Rất nhiều vật dụng hàng ngày ở các nước phát triển hiện được kết nối với Internet, thường là không thể giải thích được. Nó bổ sung thêm một lớp lỗi công nghệ tiềm ẩn khác mà đối với các thiết bị cá nhân có thể là một điều gì đó gây phiền toái thú vị: rèm che sẽ không mở, lò vi sóng mà không điều chỉnh theo sự thay đổi của thời gian, tủ lạnh mà cần cập nhật firmware.
Nhưng trong doanh nghiệp, khi các thiết bị Internet of Things gặp sự cố, đó không phải là trò đùa trên Twitter. Dây chuyền lắp ráp của nhà máy bị đình trệ. Máy đo nhịp tim trong bệnh viện chuyển sang chế độ ngoại tuyến. Bảng thông minh của trường tiểu học trở nên tối tăm.
Lỗi thiết bị thông minh là rủi ro ngày càng tăng trong thế giới doanh nghiệp và không chỉ vì những lo lắng về bảo mật thường được thảo luận. Đó là do chứng chỉ gốc của một số thiết bị này — cần thiết để chúng kết nối Internet một cách an toàn — sắp hết hạn.
Scott Helme, một nhà nghiên cứu bảo mật, người đã viết nhiều về vấn đề hết hạn chứng chỉ gốc. “Khi thiết bị ở trạng thái hoạt động, nó sẽ cố gắng gọi 'nhà' — một API hoặc máy chủ của nhà sản xuất — và nó kiểm tra chứng chỉ gốc này để nói: 'Có, tôi đang kết nối với đúng thứ bảo mật này.' Về cơ bản [chứng chỉ gốc là] một mỏ neo tin cậy, một khung tham chiếu để thiết bị biết nó đang nói đến điều gì.”
Trong thực tế việc xác thực này giống như một trang web hoặc một chuỗi. Cơ quan cấp chứng chỉ (CA) phát hành tất cả các loại chứng chỉ kỹ thuật số và các thực thể “nói chuyện” với nhau, đôi khi ở nhiều cấp độ. Nhưng liên kết đầu tiên và cốt lõi nhất của chuỗi này luôn là chứng chỉ gốc. Không có nó, không có cấp độ nào ở trên có thể tạo ra các kết nối. Vì vậy, nếu chứng chỉ gốc ngừng hoạt động, thiết bị không thể xác thực kết nối và sẽ không liên kết với Internet.
Vấn đề là đây: Khái niệm về Web mã hóa được phát triển vào khoảng năm 2000 - và chứng chỉ gốc có xu hướng có hiệu lực trong khoảng 20 đến 25 năm. Khi đó, vào năm 2022, chúng ta đang ở giữa thời hạn hết hạn đó.
Tất nhiên, các CA đã phát hành rất nhiều chứng chỉ gốc mới trong hơn hai thập kỷ qua, trước khi hết hạn. Điều đó hoạt động tốt trong thế giới thiết bị cá nhân, nơi hầu hết mọi người thường xuyên nâng cấp lên điện thoại mới và nhấp để cập nhật máy tính xách tay của họ, vì vậy họ sẽ có những chứng chỉ mới hơn này. Nhưng trong doanh nghiệp, việc cập nhật thiết bị có thể khó khăn hơn nhiều hoặc thậm chí là không thể — và trong các lĩnh vực như sản xuất, máy móc thực sự có thể vẫn nằm trên sàn nhà máy từ 20 đến 25 năm sau.
Kevin Bocek, phó chủ tịch chiến lược bảo mật và thông tin tình báo về mối đe dọa tại Venafi, nhà cung cấp dịch vụ quản lý nhận dạng máy, cho biết: “Nếu không có kết nối Internet, “những thiết bị này chẳng có giá trị gì cả”. “Về cơ bản, chúng trở thành cục gạch [khi chứng chỉ gốc của chúng hết hạn]: Họ không thể tin tưởng vào đám mây nữa, không thể nhận lệnh, không thể gửi dữ liệu, không thể cập nhật phần mềm. Đó là một rủi ro thực sự, đặc biệt nếu bạn là nhà sản xuất hoặc nhà điều hành một loại hình nào đó.”
Một cú cảnh báo
Rủi ro không phải là lý thuyết. Vào ngày 30 tháng XNUMX, chứng chỉ gốc do CA lớn cấp Hãy mã hóa hết hạn — và một số dịch vụ trên Internet đã bị hỏng. Việc hết hạn không có gì đáng ngạc nhiên vì Let's Encrypt từ lâu đã cảnh báo khách hàng của mình cập nhật lên chứng chỉ mới.
