มีใบรับรองเพื่อระบุระดับความปลอดภัยของอุปกรณ์ IoT หรือไม่

มีใบรับรองที่เชื่อถือได้สำหรับอุปกรณ์ IoT ซึ่งสามารถใช้เพื่อเปรียบเทียบความปลอดภัยที่จัดเตรียมไว้ให้ของอุปกรณ์เหล่านี้ได้หรือไม่? ¹

ปัจจุบันภูมิทัศน์ IoT นั้นกระจัดกระจายไปอย่างสมบูรณ์แบบด้วยโปรโตคอลมาตรฐานและโซลูชั่นที่เป็นกรรมสิทธิ์ที่แตกต่างกัน บนมืออื่น ๆ อุปกรณ์ IOT ตกไปbotnetsเช่นแมลงวัน มีมาตรฐานใดบ้างที่ลูกค้าสามารถให้ความไว้วางใจในอุปกรณ์เพื่อให้เป็นไปตามมาตรฐานความปลอดภัยระดับหนึ่ง? บางทีแม้แต่ใบรับรองการรับรองความปลอดภัยที่จัดไว้ให้?

หากไม่มีมาตรฐานปัจจุบันมีความคิดริเริ่มที่มีแนวโน้มว่าจะสร้างมาตรฐานดังกล่าวหรือไม่?

_{1: ข้อจำกัดความรับผิดชอบ: สิ่งนี้ขึ้นอยู่กับพื้นที่ 51 คำถามจากผู้ใช้ที่ดูเหมือนจะไม่ผูกพันกับไซต์ในขั้นตอนที่มีข้อผูกมัด ฉันต้องการโพสต์มันเพื่อช่วยกำหนดขอบเขตของเว็บไซต์}

UL (เดิมชื่อ Underwriters Laboratories) จัดทำโปรแกรมการรับประกันความปลอดภัยทางไซเบอร์เพื่อรับรองว่าอุปกรณ์ Internet of Things นั้นปลอดภัยจากภัยคุกคามที่สำคัญที่สุด

UL ดูเหมือนว่าจะได้รับความเคารพอย่างสูงในกระบวนการรับรองของพวกเขาตามArs Technica :

UL องค์กรมาตรฐานความปลอดภัยอายุ 122 ปีที่มีเครื่องหมายต่าง ๆ (UL, ENEC และอื่น ๆ ) รับรองมาตรฐานความปลอดภัยขั้นต่ำในสาขาต่างๆเช่นสายไฟฟ้าผลิตภัณฑ์ทำความสะอาดและแม้แต่ผลิตภัณฑ์เสริมอาหารกำลังจัดการกับความปลอดภัยทางอินเทอร์เน็ตของอินเทอร์เน็ต อุปกรณ์ Things (IoT) พร้อมการรับรอง UL 2900 ใหม่

UL อธิบายถึงการรับรองว่าเกี่ยวข้องกับ:

• การทดสอบฟัซซี่ของผลิตภัณฑ์เพื่อระบุช่องโหว่ที่ไม่มีวันใดผ่านอินเตอร์เฟสทั้งหมด
• การประเมินช่องโหว่ที่ทราบเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้รับการแก้ไขโดยใช้ Common Vulnerability Enumerations (CVE) scheme
• การระบุมัลแวร์ที่รู้จักในผลิตภัณฑ์
• การวิเคราะห์ซอร์สโค้ดแบบสแตติกสำหรับจุดอ่อนซอฟต์แวร์ที่ระบุโดย Common Weakness Enumerations (CWE)
• การวิเคราะห์ไบนารีแบบคงที่สำหรับจุดอ่อนของซอฟต์แวร์ที่ระบุโดย Common Weakness Enumerations (CWE) ซอฟต์แวร์โอเพนซอร์ซและห้องสมุดบุคคลที่สาม
• การควบคุมความปลอดภัยเฉพาะที่ระบุเพื่อใช้ในผลิตภัณฑ์ที่ลดความเสี่ยงด้านความปลอดภัย [... ]
• การทดสอบการเจาะแบบโครงสร้างของผลิตภัณฑ์ตามข้อบกพร่องที่ระบุในการทดสอบอื่น
• การประเมินความเสี่ยงของการลดความปลอดภัยของผลิตภัณฑ์ที่ออกแบบเป็นผลิตภัณฑ์

