发达国家的许多日常用品现在都连接到互联网,而且往往是莫名其妙的。 它增加了另一层潜在的技术故障,对于个人电器来说可能是一种有趣的烦恼:百叶窗 打不开, 微波 不适应时间变化, 冰箱 需要固件更新.
但在企业中,当物联网设备出现故障时,这可不是 Twitter 线程的笑话。 工厂装配线逐渐停止。 医院的心率监测器掉线。 小学智能板变暗。
智能设备故障在企业界的风险越来越大,而不仅仅是因为 经常讨论的安全问题. 这是因为其中一些设备的根证书——它们安全连接到互联网所必需的——即将到期。
“设备需要知道要信任什么,因此根证书作为身份验证工具内置在设备中,”安全研究员 Scott Helme 解释说,他拥有 关于根证书过期问题的大量文章. “一旦设备在野外,它就会尝试调用‘家’——一个 API 或制造商的服务器——并检查这个根证书说,‘是的,我正在连接到这个正确的安全东西。’” 本质上 [根证书是] 一个信任锚,一个让设备知道它在与什么对话的参考框架。”
实际上,这种身份验证就像一个网络或一条链。 证书颁发机构 (CA) 颁发各种数字证书,实体之间相互“对话”,有时具有多个级别。 但这条链的第一个也是最核心的环节始终是根证书。 没有它,上面的任何级别都无法使连接成为可能。 因此,如果根证书停止工作,设备将无法验证连接,也不会链接到互联网。
问题在于:加密 Web 的概念是在 2000 年左右发展起来的——而根证书的有效期往往在 20 到 25 年左右。 那么,到 2022 年,我们正处于到期期限的中间。
在过去两年多的时间里,CA 已经颁发了大量新的根证书,当然,这些证书远早于到期。 这在个人设备领域很有效,大多数人经常升级到新手机并点击更新他们的笔记本电脑,这样他们就会拥有这些更新的证书。 但在企业中,更新设备可能更具挑战性,甚至是不可能的——而在制造业等行业,机器可能确实在 20 到 25 年后仍在工厂车间。
如果没有互联网连接,“这些设备就一文不值”,机器身份管理服务提供商 Venafi 的安全战略和威胁情报副总裁 Kevin Bocek 说。 “他们基本上变成了砖头 [当他们的根证书过期时]:他们不再信任云,无法接受命令,无法发送数据,无法进行软件更新。 这是一个真正的风险,特别是如果你是某种制造商或运营商。”
警告射击
风险不是理论上的。 30月XNUMX日,海量CA颁发根证书 让我们加密 过期 - 和 互联网上的几项服务中断了. 过期并不令人意外,因为 Let's Encrypt 长期以来一直警告其客户更新到新证书。
尽管如此,Helme 在一篇文章中写道 博客文章 到期前 10 天,“我打赌那天可能会有一些东西坏掉。” 他是对的。 Cisco、Google、Palo Alto、QuickBooks、Fortinet、Auth0 和更多公司的一些服务失败了。
“奇怪的是,”Helme 告诉 Dark Reading,“根据定义,使用 Let's Encrypt 的地方非常现代——你不能只去他们的网站并支付 10 美元并手动下载你的证书。 它必须由机器或通过他们的 API 完成。 这些用户是高级的,这仍然是一个非常大的问题。 那么,当我们看到拥有这些大企业客户的更多遗留 CA 的 [过期] 时会发生什么? 连锁反应肯定会更大。”
前进之路
但 Venafi 的 Bocek 说,但随着一些变化,连锁反应不一定会发生,他将挑战视为知识和指挥链的挑战之一——因此他在意识和早期合作中看到了解决方案。
“当我看到首席安全官和他们的团队参与制造商和开发人员级别时,我真的很兴奋,”Bocek 说。 “问题不仅仅是,'我们能开发出安全的东西吗?' 但是“我们可以继续经营吗?” 这些高价值连接设备的运营通常有共同的责任,因此我们需要清楚我们将如何处理这些业务。”
Tenable 负责运营技术和物联网的副首席技术官 Marty Edwards 表示,类似的对话正在基础设施领域进行。 他是一名工业工程师,曾在公用事业公司和美国国土安全部工作。
“坦率地说,在有公用事业和工厂的工业领域,任何导致生产中断或损失的事件都令人担忧,”爱德华兹说。 “因此,在这些专业领域,工程师和开发人员肯定会研究 [过期根证书] 的影响以及我们如何解决这些问题。”
尽管爱德华兹强调他对这些对话以及在采购过程中推动网络安全考虑持“乐观”态度,但他认为还需要更多的监管监督。
爱德华兹说:“类似于基线护理标准,可能包括有关如何维护证书系统完整性的语言。” “例如,各种标准组织和政府之间一直在讨论关键任务设备的可追溯性。”
至于 Helme,他希望看到企业机器以一种对用户或制造商来说既现实又不费力的方式进行更新——也许每五年颁发一次新证书并下载一次更新。 但他指出,除非企业客户推动,否则制造商不会被激励这样做。
“总的来说,我确实认为这是行业需要解决的问题,”爱德华兹表示同意。 “好消息是这些挑战中的大多数不一定是技术性的。 更多的是了解这一切是如何运作的,并让合适的人员和程序到位。”
