-
08/10/2013
-
401
-
989 bài viết
Một tiêu chuẩn yêu cầu bảo mật mới cho các thiết bị IoT
Hiện nay các thiết bị IoT đang được sản xuất và tiêu thụ với số lượng rất lớn nhưng câu hỏi đặt ra là những nhà sản xuất thiết bị IoT cần phải đảm bảo các yêu cầu bảo mật như thế nào cho các sản phẩm của họ và người tiêu dùng làm thế nào để đánh giá một sản phẩm IoT mà họ định mua có an toàn hay không? Bài viết này đề cập đến một tiêu chuẩn mới ban hành vào 9/2022, có thể giúp trả lời câu hỏi trên
Làm thế nào để chắc chắn rằng các thiết bị IoT đã đủ bảo mật?
Các thiết bị IoT thường ít được bảo mật hơn các thiết bị khác. Các thiết bị này vốn là các “hộp đen”, có nghĩa là chúng được quản lý bởi các nhà sản xuất, điều này khá khó khăn cho những người dùng có thể tìm hiểu và học hỏi cách kiểm soát những gì có hoặc không nên có trong một thiết bị. Thông thường, một người dùng bất kì nào đó cũng có thể dễ dàng dùng tool để dò quét các phần mềm cài đặt trên thiết bị phần cứng và OS để tìm hiểu về các lỗ hổng có trong thiết bị, tuy nhiên điều này rất khó thực hiện đối với một thiết bị đóng kín, đặc biệt là khi người dùng không biết phần mềm nào đang được cài đặt.
Đây là lý do tại sao người dùng nên được biết về thiết bị IoT họ đã mua. Càng nhiều người dùng được biết về các kỹ thuật bảo mật của nhà sản xuất trước khi họ mua thiết bị, càng dễ dàng đưa ra quyết định để:
- Nên hay không nên mua khi thiết bị đó mới đưa ra thị trường?
- Và sau khi quyết định mua, điều gì sẽ được áp dụng để kiểm soát – cả mặt pháp lý và kỹ thuật – những điểm yếu về bảo mật có thể được tìm thấy trong phần mềm và firmware được cài đặt trong sản phẩm (hoặc trong chương trình của nhà sản xuất)
Câu hỏi về kiểm soát bảo mật bao gồm:
Red Alert Lab (RAL) – một tổ chức thử nghiệm an toàn mạng hàng đầu Châu Âu có trụ sở tại Paris. Họ cung cấp các đánh giá và chứng nhận cho các thiết bị dựa trên tiêu chuẩn, bao gồm IEC 62443, Common Criteria (tiêu chí phổ biến) và ETSI 303 645. RAL cũng phối hợp với Cơ quan An ninh mạng Châu Âu để phát triển sơ đồ EUCC cho các sản phẩm CNTT và sơ đồ EUCS cho các dịch vụ cloud trọng bối cảnh đảm bảo Đạo luật an ninh mạng.
Thời gian gần đây, RAL trở thành 1 trong số 8 tổ chức trên thế giới được cung cấp các chứng nhận dựa trên các tiêu chuẩn được phát triển bới ioXT Alliance – một tiêu chuẩn quốc tế về bảo mật IoT, được hỗ trợ bởi nhiều tên tuổi lớn trong làng công nghệ như: Google, Amazon, T-Mobile. Comcast…. Các thiết bị có ioXT cert giúp người dùng và nhà cung cấp tự tin trong bối cảnh thế giới ngày càng phát triển về mặt kết nối thiết bị như hiện nay.
Bên cạnh việc đánh giá và cung cấp chứng chỉ, RAL giúp các tổ chức sử dụng thiết bị của họ để đánh giá các rủi ro an ninh mạng mà họ gặp phải từ các thiết bị mà họ đang xem xét. Sau khi mua thiết bị, RAL sẽ giúp các tổ chức đánh giá và giảm thiểu các lỗ hổng có tồn tại bên trọng phần mềm và firmware của thiết bị.
RAL sẽ sớm giúp người dùng đánh giá thiết bị mà họ sử dụng dựa trên NIST.IR 8425, “Profile of the IoT Core Baseline”. Tài liệu này được phát triển rõ ràng để đáp ứng theo Executive Order 14028 vào thàng 5 năm 2021, và kế thừa một số tài liệu bảo mật trước đó – bao gồm NIST.IR 8259. Tài liệu cũng đưa ra nhiều vấn đề mà NIST nhận được vào năm trước để đáp ứng yêu cầu của công chúng sau khi EO yêu cầu NIST đưa ra một chương trình an ninh mạng cho các thiết bị IoT.
NIST.IR 8425 là tài liệu hướng dẫn an ninh IoT chính của NIST trong tương lai gần, cũng như là câu trả lời của họ đối với Đạo luật cải thiện an ninh mạng IoT năm 2020.
