IoT 장치에 대해 제공된 보안을 비교하는 데 사용할 수있는 신뢰할 수있는 IoT 장치 인증서가 있습니까? 1
현재 IoT 환경은 다양한 프로토콜, 표준 및 독점 솔루션으로 완전히 흩어져 있습니다. 반면에 만약 IoT 디바이스는 가을 에 봇넷 과 같은 파리 . 장치가 특정 수준의 보안을 준수하기 위해 고객이 신뢰할 수있는 표준이 있습니까? 제공된 보안을 위해 인증서를 보증 할 수도 있습니까?
현재 표준이 없다면, 그러한 표준을 만들기위한 유망한 계획이 있습니까?
1 : 고지 사항 : 이는 약정 단계에서 사이트에 커밋하지 않은 것으로 보이는 사용자 의이 Area 51 질문 을 기반으로 합니다 . 사이트 범위를 정의하는 데 도움이되도록 게시하고 싶습니다.
답변:
UL (이전의 Underwriters Laboratories) 은 사물 인터넷 장치가 대부분의 주요 위협으로부터 안전하다는 것을 증명 하기 위해 사이버 보안 보증 프로그램 을 제공 합니다.
Ars Technica 에 따르면 UL은 인증 프로세스에서 매우 존경받는 것으로 보입니다 .
전기 배선, 청소 제품, 심지어식이 보조제 등 다양한 분야에서 최소 안전 표준을 인증하는 UL (EN, ENEC 등) 인 UL은 현재 인터넷 보안에 대한 사이버 보안 문제를 해결하고 있습니다. 새로운 UL 2900 인증을받은 사물 (IoT) 장치.
UL은 다음과 같은 인증을 설명합니다.
- 모든 인터페이스에서 제로 데이 취약성을 식별하기위한 제품 퍼지 테스트
- CVE (Common Vulnerability Enumerations) 체계를 사용하여 패치되지 않은 제품의 알려진 취약성 평가
- 제품에서 알려진 맬웨어 식별
- CWE (Common Weakness Enumerations)로 식별 된 소프트웨어 취약점에 대한 정적 소스 코드 분석
- CWE (Common Weakness Enumerations), 오픈 소스 소프트웨어 및 타사 라이브러리로 식별 된 소프트웨어 취약점에 대한 정적 이진 분석
- 보안 위험을 감소시키는 제품에 사용하기 위해 식별 된 특정 보안 제어 [...]
- 다른 테스트에서 확인 된 결함을 기반으로 제품의 구조적 침투 테스트
- 제품으로 설계된 제품 보안 완화의 위험 평가
그러나 Ars Technica 메모 및 비판과 같이 UL 정밀 조사 장치 의 정확한 프로세스는 불분명합니다 (모든 사양을 구입하기 위해 지불하지 않는 한).
Ars가 표준을 자세히 살펴보기 위해 UL 2900 문서의 사본을 요청했을 때 UL (이전의 Underwriters Laboratories)은 가격을 낮추려고했는데 이는 사본을 구매하려는 경우 전체 소매 가격이 £ 600 / $ 800 정도임을 나타냅니다. 우리는 그렇게하도록 환영 받았다. 독립적 인 보안 연구원들도 UL 소매 고객이 되신 것을 환영합니다.
UL은 존중 받지만, 원래의 질문을 충족 시키지만 인증이 보안면에서 특히 건전 하다고 가정 할 수는 없습니다 .
안타깝게도 보안에 대한 공개 표준 / 인증을 찾을 수 없었습니다. 비영리 협회에 필요한 리소스가 너무 많기 때문일 수 있습니다.
알려진 위협으로부터 만 보호 할 수 있다는 Aurora0001의 답변에 추가하고 싶습니다.
최근 우리는 하드웨어 에 대한 스펙터 및 멜트 다운 공격을 보았습니다 . 인텔 CPU는 IoT 장치에서 일반적으로 사용되지 않지만 향후 IoT 하드웨어의 보안 문제를 발견 할 것입니다. 이전에는 일반적인 시스템 클래스 버그로 Rowhammer 와 Heartbleed가 많은 시스템에 영향을 미치는 것을 보았습니다 . IoT가 성장함에 따라 이러한 취약점을 발견하는 것이 일반적 일 것입니다.
따라서 보안 인증에 중점을 두지 않고 다음에 대해 자세히 설명합니다.
장치가 오랫동안 지원되는 것으로 명시되어 있고 새 릴리스가 발생할 때 소프트웨어를 자동 업데이트하도록 기본 설정하면 보안 문제 의 영향 이 줄어 듭니다. 인증은 제품 배송시 알려진 보안 버그 가 없음을 알려 줍니다.