IoTデバイスのセキュリティを評価するための共通の基準はありますか?
分類用コンピュータビジョン/機械学習アルゴリズムの実装に関する論文を書くとき、単純に正(正)のネガ/正の数、および負(不正)のネガ/正の数を数えることができます。しかし、IoTデバイスとそのセキュリティを評価する方法はありますか?評価を説明するにはどうすればよいですか?
私がこれを尋ねる理由は、あなたが論文を書くとき、通常、評価セクションがあり、それへのアプローチ方法について私が混乱しているからです。
私が考えることができる唯一のことは、セキュリティ対策の総数をリストすることです。
人々がモノのインターネットについて考えるとき。ほとんどの人は、さまざまなオペレーティングシステムと機能の無数のビルドを備えたさまざまなデバイスについて考えています。
ただし、個々の部分からではなく全体として見ると、それほど複雑ではありません。オペレーティングシステムの選択に応じて。ほとんどには独自のセキュリティガイドがあり、アプリケーションは実際にはサーバーやワークステーションとそれほど変わりません。
強化とセキュリティの実装
以下のガイドを参照することを検討できますが、これらに限定されません。デバイスを保護するため。
IOTセキュリティの評価
テストに関しては、ガイドとしてこれを手助けすることから始めると言います
ソフトウェアセキュリティの評価
ソフトウェアのセキュリティ評価に関しては、あなたの場合はコンピュータビジョン/機械学習です。さらに、iotデバイスではなく、コーディングレベルと構成でセキュリティの評価を採用することもできます。
ここにソフトウェアのセキュリティに関するいくつかのリファレンスがあります
IoTセキュリティフレームワーク
IoTセキュリティフレームワークは一般に、ウェアラブル、家庭、都市、環境、エンタープライズの5つのカテゴリに分類されます。通常、エンタープライズソフトウェアは OWASP IoTプロジェクト が含まれるOWASPの管理下にあります。エンタープライズソフトウェアはPIIおよび支払いカード情報を処理することが多いため、PCI DSS規制に該当します。まだ厳密に規制されていませんが、DHS- https://www.dhs.gov/securingtheIoT -the FTC- https://www.ftc.gov/tips-advice/business-center/guidance/careful-connections-building-security-internet-things -およびENISA- https:// www。 enisa.europa.eu/topics/iot-and-smart-infrastructures -IoTセキュリティに関するガイダンスとサポートドキュメントも公開しています。
ホームIoTデバイスとアプリには、通常、iOS(まあ、または tvOS )、Android、または同様のオペレーティングシステムベースが含まれます。 ISVがこれらのプラットフォーム用のアプリを開発している場合は、OWASPをもう一度確認してください。 モバイルセキュリティプロジェクト および ASVS標準 で、V17モバイルセキュリティ検証要件を確認してください。カスタムOSまたはスタックを含む家庭用IoTデバイスを積極的に作成する場合は、場所(デバイスが開発、購入、および使用される国および/または州)によって規定された規制要件に加えて、デバイスを使用するトランザクションとユーザーの種類。たとえば、ベビーモニターはCOPPA、ハートモニターはHIPAAおよびHITECH、食品および医薬品はFDAに該当します。
米軍の場合、NIST RMFを含むDIACAPおよびDITSCAP規格が、IoTを含むすべてのコンピューティングデバイス、特にウェアラブルを管理します。
環境と都市ベースのIoTは ICS/SCADA テクノロジーにはるかに似ています。 NISTは、環境、都市、およびICSを含むプログラムをすべて選択し、サイバーフィジカルシステム(CPS)のバナーの下に置き、ここで標準とフレームワークを作成します- https:// www .nist.gov/el/cyber-physical-systems ICS/SCADAシステムの場合、NIST SP 800-82 Guide to Industrial Control Systemsは長い標準でしたが、重要なインフラストラクチャ保護に関するNERC/FERCコンプライアンス標準、特にシステムセキュリティ管理(CIP-007-5)に関するセクション、ならびに国際自動化学会およびそのすべてを包括するものへのつながり ISA/IEC 6244 標準(以前のISA-99)。 CIP-007-5は、NIST SP 800-92およびSP 800-137を含む、セキュリティイベントモニタリングに関する他のNIST標準にも準拠していますが、継続的な診断とモニタリングに関する最新の情報は、 DHS CDMフレームワーク。これらはすべて、産業用モノのインターネット(IIoT)に適用できます。
IoTセキュリティプラットフォーム
IoT/IoEセキュリティフレームワークに基づいてレポートをアクティブにスキャンおよび生成できるプラットフォームについては、Pwnie ExpressのPwn Pulseプラットフォームをチェックしてください http://m.marketwired.com/press-release/pwnie_express_unveils_industrys_first_internet_of_everything_threat_detection_system-2010032 .htm
セキュリティを有効にしてサイバーリスクを軽減するIoTデバイスの標準インターフェイスの作成に取り組んでいる他の企業については、(Bastille、Securithings、Dojo Labs(Bullguardが買収)、およびBitDefenderを(最も目立つものから最も目立たないものの順に)確認してください。 (誰がIoTとsmart-thingsのセキュリティイネーブラー、BOXを作成するか)。組み込みシステムのセキュリティにおける長年のリーダーであるWindRiverも、IoTセキュリティについて詳述した論文を発表しました-[PDF] https://www.windriver.com/whitepapers/security-in-the-internet-of- things/wr_security-in-the-internet-of-things.pdf [PDF]
