Google Assistant gibi sesli asistan teknolojisine sahip hoparlörler.
IoT cihazları, özellikle birçoğunun varsayılan şifreleri kullanması veya temel korumalardan bile yoksun olması nedeniyle saldırganlar için en büyük hedeflerdir. İlk olarak 2018 yılında IoT cihazlarının varsayılan ayarlarından yararlanılarak dünya çapında yayılan Mirai botnet’in kaynak kodu ücretsiz olarak kullanılabilir durumda. Saldırganlar, diğer taktiklerin yanı sıra, yeni büyük ölçekli IoT güvenliği ihlal kampanyaları oluşturmak ve başlatmak için Mirai kodunu kullanmaya devam ediyor (bkz: Bilgisayar Korsanları Mirai Botnet Oluşturmak İçin TP-Link’in N-Day Kusurunu İstismara Uğradı).
5 IoT Güvenlik Şeffaflığı Önerisi
Yardım etmek amacıyla, ilk olarak Google tarafından geçen Kasım ayında açıklanan “Tüketici IoT Güvenliği Şeffaflığı için Önerilen İlkeler”, tüm IoT cihazlarının, bir cihazın ne kadar süreyle yama ve teknik destek alacağını ve ne tür güvenlik önlemleri alacağını açıkça belirten gerçek zamanlı etiketleri kullanması çağrısında bulunuyor. diğer güvenlik özelliklerinin yanı sıra cihazın sunduğu kimlik doğrulama desteği.
Teklifler 10 işletme tarafından destekleniyor: ARM, Assa Abloy, Google, HackerOne, Keysight, NXP, OpenPolicy, Rapid7, Schlage ve Silicon Labs.
Bunlar beş IoT güvenlik şeffaflığı teklifidir:
- Etiketleme: Üzerinde QR kodu veya bağlantı bulunan basılı bir etiket olan “canlı” etiketler, tüketicileri, alıcıları ve üreticileri rahatsız eden gerçek zamanlı ve uygulanabilir bilgiler sağlayan bir siteye veya hizmete yönlendirecektir. Teklif, yeni tehditlerin ne kadar hızlı ortaya çıkabileceği ve bu tür güvenceleri zayıflatabileceği göz önüne alındığında, cihazın güvenlik sertifikalı olduğunu ima eden basılı etiketlerin veya yıldız bazlı derecelendirme sisteminin kullanımının yasaklanmasını talep ediyor.
- Standartlar: Etiketlerin, Connectivity Standards Alliance ve GSMA tarafından geliştirilen ve ABD Ulusal Standartlar ve Teknoloji Enstitüsü gibi kuruluşların kılavuzlarına referans veren, uluslararası düzeyde güvenilebilecek az sayıdaki güvenlik ve gizlilik değerlendirme programlarından birine referans vermesi gerekir. Teklife göre OWASP – Dünya Çapında Açık Uygulama Güvenliği Projesi.
- Temel çizgiler: Teklifte, cihazların minimum, belirlenmiş güvenlik temellerine uyması ve satıcıların daha fazlasını yapması için “bunun üzerinde esneklik” sağlaması gerektiği belirtiliyor. Örnekler arasında biyometrik kimlik doğrulayıcının gücünün yanı sıra satıcının vaat ettiği destek süresi ve cihaz için güvenlik güncellemeleri yer alıyor.
- Şeffaflık: “Geniş tabanlı şeffaflık minimum çubuk kadar önemlidir”, bu da tüketicilerin minimum standartları belirlemenin ötesinde ek özellikleri veya yetenekleri karşılaştırma ve karşılaştırma yollarına da ihtiyaç duyduğu anlamına geliyor.
- Teşvikler: Teklife göre, satıcıların, perakendecilerin ve geliştiricilerin, güvenlik etiketlemesini benimsemek ve teşvik etmek için “havuç ve sopa karışımına” ihtiyacı var; teklife göre, birçok ülkede muhtemelen “gönüllü rejimler” olmaya devam edecek olan ulusal zorunluluklar üzerinde en büyük etki potansiyeline sahip.
İmzacılar, tekliflerin temel taşının, yeni tehditlerin ne kadar hızlı ortaya çıkabileceğiyle başa çıkmak için tasarlanmış canlı etiketlerin kullanılması olduğunu söylüyor. Satın alındığında güvenli olduğu değerlendirilen bir cihaz, prize takıldığında güvensiz hale gelebilir (bkz.: Saldırıya Uğrayan Cisco IOS XE Cihazlarının Sayısı Beklenmedik Bir Şekilde Düştü).
İmzacılar ortak bir bildiride, “Tehdit ortamı her zaman gelişiyor ve her an yeni güvenlik açıkları keşfedilebilir” dedi. “Dijital bir ürünün uyumluluğunda önemli değişiklikler varsa veya sertifikasını kaybederse canlı etiket bunu yansıtmalıdır.”
Teklif, cihazların değerlendirilmesi için güçlü standartların ve yetkili test laboratuvarlarının kullanılmasını gerektirirken, aynı zamanda, özellikle yeni tehditler ortaya çıktıkça ve cihazlar potansiyel tehlikelere maruz kaldığında, bağımsız güvenlik araştırmacılarının “üreticiler tarafından öne sürülen uyumluluk iddialarını baskı testine tabi tutmasına” olanak tanıyan bir mekanizmanın olması gerektiğini söylüyor. uyum dışına çıkmak. Teklif aynı zamanda üreticilere “kitle kaynaklı araştırmanın” gücünden yararlanmak için teşviklerle desteklenen hata ödülleri yaratmaya çağrıda bulunuyor.
Ulusal Teklifler
Grubun önerileri, tüketicilerin hack saldırılarına karşı güçlü koruma sunan cihazları seçmelerine yardımcı olmak için tasarlanmış bir dizi ulusal girişimi takip ediyor.
Birleşik Krallık’ta Ürün Güvenliği ve Telekomünikasyon Altyapı Yasası 24 Nisan 2024’te yürürlüğe girecek. Yasa, Birleşik Krallık’ta satılan tüm IoT cihazı üreticilerinin minimum güvenlik gereksinimlerini karşılamasını gerektirecek. Parlamento bu güvenlik gereksinimlerinin ne olacağı konusunda henüz anlaşmaya varmadı, ancak bu düzenlemelerin bu yıl tartışılması bekleniyor.
Amerika Birleşik Devletleri’nde Federal İletişim Komisyonu, pazardaki daha yüksek güvenlik standartlarına uygun ürünleri öne çıkararak tüketicilerin daha bilinçli kararlar almasına yardımcı olacak bir Siber Güven İşareti programı önerdi. Kablosuz iletişim cihazlarını düzenleyen FCC, şu anda etiketleme programı hakkında kamuoyunun görüşünü almak istiyor ve programın 2025’ten önce çalışır hale getirilmesini umuyor.