ใบรับรองหลักที่หมดอายุคุกคาม IoT ในองค์กร

สิ่งของในชีวิตประจำวันมากมายในโลกที่พัฒนาแล้วเชื่อมต่อกับอินเทอร์เน็ตแล้ว ซึ่งมักจะอธิบายไม่ได้ มันเพิ่มความล้มเหลวทางเทคโนโลยีที่อาจเกิดขึ้นอีกชั้นหนึ่งซึ่งสำหรับเครื่องใช้ไฟฟ้าส่วนบุคคลอาจเป็นสิ่งที่น่ารำคาญที่น่าขบขัน: นั่นทำให้ม่านบังตา ไม่ยอมเปิด,ไมโครเวฟนั่นเอง อย่าปรับตามการเปลี่ยนแปลงของเวลา,ตู้เย็นนั่นเอง ต้องการการอัพเดตเฟิร์มแวร์.

แต่ในองค์กร เมื่ออุปกรณ์ Internet of Things ล้มเหลว ไม่ใช่เรื่องตลกบน Twitter สายการประกอบโรงงานหยุดชะงัก เครื่องวัดอัตราการเต้นของหัวใจในโรงพยาบาลปิดการทำงานแบบออฟไลน์ สมาร์ทบอร์ดของโรงเรียนประถมศึกษามืดลง

ความล้มเหลวของอุปกรณ์อัจฉริยะเป็นความเสี่ยงที่เพิ่มขึ้นในโลกองค์กร และไม่ใช่เพียงเพราะเหตุนี้ ความกังวลเรื่องความปลอดภัยที่พูดถึงกันบ่อยๆ. เนื่องจากใบรับรองหลักของอุปกรณ์เหล่านี้บางส่วนซึ่งจำเป็นสำหรับการเชื่อมต่ออินเทอร์เน็ตอย่างปลอดภัยกำลังจะหมดอายุ

“อุปกรณ์จำเป็นต้องรู้ว่าอะไรควรเชื่อถือ ดังนั้นใบรับรองหลักจึงถูกสร้างขึ้นในอุปกรณ์เพื่อเป็นเครื่องมือในการตรวจสอบสิทธิ์” Scott Helme นักวิจัยด้านความปลอดภัยผู้ซึ่งมี เขียนอย่างกว้างขวางเกี่ยวกับปัญหาการหมดอายุของใบรับรองหลัก. “เมื่ออุปกรณ์อยู่ในที่สาธารณะ อุปกรณ์จะพยายามเรียก 'บ้าน' ซึ่งเป็น API หรือเซิร์ฟเวอร์ของผู้ผลิต และจะตรวจสอบกับใบรับรองหลักนี้เพื่อบอกว่า 'ใช่ ฉันกำลังเชื่อมต่อกับสิ่งที่ปลอดภัยที่ถูกต้องนี้' โดยพื้นฐานแล้ว [ใบรับรองหลักคือ] จุดยึดที่เชื่อถือได้ ซึ่งเป็นกรอบอ้างอิงสำหรับอุปกรณ์เพื่อให้ทราบว่าอุปกรณ์กำลังพูดถึงอะไร”

ในทางปฏิบัติการรับรองความถูกต้องนี้เหมือนกับเว็บหรือเครือข่าย ผู้ออกใบรับรอง (CA) จะออกใบรับรองดิจิทัลทุกประเภท และหน่วยงานจะ "พูดคุย" กัน บางครั้งอาจมีหลายระดับ แต่ลิงก์แรกและลิงก์หลักที่สุดของห่วงโซ่นี้จะเป็นใบรับรองหลักเสมอ หากไม่มีระดับดังกล่าว ก็ไม่มีระดับใดที่กล่าวมาข้างต้นสามารถทำให้การเชื่อมต่อเกิดขึ้นได้ ดังนั้นหากใบรับรองหลักหยุดทำงาน อุปกรณ์จะไม่สามารถตรวจสอบการเชื่อมต่อและจะไม่เชื่อมโยงกับอินเทอร์เน็ต

ปัญหาคือ: แนวคิดของเว็บที่เข้ารหัสพัฒนาขึ้นประมาณปี 2000 และใบรับรองหลักมีแนวโน้มที่จะใช้งานได้ประมาณ 20 ถึง 25 ปี จากนั้นในปี 2022 เรากำลังพ่ายแพ้ในช่วงกลางของช่วงหมดอายุนั้น