さらに、IoTデバイスとIoTサービスレイヤーアプリ間のミドルウェアレイヤーをつないでいる企業はごくわずかです。確かに、大企業はその役割を果たしていますが、通常はCisco Fog Computing(Microsoft Azure IoT Suite、IBM Watson IoTプラットフォームなど)の独自のインターフェイスを使用して、独自の方法で独自に処理を行っています。 IoTのゲームを変えるキープレーヤーは、ミドルウェアやアプリ、特にクラウドアプリの標準を提供するだけでなく、非常に重要な計測レイヤーで働いています。 NCCグループは、これらおよびその他のセキュリティテスターのガイドラインをここに公開しました https://www.nccgroup.trust/uk/our-research/security-of-things-an-implementers-guide-to-cyber-security -for-internet-of-things-devices-and-beyond /
AWSはIoTセキュリティのベストプラクティスに関するガイダンスを公開しています- https://aws.Amazon.com/iot/ -また、ミドルウェアレイヤーをThing Shadowプロジェクト(MQTT IoTプロトコル標準をサポート)を通じて提供しています)- https://docs.aws.Amazon.com/iot/latest/developerguide/thing-shadow-mqtt.html
Splunkは、IoTおよびFuture-IoEテクノロジーからクラウドベース(Splunk Cloud、AWSなど)のマシンデータを受信するHTTPイベントコレクター(HEC)と呼ばれる製品を開発しました-[PDF] https:// conf。 splunk.com/files/2016/slides/wrangling-your-iot-data-into-splunk.pdf [PDF]。特に、HECは token-authenticated events をサポートしており、IoTのセキュリティ機能として優れています。
Q。
IoTデバイスとそのセキュリティを評価する方法はありますか?
「あなたが論文を書くとき、その評価セクションがありますが、そこには何を書きますか?」
A。
IOTは非常に広い領域であり、ドキュメントで利用できる単一の「キャッチオール」標準があるとは思えません。ユーザーがIOTデバイスを使用する環境にも依存します。
理想的には、セキュリティスペシャリストを雇って、デバイスで脆弱性スキャン/侵入テストを行うことをお勧めします。このエンゲージメントには、コードのレビューや、今後のデバイスの保護方法(パッチ適用、脆弱性管理など)に関する議論も含まれます。このプロセスの出力は、ドキュメントで利用できます。
また、必要なセキュリティ管理策にも影響するため、目的の展開シナリオに関する情報をセキュリティ専門家に提供する必要があります。上記のCISリンクは良い出発点であり、検討する必要のある領域について考え始めるのに役立ちます。
指摘されているように、「IoT」(「モノのインターネット」、またはより適切には「脅威のインターネット」)は、役に立たない可能性が高いため、幅広い分類などです。この点で、「IoT」は「電子デバイス」ほど有用ではありません。そのため、一般的なケースでこのタイプの評価にアプローチする方法についてのガイドが、特定のケースに適用できるほど詳細に記載されていることを、私は非常に疑っています。
とはいえ、Internet of Threatsデバイスのセキュリティを評価するための良い出発点は、そのセキュリティに基本的に何らかの欠陥があると想定している可能性があります。(ちなみに、これは大規模なシステムで実行されているソフトウェア。)次に、実際に実装されたベストプラクティスを見て、Thingを保護するために製造業者がどの程度うまく行っているかを判断します。 。
例えば:
- 製造業者は、特定の期間、モノのアップデートを提供することを約束しますか?どれだけの時間?所有者は、モノで実行されているソフトウェアを更新するために何をする必要がありますか?所有者は、たとえば、すべての更新とセキュリティ更新のみの間で選択できますか?アップデートはどのように検証されますか?メーカーの実績はどうですか?
- モノはファイアウォールの背後で動作しますか?製造元は、Thingによって開始および要求されたネットワークトラフィックの詳細を示しています。これにより、すべてのトラフィックに対してファイアウォールを開かなくても、必要なトラフィックを許可するようにファイアウォールを確実に構成できますか?
- おそらくオンプレミスにインストールされている他のThingの助けを借りて、Thingはインターネットから完全に分離されたネットワークで機能できますか?
- Thingはワイヤレスネットワークを使用していますか?使用している場合、どの標準がサポートされていますか?既存のネットワークに参加できますか、それとも他の種類のネットワークとの接続に限定されますか?ネットワーク資格情報を提供する方法を含め、ネットワークはどのように保護されていますか?この方法は安全な認証情報を奨励しますか?
- モノはサービスをネットワークに公開しますか? Thingによって公開されているサービス(Web管理インターフェイスなど)は、強力な認証と機密保持手段(少なくとも長期間有効な自己署名証明書を含むHTTPSを含む)によって保護されていますか?認証資格情報は、製造元に関係なく所有者が変更できますか?
- 他のものと相互作用するように設計されたもの(たとえば、スマートフォン上のアプリ、または製造元が提供するWebインターフェースを含む)については、それらが相互作用している間のそれらの間のネットワークトラフィックを調べます。中間者のような一般的で単純な攻撃を実行します。トラフィックを監視できますか? HTTPSの場合、Thingsは適切な証明書検証を実行しますか、それとも、提供する自己署名MD5、512ビットRSA証明書に満足していますか?
これらはほんの一部の出発点ですが、テスト機器にほとんど投資することなく、Thingに投入できる最低限のものであることは間違いありません。いくつかの一般的なソフトウェアと2つのネットワークカードを備えたLinuxを実行するPC上記のすべてを始めるのに十分なはずです。