อย่างไรก็ตามกระบวนการที่แน่นอนซึ่ง UL กลั่นกรองอุปกรณ์ไม่ชัดเจน (เว้นแต่คุณจะจ่ายเงินเพื่อซื้อชุดข้อมูลจำเพาะทั้งหมด) ตามที่ Ars Technica note (และวิจารณ์):

เมื่อ Ars ขอสำเนาเอกสาร UL 2900 เพื่อตรวจสอบมาตรฐานที่ใกล้ชิดกว่านั้น UL (เดิมชื่อ Underwriters Laboratories) ปฏิเสธระบุว่าถ้าเราต้องการซื้อสำเนา - ราคาขายปลีกประมาณ 600 / $ 800 สำหรับฉบับเต็ม ชุด - เรายินดีให้ทำ นักวิจัยด้านความปลอดภัยอิสระก็ต้องยอมรับว่าเรายินดีที่จะเป็นลูกค้าค้าปลีกของ UL

ถึงแม้ว่า UL จะได้รับการยอมรับ แต่เราก็ไม่สามารถสรุปได้ว่าการรับรองของพวกเขานั้นมีความปลอดภัยโดยเฉพาะอย่างยิ่งหากไม่มีการตรวจสอบข้อเท็จจริงเพิ่มเติม

น่าเสียดายที่ฉันไม่สามารถหามาตรฐาน / การรับรองแบบเปิดใด ๆ ได้เพื่อความปลอดภัยแม้ว่าอาจเป็นเพราะทรัพยากรที่ต้องการนั้นใหญ่เกินไปสำหรับสมาคมที่ไม่แสวงหาผลกำไร

ฉันต้องการเพิ่มคำตอบของ Aurora0001 ที่เราสามารถป้องกันภัยคุกคามที่รู้จักเท่านั้น

เร็ว ๆ นี้เราได้เห็นผีและล่มสลายโจมตีฮาร์ดแวร์ แม้ว่า CPU ของ Intel จะไม่ได้ใช้กันทั่วไปในอุปกรณ์ IoT เราอาจพบปัญหาความปลอดภัยกับฮาร์ดแวร์ IoT ในอนาคต ก่อนหน้านี้เราเคยเห็นRowhammerและHeartbleedเป็นข้อบกพร่องระดับระบบทั่วไปที่มีผลต่อระบบจำนวนมาก เมื่อ IoT เติบโตขึ้นผมเชื่อว่าจะเป็นเรื่องธรรมดามากขึ้นที่จะเห็นช่องโหว่ดังกล่าว

ดังนั้นฉันจะมุ่งเน้นน้อยลงในการรับรองความปลอดภัยและอื่น ๆ เกี่ยวกับ:

• การเปิดกว้างเพื่อให้บุคคลภายนอกสามารถประเมินซอฟต์แวร์ได้
• อายุการใช้งานที่ระบุซึ่งผู้ผลิตรับประกันการอัพเดทความปลอดภัย
• ความสามารถในการอัปเกรดรวมถึงการอัปเกรดอัตโนมัติเป็นการตั้งค่าเริ่มต้น

หากมีการระบุว่าอุปกรณ์อยู่ในระหว่างการสนับสนุนเป็นเวลานานและค่าเริ่มต้นในการอัพเดตซอฟต์แวร์โดยอัตโนมัติเมื่อมีการเปิดตัวใหม่เกิดขึ้นผลกระทบของปัญหาด้านความปลอดภัยจะลดลง การรับรองจะบอกคุณว่าไม่มีข้อบกพร่องด้านความปลอดภัยที่รู้จักเมื่อจัดส่งผลิตภัณฑ์