แน่นอนว่า CA ได้ออกใบรับรองหลักใหม่มากมายในช่วงสองทศวรรษที่ผ่านมา ซึ่งแน่นอนว่าก่อนที่จะหมดอายุด้วยซ้ำ ซึ่งทำงานได้ดีในโลกของอุปกรณ์ส่วนบุคคล ซึ่งคนส่วนใหญ่มักจะอัปเกรดเป็นโทรศัพท์ใหม่และคลิกเพื่ออัปเดตแล็ปท็อปของตน ดังนั้นพวกเขาจึงมีใบรับรองที่ใหม่กว่าเหล่านี้ แต่ในองค์กร การอัปเดตอุปกรณ์อาจมีความท้าทายมากกว่าหรือเป็นไปไม่ได้เลย และในภาคส่วนต่างๆ เช่น การผลิต เครื่องจักรอาจจะยังคงอยู่ในโรงงานในอีก 20 ถึง 25 ปีต่อมา

หากไม่มีการเชื่อมต่ออินเทอร์เน็ต “อุปกรณ์เหล่านี้ก็ไม่คุ้มค่าเลย” Kevin Bocek รองประธานฝ่ายกลยุทธ์ความปลอดภัยและข้อมูลภัยคุกคามที่ Venafi ผู้ให้บริการการจัดการข้อมูลประจำตัวของเครื่องกล่าว “โดยพื้นฐานแล้วพวกเขากลายเป็นอิฐ [เมื่อใบรับรองรูทหมดอายุ]: พวกเขาไม่สามารถเชื่อถือคลาวด์ได้อีกต่อไป ไม่สามารถรับคำสั่ง ไม่สามารถส่งข้อมูล ไม่สามารถรับการอัปเดตซอฟต์แวร์ได้ นั่นเป็นความเสี่ยงที่แท้จริง โดยเฉพาะอย่างยิ่งหากคุณเป็นผู้ผลิตหรือผู้ดำเนินการประเภทใดประเภทหนึ่ง”

ลูกยิงเตือน

ความเสี่ยงไม่ใช่ทฤษฎี เมื่อวันที่ 30 กันยายน ใบรับรองหลักที่ออกโดย CA ขนาดใหญ่ ขอเข้ารหัส หมดอายุแล้ว — และ บริการหลายอย่างบนอินเทอร์เน็ตขัดข้อง. การหมดอายุไม่ใช่เรื่องน่าประหลาดใจ เนื่องจาก Let's Encrypt ได้เตือนลูกค้าให้อัปเดตเป็นใบรับรองใหม่มานานแล้ว

ถึงกระนั้น Helme ก็เขียนไว้ในไฟล์ โพสต์บล็อก 10 วันก่อนหมดอายุ “ฉันพนันได้เลยว่าบางสิ่งอาจจะพังในวันนั้น” เขาพูดถูก บริการบางอย่างจาก Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 และบริษัทอื่นๆ อีกมากมายล้มเหลว

“และสิ่งแปลกเกี่ยวกับเรื่องนั้น” Helme บอกกับ Dark Reading “ก็คือสถานที่ที่ใช้ Let's Encrypt นั้นทันสมัยมากตามคำจำกัดความ คุณไม่สามารถไปที่เว็บไซต์ของพวกเขาและจ่ายเงิน 10 ดอลลาร์แล้วดาวน์โหลดใบรับรองของคุณด้วยตนเองได้ จะต้องทำโดยเครื่องจักรหรือผ่าน API ผู้ใช้เหล่านี้มีความก้าวหน้ามาก และยังคงเป็นปัญหาใหญ่อยู่ แล้วจะเกิดอะไรขึ้นเมื่อเราเห็น [การหมดอายุ] จาก CA รุ่นเก่าที่มีลูกค้าองค์กรขนาดใหญ่เหล่านี้ แน่นอนว่าเอฟเฟกต์การกระแทกจะยิ่งใหญ่ขึ้น”

เส้นทางไปข้างหน้า

แต่ด้วยการเปลี่ยนแปลงบางอย่าง ผลที่ตามมานั้นไม่จำเป็นต้องเกิดขึ้น Bocek จาก Venafi ผู้ซึ่งมองว่าความท้าทายเป็นหนึ่งในความรู้และสายการบังคับบัญชา กล่าว ดังนั้นเขาจึงมองเห็นวิธีแก้ปัญหาทั้งในด้านการรับรู้และการทำงานร่วมกันตั้งแต่เนิ่นๆ

“ฉันตื่นเต้นมากเมื่อเห็นหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยและทีมของพวกเขามีส่วนร่วมในระดับผู้ผลิตและนักพัฒนา” Bocek กล่าว “คำถามไม่ใช่แค่ว่า 'เราจะพัฒนาสิ่งที่ปลอดภัยได้หรือไม่' แต่ 'เราจะดำเนินการต่อไปได้หรือไม่' มักจะมีความรับผิดชอบร่วมกันในการปฏิบัติงานบนอุปกรณ์เชื่อมต่อที่มีมูลค่าสูงเหล่านี้ ดังนั้นเราจึงจำเป็นต้องมีความชัดเจนว่าเราจะจัดการกับสิ่งนั้นในฐานะธุรกิจอย่างไร”

การสนทนาที่คล้ายกันนี้กำลังเกิดขึ้นในภาคโครงสร้างพื้นฐาน Marty Edwards รอง CTO ด้านเทคโนโลยีการดำเนินงานและ IoT ของ Tenable กล่าว เขาเป็นวิศวกรอุตสาหกรรมโดยการค้าขาย ซึ่งเคยร่วมงานกับบริษัทสาธารณูปโภคและกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา

“จริงๆ แล้ว ในพื้นที่อุตสาหกรรมที่มีสาธารณูปโภคและโรงงาน เหตุการณ์ใดๆ ที่นำไปสู่การหยุดผลิตหรือการสูญเสียนั้นเป็นเรื่องที่น่ากังวล” Edwards กล่าว “ดังนั้นในแวดวงพิเศษเหล่านี้ วิศวกรและนักพัฒนาจึงกำลังมองหาผลกระทบ [ของใบรับรองหลักที่หมดอายุ] และวิธีที่เราจะแก้ไขได้อย่างแน่นอน”

แม้ว่า Edwards จะเน้นย้ำว่าเขา "มองโลกในแง่ดี" เกี่ยวกับการสนทนาเหล่านั้นและการผลักดันการพิจารณาด้านความปลอดภัยทางไซเบอร์ในระหว่างกระบวนการจัดซื้อจัดจ้าง แต่เขาเชื่อว่าจำเป็นต้องมีการกำกับดูแลด้านกฎระเบียบเพิ่มเติมด้วย

“บางอย่างเช่นมาตรฐานการดูแลขั้นพื้นฐานที่อาจรวมถึงภาษาในการรักษาความสมบูรณ์ของระบบใบรับรอง” Edwards กล่าว “มีการพูดคุยกันระหว่างกลุ่มมาตรฐานต่างๆ และรัฐบาลเกี่ยวกับการตรวจสอบย้อนกลับสำหรับอุปกรณ์ที่มีความสำคัญต่อภารกิจ เป็นต้น”

สำหรับ Helme เขาอยากเห็นเครื่องระดับองค์กรที่ตั้งค่าสำหรับการอัปเดตในลักษณะที่สมจริงและไม่ลำบากสำหรับผู้ใช้หรือผู้ผลิต ซึ่งบางทีอาจมีการออกใบรับรองใหม่และดาวน์โหลดอัปเดตทุกๆ ห้าปี แต่ผู้ผลิตจะไม่ได้รับแรงจูงใจให้ทำเช่นนั้น เว้นแต่ลูกค้าองค์กรจะผลักดันมัน

“โดยทั่วไป ฉันคิดว่านี่เป็นสิ่งที่อุตสาหกรรมจำเป็นต้องแก้ไข” Edwards เห็นด้วย “ข่าวดีก็คือความท้าทายส่วนใหญ่ไม่จำเป็นต้องเป็นเทคโนโลยีเสมอไป มันเกี่ยวกับการรู้ว่ามันทำงานอย่างไร และจัดหาคนและขั้นตอนที่เหมาะสมให้พร้อม”