Atât de multe articole de zi cu zi din lumea dezvoltată sunt acum conectate la internet, adesea în mod inexplicabil. Se adaugă un alt strat de potențial eșec tehnologic, care pentru aparatele personale poate fi o supărare amuzantă: jaluzelele care nu se va deschide, cuptorul cu microunde care nu vă adaptați la schimbările de timp, frigidere care nevoie de actualizări de firmware.
Dar în întreprindere, atunci când dispozitivele Internet of Things eșuează, nu este o glumă pe Twitter. Liniile de asamblare din fabrică se opresc. Monitoarele de puls din spitale sunt offline. Tablourile inteligente ale școlii elementare se întunecă.
Eșecurile dispozitivelor inteligente reprezintă un risc tot mai mare în lumea întreprinderilor și nu doar din cauza grijile de securitate des discutate. Se datorează faptului că unele dintre certificatele rădăcină ale acestor dispozitive - necesare pentru ca acestea să se conecteze în siguranță la Internet - expiră.
„Dispozitivele trebuie să știe în ce să aibă încredere, astfel încât certificatul rădăcină este încorporat în dispozitiv ca instrument de autentificare”, explică Scott Helme, un cercetător de securitate care a scris pe larg despre problema expirării certificatului rădăcină. „Odată ce dispozitivul este în sălbăticie, încearcă să sune „acasă” – un API sau un server al producătorului – și verifică acest certificat rădăcină pentru a spune „Da, mă conectez la acest lucru corect securizat”. În esență, [un certificat rădăcină este] o ancoră de încredere, un cadru de referință pentru ca dispozitivul să știe despre ce vorbește.”
În practică, această autentificare este ca o rețea sau un lanț. Autoritățile de certificare (CA) emit tot felul de certificate digitale, iar entitățile „vorbesc” între ele, uneori cu mai multe niveluri. Dar prima și cea mai importantă verigă a acestui lanț este întotdeauna certificatul rădăcină. Fără el, niciunul dintre nivelurile de mai sus nu ar putea face posibile conexiunile. Deci, dacă un certificat rădăcină nu mai funcționează, dispozitivul nu poate autentifica conexiunea și nu se va conecta la Internet.
Iată problema: conceptul de web criptat s-a dezvoltat în jurul anului 2000 — iar certificatele rădăcină tind să fie valabile aproximativ 20 până la 25 de ani. În 2022, atunci, ne aflăm în mijlocul acelei perioade de expirare.
Autoritățile de certificare au emis o mulțime de certificate rădăcină noi în ultimele două decenii, desigur, cu mult înaintea expirării. Acest lucru funcționează bine în lumea dispozitivelor personale, unde majoritatea oamenilor fac upgrade la telefoane noi și fac clic pentru a-și actualiza laptopurile, astfel încât să aibă aceste certificate mai noi. Dar în întreprindere, poate fi mult mai dificil sau chiar imposibil să actualizezi un dispozitiv – iar în sectoare precum producția, mașinile pot fi, într-adevăr, încă în fabrică 20 până la 25 de ani mai târziu.
Fără o conexiune la internet, „aceste dispozitive nu valorează nimic”, spune Kevin Bocek, vicepreședinte al strategiei de securitate și informații despre amenințări la Venafi, furnizor de servicii de gestionare a identității mașinilor. „Ei devin în esență cărămizi [când expiră certificatele lor rădăcină]: nu mai pot avea încredere în cloud, nu pot prelua comenzi, nu pot trimite date, nu pot primi actualizări de software. Acesta este un risc real, mai ales dacă ești producător sau operator de orice fel.”
O lovitură de avertizare
Riscul nu este teoretic. Pe 30 septembrie, un certificat rădăcină emis de CA masivă Să ștergem expirat — și s-au spart mai multe servicii de pe internet. Expirarea nu a fost o surpriză, deoarece Let's Encrypt își avertizează de mult clienții să se actualizeze la un nou certificat.
Totuși, Helme a scris într-un blog Cu 10 zile înainte de expirare, „Pariez că câteva lucruri se vor rupe probabil în acea zi”. El a avut dreptate. Unele servicii de la Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 și multe alte companii au eșuat.
„Și lucrul ciudat despre asta”, spune Helme pentru Dark Reading, „este că locurile care folosesc Let's Encrypt sunt, prin definiție, foarte moderne – nu poți să mergi pe site-ul lor și să plătești 10 USD și să-ți descarci certificatul manual. Trebuie să fie făcut de o mașină sau prin intermediul API-ului lor. Acești utilizatori erau avansați și era încă o problemă foarte mare. Deci, ce se întâmplă când vedem [expirații] de la mai multe CA moștenite care au acești clienți mari întreprinderi? Cu siguranță, efectul de declanșare va fi mai mare.”
Calea înainte
Dar, odată cu unele schimbări, acest efect secundar nu trebuie să se întâmple, spune Bocek de la Venafi, care vede provocarea ca fiind una a cunoștințelor și a lanțului de comandă – așa că vede soluții atât în conștientizare, cât și în colaborarea timpurie.
„Sunt foarte încântat când văd ofițerii șefi de securitate și echipele lor implicându-se la nivel de producător și dezvoltator”, spune Bocek. „Întrebarea nu este doar: „Putem dezvolta ceva care este sigur?” dar „Putem continua să-l operăm?” Există adesea o responsabilitate comună a operațiunii pe aceste dispozitive conectate de mare valoare, așa că trebuie să fim clari cum vom gestiona asta ca afacere.”
Conversații similare au loc în sectorul infrastructurii, spune Marty Edwards, CTO adjunct pentru tehnologie operațională și IoT la Tenable. Este un inginer industrial de profesie care a lucrat cu companii de utilități și cu Departamentul de Securitate Internă din SUA.
„Sincer sincer, în spațiul industrial cu utilități și fabrici, orice eveniment care duce la o întrerupere sau o pierdere a producției este îngrijorător”, spune Edwards. „Deci, în aceste cercuri de specialitate, inginerii și dezvoltatorii se uită cu siguranță la impactul [certificatelor rădăcină care expiră] și la modul în care le putem remedia.”
Deși Edwards subliniază că este „optimist” în privința acestor conversații și a impulsului pentru considerente de securitate cibernetică în timpul procesului de achiziții, el crede că este, de asemenea, nevoie de mai multă supraveghere de reglementare.
„Ceva ca un standard de bază de îngrijire care poate include limbajul despre cum să mențină integritatea unui sistem de certificate”, spune Edwards. „Au existat discuții între diferite grupuri de standarde și guverne despre trasabilitatea dispozitivelor critice, de exemplu.”
Cât despre Helme, i-ar plăcea să vadă mașinile de întreprindere pregătite pentru actualizări într-un mod realist și nu dificil pentru utilizator sau producător - un nou certificat emis și actualizat descărcat la fiecare cinci ani, poate. Dar producătorii nu vor fi stimulați să facă asta decât dacă clienții întreprinderilor presează pentru asta, notează el.
„În general, cred că acesta este ceva ce industria trebuie să rezolve”, este de acord Edwards. „Vestea bună este că majoritatea acestor provocări nu sunt neapărat tehnologice. Este mai mult despre a cunoaște cum funcționează totul și de a obține oamenii și procedurile potrivite.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