Tuy nhiên, Helme đã viết trong một blog đăng bài 10 ngày trước khi hết hạn, “Tôi cá rằng một số thứ có thể sẽ hỏng vào ngày đó.” Anh ấy đã đúng. Một số dịch vụ của Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 và nhiều công ty khác không thành công.
“Và điều kỳ lạ về điều đó,” Helme nói với Dark Reading, “là những nơi sử dụng Let's Encrypt theo định nghĩa là rất hiện đại — bạn không thể chỉ cần truy cập trang web của họ và trả 10 đô la rồi tải xuống chứng chỉ của mình một cách thủ công. Việc này phải được thực hiện bằng máy hoặc thông qua API của họ. Những người dùng này đã ở trình độ cao và đây vẫn là một vấn đề thực sự lớn. Vậy điều gì sẽ xảy ra khi chúng tôi thấy [hết hạn] từ nhiều CA cũ hơn có những khách hàng doanh nghiệp lớn này? Chắc chắn hiệu ứng kích nổ sẽ lớn hơn.”
Con đường phía trước
Nhưng với một số thay đổi, hiệu ứng dây chuyền đó không nhất thiết phải xảy ra, Bocek của Venafi, người coi thách thức là một trong những kiến thức và chuỗi mệnh lệnh - vì vậy ông thấy các giải pháp ở cả nhận thức và hợp tác sớm.
Bocek nói: “Tôi thực sự vui mừng khi thấy các giám đốc an ninh và nhóm của họ tham gia vào cấp độ nhà sản xuất và nhà phát triển”. “Câu hỏi không chỉ là 'Chúng ta có thể phát triển thứ gì đó an toàn không?' mà là 'Chúng ta có thể tiếp tục vận hành nó không?' Thường có trách nhiệm chung về hoạt động trên các thiết bị được kết nối có giá trị cao này, vì vậy chúng tôi cần phải rõ ràng về cách chúng tôi sẽ xử lý vấn đề đó với tư cách là một doanh nghiệp.”
Marty Edwards, phó CTO phụ trách công nghệ vận hành và IoT tại Tenable, cho biết các cuộc trò chuyện tương tự đang diễn ra trong lĩnh vực cơ sở hạ tầng. Anh ấy là một kỹ sư công nghiệp thương mại, từng làm việc với các công ty tiện ích và Bộ An ninh Nội địa Hoa Kỳ.
Edwards nói: “Thành thật mà nói, trong không gian công nghiệp với các tiện ích và nhà máy, bất kỳ sự kiện nào dẫn đến ngừng hoạt động hoặc tổn thất sản xuất đều đáng lo ngại”. “Vì vậy, trong giới chuyên môn này, các kỹ sư và nhà phát triển chắc chắn đang xem xét tác động [của chứng chỉ gốc hết hạn] và cách chúng tôi có thể khắc phục chúng”.
Mặc dù Edwards nhấn mạnh rằng anh ấy “lạc quan” về những cuộc trò chuyện đó và việc thúc đẩy cân nhắc về an ninh mạng trong quá trình mua sắm, nhưng anh ấy tin rằng cũng cần có nhiều sự giám sát theo quy định hơn.
Edwards nói: “Một cái gì đó giống như tiêu chuẩn chăm sóc cơ bản có lẽ bao gồm ngôn ngữ về cách duy trì tính toàn vẹn của hệ thống chứng chỉ”. “Ví dụ, đã có các cuộc thảo luận giữa các nhóm tiêu chuẩn và chính phủ khác nhau về khả năng truy xuất nguồn gốc đối với các thiết bị quan trọng.”
Đối với Helme, anh ấy muốn thấy các máy doanh nghiệp được thiết lập các bản cập nhật theo cách thực tế và không gây khó khăn cho người dùng hoặc nhà sản xuất - có lẽ một chứng chỉ mới được cấp và cập nhật được tải xuống 5 năm một lần. Nhưng ông lưu ý rằng các nhà sản xuất sẽ không được khuyến khích làm điều đó trừ khi khách hàng doanh nghiệp thúc đẩy điều đó.
Edwards đồng ý: “Nói chung, tôi nghĩ rằng đây là điều mà ngành cần phải khắc phục”. “Tin tốt là hầu hết những thách thức này không nhất thiết phải liên quan đến công nghệ. Điều quan trọng hơn là biết mọi thứ hoạt động như thế nào cũng như tìm đúng người và đúng quy trình.”
