Come proteggere i dispositivi IoT: Requisiti di sicurezza IoT

I requisiti chiave per qualsiasi soluzione di sicurezza IoT sono:

• La sicurezza del dispositivo IoT e dei dati, inclusa l'autenticazione dei dispositivi e la riservatezza e l'integrità dei dati
• Implementazione ed esecuzione di operazioni di sicurezza su scala IoT
• Soddisfare i requisiti e le richieste di conformità
• Soddisfare i requisiti di prestazione secondo il caso d'uso

Le soluzioni di sicurezza IoT devono implementare i blocchi funzionali elencati di seguito come moduli interconnessi, non in isolamento, per soddisfare i requisiti di scala IoT, sicurezza dei dati, affidabilità dei dispositivi e conformità.

• Attendibilità del dispositivo IoT: Stabilire e gestire l'identità e l'integrità del dispositivo
• Attendibilità dei dati IoT: Sicurezza e la privacy dei dati end-to-end basata su policy, dalla creazione al consumo
• Rendere operativa la fiducia: Automatizzazione e interfacciamento a tecnologie/prodotti comprovati e basati su standard. Per esempio: prodotti PKI.

Per partecipare in modo sicuro all'IoT, ogni dispositivo connesso necessita di un'identificazione univoca, anche prima di avere un indirizzo IP. Questa credenziale digitale stabilisce la root of trust per l'intero ciclo di vita del dispositivo, dalla progettazione iniziale, alla distribuzione e fino al ritiro.

Entrust utilizza i moduli di sicurezza hardware (HSM) nShield, assieme alle applicazioni di sicurezza di supporto dei partner tecnologici Entrust, per consentire ai produttori di fornire a ciascun dispositivo un ID univoco utilizzando l'elaborazione crittografica, la protezione e la gestione delle chiavi più potenti disponibili. Si inserisce un certificato digitale in ogni dispositivo per abilitare:

• L’autenticazione di ogni dispositivo introdotto nell'architettura dell'organizzazione
• La verifica dell'integrità del sistema operativo e delle applicazioni sul dispositivo
• Comunicazioni protette tra dispositivi, gateway e cloud
• Aggiornamenti software e firmware autorizzati, sulla base del codice approvato

Diverse organizzazioni hanno sviluppato linee guida sulla sicurezza per l'IoT. Queste includono:

• Le “Best Practice Guidelines (Linee guida per le migliori pratiche)" della IoT Security Foundation
• La “Security Guidance (Guida alla sicurezza)" dell'Open Web Application Security Project (OWASP)
• “GSMA IoT Security Guidelines & Assessment (Linee guida di sicurezza e valutazione IoT di GSMA)” di Groupe Spéciale Mobile Association (GSMA)
• Gli Stati Uniti La pubblicazione speciale 800-160 (“Guidance (La guida)”) del Department of Commerce, National Institute of Standards and Technology (NIST) sull’implementazione della sicurezza nei dispositivi dell’internet delle cose ("IoT")
• di Cloud Security Alliance (CSA): “Future Proofing the Connected World: 13 Step to Developing Secure IoT Products (Rendere il mondo interconnesso a prova di futuro: 13 passi per lo sviluppo di prodotti IoT sicuri)"

È necessaria un’autenticazione dei dispositivi IoT avanzata per garantire che i dispositivi connessi all'IoT possano essere considerati ciò che pretendono di essere. Di conseguenza, ciascun dispositivo IoT necessità di un’identità di dispositivo univoca che può essere autenticata quando il dispositivo tenta di connettersi a un gateway o a un server centrale. Con questo ID univoco attivo, gli amministratori di sistemi IT possono tenere traccia di ogni dispositivo per tutto il suo ciclo di vita, comunicare in modo sicuro con esso e impedirgli di eseguire processi dannosi. Se un dispositivo mostra un comportamento imprevisto, gli amministratori possono semplicemente revocarne i privilegi.

I dispositivi IoT prodotti secondo processi di produzione non protetti offrono ai criminali l'opportunità di modificare i cicli di produzione per introdurre codice non autorizzato o produrre unità aggiuntive che vengono successivamente vendute sul mercato nero.

Un modo per proteggere i processi di produzione consiste nell’utilizzare moduli di sicurezza hardware (HSM) e software di sicurezza di supporto per inserire chiavi crittografiche e certificati digitali e controllare il numero di unità costruite e il codice incorporato in ciascuna di esse.

Per proteggere aziende, marchi, partner e utenti da software infettato da malware, gli sviluppatori di software hanno adottato la firma del codice. Nell’IoT, la firma del codice nel processo di rilascio del software garantisce l’integrità del software del dispositivo IoT e degli aggiornamenti del firmware e protegge dai rischi associati alla manomissione del codice del software IoT o al codice che devia dalle politiche dell'organizzazione.

Nella crittografia a chiave pubblica, la firma del codice è un uso specifico delle firme digitali basate su certificato che consente a un'organizzazione di verificare l'identità dell'editore del software e certificare che il software non è stato modificato dal momento della sua pubblicazione.

Oggi ci sono più cose (dispositivi) online che persone sul pianeta! I dispositivi sono gli utenti numero uno di Internet e, per funzionare in modo sicuro, necessitano di identità digitali. Mentre le aziende cercano di trasformare i loro modelli di business per rimanere competitive, la rapida adozione delle tecnologie IoT sta creando una crescente domanda di infrastrutture a chiave pubblica dell’Internet of Things (IoT PKI). Le PKI forniscono certificati digitali per il numero crescente di dispositivi e il software e il firmware che eseguono.

Le distribuzioni IoT sicure richiedono non solo il potersi affidare all’autenticità dei dispositivi e che questi siano chi dicono di essere, ma anche che i dati che raccolgono siano reali e non alterati. Se non ci si può fidare dei dispositivi IoT e dei dati, non ha senso raccogliere, eseguire analisi ed eseguire decisioni in base alle informazioni raccolte.

Un'adozione sicura dell'IoT richiede:

• Abilitare l'autenticazione reciproca tra dispositivi e applicazioni collegati
• Mantenere l'integrità e la riservatezza dei dati raccolti dai dispositivi
• Garantire la legittimità e l’integrità dei software scaricati sui dispositivi
• Preservare la riservatezza dei dati sensibili alla luce di normative di sicurezza più severe