Làm thế nào để chắc chắn rằng các thiết bị IoT đã đủ bảo mật?
Các thiết bị IoT thường ít được bảo mật hơn các thiết bị khác. Các thiết bị này vốn là các “hộp đen”, có nghĩa là chúng được quản lý bởi các nhà sản xuất, điều này khá khó khăn cho những người dùng có thể tìm hiểu và học hỏi cách kiểm soát những gì có hoặc không nên có trong một thiết bị. Thông thường, một người dùng bất kì nào đó cũng có thể dễ dàng dùng tool để dò quét các phần mềm cài đặt trên thiết bị phần cứng và OS để tìm hiểu về các lỗ hổng có trong thiết bị, tuy nhiên điều này rất khó thực hiện đối với một thiết bị đóng kín, đặc biệt là khi người dùng không biết phần mềm nào đang được cài đặt.
Đây là lý do tại sao người dùng nên được biết về thiết bị IoT họ đã mua. Càng nhiều người dùng được biết về các kỹ thuật bảo mật của nhà sản xuất trước khi họ mua thiết bị, càng dễ dàng đưa ra quyết định để:
- Nên hay không nên mua khi thiết bị đó mới đưa ra thị trường?
- Và sau khi quyết định mua, điều gì sẽ được áp dụng để kiểm soát – cả mặt pháp lý và kỹ thuật – những điểm yếu về bảo mật có thể được tìm thấy trong phần mềm và firmware được cài đặt trong sản phẩm (hoặc trong chương trình của nhà sản xuất)
Câu hỏi về kiểm soát bảo mật bao gồm:
- Thiết bị có cho phép mật khẩu phổ thông hay không? Nếu có, đó không phải là một tính năng an toàn.
- Thiết bị có thể cập nhật tự động hay không?
- Thiết bị có được áp dụng tiêu chuẩn mã hóa
- Nhà sản xuất có mặc định tắt các dịch vụ không sử dụng không?
- Nhà sản xuất có công bố các chính sách end-of-life của sản phẩm hay không? (end-of-life: sản phẩm không thể tiếp tục kinh doanh hay còn gọi là kết thúc vòng đời sản phẩm)
- Có chương trình Bug bounty dành cho các nhà nghiên cứu khi tìm thấy lỗ hổng bảo mật trong sản phẩm hay không?
Red Alert Lab (RAL) – một tổ chức thử nghiệm an toàn mạng hàng đầu Châu Âu có trụ sở tại Paris. Họ cung cấp các đánh giá và chứng nhận cho các thiết bị dựa trên tiêu chuẩn, bao gồm IEC 62443, Common Criteria (tiêu chí phổ biến) và ETSI 303 645. RAL cũng phối hợp với Cơ quan An ninh mạng Châu Âu để phát triển sơ đồ EUCC cho các sản phẩm CNTT và sơ đồ EUCS cho các dịch vụ cloud trọng bối cảnh đảm bảo Đạo luật an ninh mạng.
Thời gian gần đây, RAL trở thành 1 trong số 8 tổ chức trên thế giới được cung cấp các chứng nhận dựa trên các tiêu chuẩn được phát triển bới ioXT Alliance – một tiêu chuẩn quốc tế về bảo mật IoT, được hỗ trợ bởi nhiều tên tuổi lớn trong làng công nghệ như: Google, Amazon, T-Mobile. Comcast…. Các thiết bị có ioXT cert giúp người dùng và nhà cung cấp tự tin trong bối cảnh thế giới ngày càng phát triển về mặt kết nối thiết bị như hiện nay.
Bên cạnh việc đánh giá và cung cấp chứng chỉ, RAL giúp các tổ chức sử dụng thiết bị của họ để đánh giá các rủi ro an ninh mạng mà họ gặp phải từ các thiết bị mà họ đang xem xét. Sau khi mua thiết bị, RAL sẽ giúp các tổ chức đánh giá và giảm thiểu các lỗ hổng có tồn tại bên trọng phần mềm và firmware của thiết bị.
RAL sẽ sớm giúp người dùng đánh giá thiết bị mà họ sử dụng dựa trên NIST.IR 8425, “Profile of the IoT Core Baseline”. Tài liệu này được phát triển rõ ràng để đáp ứng theo Executive Order 14028 vào thàng 5 năm 2021, và kế thừa một số tài liệu bảo mật trước đó – bao gồm NIST.IR 8259. Tài liệu cũng đưa ra nhiều vấn đề mà NIST nhận được vào năm trước để đáp ứng yêu cầu của công chúng sau khi EO yêu cầu NIST đưa ra một chương trình an ninh mạng cho các thiết bị IoT.
NIST.IR 8425 là tài liệu hướng dẫn an ninh IoT chính của NIST trong tương lai gần, cũng như là câu trả lời của họ đối với Đạo luật cải thiện an ninh mạng IoT năm 2020.
Chỉnh sửa lần cuối bởi người điều hành: