আইওটি ডিভাইসগুলির সুরক্ষা স্তর নির্দেশ করার জন্য কি কোনও শংসাপত্র রয়েছে?

11

আইওটি ডিভাইসের জন্য এমন কোনও নির্ভরযোগ্য শংসাপত্র রয়েছে, যা এই ডিভাইসগুলির সরবরাহিত সুরক্ষার তুলনা করতে ব্যবহার করা যেতে পারে? 1

বর্তমানে, আইওটি ল্যান্ডস্কেপ সম্পূর্ণরূপে বিভিন্ন প্রোটোকল, মানক এবং মালিকানাধীন সমাধানগুলি সহ ছড়িয়ে ছিটিয়ে রয়েছে। অন্যদিকে IOT ডিভাইসের পড়া থেকে botnets মত মাছি । ডিভাইসটির জন্য একটি নির্দিষ্ট স্তরের সুরক্ষা মেনে চলার জন্য গ্রাহকরা তাদের আস্থা রাখতে পারে এমন কোনও স্ট্যান্ডার্ড কি আছে? এমনকি সরবরাহকৃত সুরক্ষার পক্ষে কোনও শংসাপত্রের নিশ্চয়তাও রয়েছে?

যদি বর্তমান মান নেই, তাহলে কি এই জাতীয় মান তৈরি করার প্রতিশ্রুতিমূলক উদ্যোগ রয়েছে?

1: অস্বীকৃতি: এটি এই ব্যবহারকারীর 51 টি প্রশ্নের উপর ভিত্তি করে যা আপাতদৃষ্টিতে প্রতিশ্রুতিবদ্ধ পর্যায়ে সাইটের প্রতিশ্রুতি দেয়নি from সাইটের সুযোগটি নির্ধারণ করতে আমি এটি পোস্ট করতে চাই।

security  standards  certifications 
হেলমার
সূত্র

উত্তর:

10

ইউএল (পূর্বে আন্ডার রাইটার্স ল্যাবরেটরিজ) সাইবার সিকিউরিটি আশ্বাস প্রোগ্রামটি এই বিষয়টি নিশ্চিত করার জন্য সরবরাহ করে যে কোনও জিনিসগুলির একটি ইন্টারনেট তাদের মতে, সবচেয়ে বড় হুমকি থেকে নিরাপদ secure

ইউএস তাদের শংসাপত্রের প্রক্রিয়াগুলিতে অত্যন্ত সম্মানিত বলে মনে হচ্ছে, আরস টেকনিকা অনুসারে :

ইউএল, 122-বছরের পুরনো সুরক্ষা মান সংস্থাগুলি যার বিভিন্ন চিহ্ন (উল, এএনইসি, ইত্যাদি) ক্ষেত্রগুলিতে বৈদ্যুতিক ওয়্যারিং, পরিষ্কারের পণ্য এবং এমনকি খাদ্যতালিকাগত পরিপূরকের মতো বিবিধ ক্ষেত্রগুলিতে ন্যূনতম সুরক্ষা মানকে প্রমাণ করে, এখন ইন্টারনেটের সাইবারসিকিউরিটি মোকাবেলা করছে থিংস (আইওটি) এর নতুন ইউএল 2900 শংসাপত্র সহ ডিভাইসগুলি।

ইউএল তাদের শংসাপত্রকে জড়িত হিসাবে বর্ণনা করে:

  • সমস্ত ইন্টারফেসের মাধ্যমে শূন্য দিনের দুর্বলতাগুলি সনাক্ত করতে পণ্যগুলির ফজ পরীক্ষা
  • সাধারণ দুর্বলতা পরিমার্জন (সিভিই) স্কিম ব্যবহার করে এমন পণ্যগুলিতে পরিচিত দুর্বলতার মূল্যায়ন
  • পণ্যগুলিতে পরিচিত ম্যালওয়্যার সনাক্তকরণ
  • সাধারণ দুর্বলতা এনুমারেশনস (সিডব্লিউই) দ্বারা চিহ্নিত সফ্টওয়্যার দুর্বলতার জন্য স্থিতিক উত্স কোড বিশ্লেষণ
  • সাধারণ দুর্বলতা এনুমারেশনস (সিডব্লিউই), ওপেন সোর্স সফ্টওয়্যার এবং তৃতীয় পক্ষের লাইব্রেরি দ্বারা চিহ্নিত সফ্টওয়্যার দুর্বলতার জন্য স্ট্যাটিক বাইনারি বিশ্লেষণ
  • সুরক্ষা ঝুঁকি হ্রাসকারী পণ্যগুলিতে ব্যবহারের জন্য চিহ্নিত নির্দিষ্ট সুরক্ষা নিয়ন্ত্রণগুলি [...]
  • অন্যান্য পরীক্ষায় চিহ্নিত ত্রুটির উপর ভিত্তি করে পণ্যগুলির কাঠামোগত অনুপ্রবেশ পরীক্ষা
  • পণ্যগুলিতে নকশা করা পণ্য সুরক্ষা প্রশমন ঝুঁকি মূল্যায়ন।

তবে, আরএস টেকনিকা নোট হিসাবে (এবং সমালোচনা) হিসাবে ইউএল ডিভাইসগুলির যাচাই বাছাইয়ের সঠিক প্রক্রিয়াটি (স্পেসিফিকেশনের পুরো সেটটি কেনার জন্য অর্থ প্রদান না করে) অস্পষ্ট:

যখন আর্স স্ট্যান্ডার্ডটি ঘনিষ্ঠভাবে দেখার জন্য উল 2900 ডক্সের একটি অনুলিপি অনুরোধ করেছিল, তখন ইউএল (পূর্বে আন্ডাররাইটার্স ল্যাবরেটরিস হিসাবে পরিচিত) প্রত্যাখ্যান করেছিল, ইঙ্গিত করে যে আমরা যদি একটি অনুলিপি খুচরা মূল্য কিনতে চান তবে পুরো for 600 / $ 800 সেট — আমরা এটি করতে স্বাগত জানাই। স্বাধীন সুরক্ষা গবেষকরাও রয়েছেন, আমাদের অবশ্যই ধরে নিতে হবে, ইউএল খুচরা গ্রাহক হওয়ার জন্য স্বাগত জানাতে হবে।

যদিও ইউএলকে সম্মান জানানো হয়েছে, আমরা ধরে নিতে পারি না যে তাদের শংসাপত্রটি অতিরিক্ত তদন্ত ছাড়াই সুরক্ষার ক্ষেত্রে বিশেষভাবে দৃ is়, যদিও এটি আসল প্রশ্নটি পূরণ করে না।

দুর্ভাগ্যক্রমে, আমি সুরক্ষার জন্য কোনও উন্মুক্ত মান / শংসাপত্র খুঁজে পাইনি, যদিও এটি সম্ভবত কারণ হ'ল অলাভজনক সংস্থার জন্য প্রয়োজনীয় সংস্থানগুলি অনেক বড়।

অরোরা 10001
সূত্র
3

আমি অরোরা 10001 এর উত্তরে যুক্ত করতে চাই যে আমরা কেবল জ্ঞাত হুমকির বিরুদ্ধে রক্ষা করতে পারি।

সম্প্রতি, আমরা হার্ডওয়ারের বিরুদ্ধে স্পেকটার এবং মেল্টডাউন আক্রমণগুলি দেখেছি । যদিও আইওটি ডিভাইসগুলিতে ইন্টেল সিপিইউ সাধারণত ব্যবহৃত হয় না, ভবিষ্যতে আমরা সম্ভবত আইওটি হার্ডওয়্যার সহ সুরক্ষা সমস্যাগুলি খুঁজে পাব। পূর্বে আমরা দেখা করেছি Rowhammer এবং হার্টব্লিড , সাধারণ সিস্টেম-বর্গ বাগ, সিস্টেম বিপুল সংখ্যা প্রভাবিত করে। আইওটি বাড়ার সাথে সাথে আমি বিশ্বাস করি যে এই ধরনের দুর্বলতাগুলি দেখার জন্য এটি আরও সাধারণ জায়গা হবে।

সুতরাং আমি সুরক্ষা শংসাপত্রগুলিতে কম মনোনিবেশ করবো এবং আরও:

  • উন্মুক্ততা, যাতে তৃতীয় পক্ষগুলি সফ্টওয়্যারটি মূল্যায়ন করতে পারে।
  • স্থিত সমর্থন লাইফটাইম, যেখানে প্রস্তুতকারক সুরক্ষা আপডেটের গ্যারান্টি দেয়
  • ডিফল্ট সেটিং হিসাবে স্বয়ংক্রিয় আপগ্রেড সহ আপগ্রেডযোগ্যতা।

যদি কোনও ডিভাইস দীর্ঘ সময়ের জন্য সহায়তায় থাকে এবং যদি নতুন প্রকাশ ঘটে তখন সফ্টওয়্যারটিকে স্বয়ংক্রিয় আপডেট করার ক্ষেত্রে ডিফল্ট থাকলে সুরক্ষা সমস্যার প্রভাব হ্রাস পাবে। সার্টিফিকেশন শুধুমাত্র আপনাকে বলতে হবে ছিল কোন পরিচিত নিরাপত্তা বাগ যখন পণ্য জাহাজে ছিল।

vidarlo
সূত্র
হার্টবেল্ড সিস্টেমের স্থাপনার দৃষ্টিকোণ থেকে সিস্টেম-শ্রেণীর বাগ হতে পারে, তবে এটি এখনও একটি নির্দিষ্ট সফ্টওয়্যারটিতে একটি বাগ যা কেবলমাত্র আপগ্রেড করা দরকার। আরও ভাল উদাহরণগুলি প্রোটোকলটিতেই আক্রমণ করা হবে যেমন বেস্ট এবং ক্রাইম।
গিলস 'অশুভ হওয়া বন্ধ করুন'
মুল বক্তব্যটি হ'ল বাগগুলি সম্ভাব্য স্থানগুলিতে (সিপিইউ), এবং সুপরিচিত সফ্টওয়্যারগুলিতে (হার্টলেড) পাওয়া যায়, সুতরাং আমাদের সফ্টওয়্যারটির প্যাচিং এবং আপডেটিং দরকার । তবে হ্যাঁ - বেছে নিতে বাগের আধিক্য রয়েছে।
vidarlo
শংসাপত্রগুলিতে লাইফ-টাইম বা ফার্মওয়্যার আপডেটগুলি এমনকি খোলামেলা সমর্থন করার পক্ষে খুব ভালভাবে অন্তর্ভুক্ত থাকতে পারে। সুতরাং আপনি যখন সঠিক হন যে সেগুলি অত্যন্ত গুরুত্বপূর্ণ পয়েন্টগুলি আমি সাধারণভাবে শংসাপত্রগুলির সাথে কেন বেমানান তা আমি খুব একটা দেখতে পাই না ।
হেলমার
2
@ হেলমার দুর্ভাগ্যক্রমে, গুরুতর শংসাপত্রগুলি অনেকটা সহজাতভাবে একটি হেভিওয়েট প্রক্রিয়া। প্রাথমিক সংস্করণ এবং আপডেট প্রক্রিয়াটি প্রমাণীকরণ একটি জিনিস, তবে প্রতিটি আপডেটের মোতায়েনের আগে শংসাপত্র করা একটি উল্লেখযোগ্য ওভারহেড যুক্ত করে, যা একটি ভাল শংসাপত্র প্রক্রিয়া স্থাপন করা কঠিন করে তোলে (যেখানে সুরক্ষা আপডেটগুলি সত্যতার পরে প্রমাণিত করতে হবে - যা বিপরীতে যায় শংসাপত্রের শস্য, যেহেতু এর অর্থ ডিভাইসটি শংসাপত্রহীন সংস্করণগুলি চালাবে)।
গিলস 'অশুভ হওয়া বন্ধ করুন'
@ গিলস আমি সম্মতি জানাই যে কেউ কেবল সফ্টওয়্যার বিকাশের মানের প্রক্রিয়া বা এর মতো কিছু প্রমাণ করতে পারে। প্রতিটি সফ্টওয়্যার সংস্করণ প্রমাণীকরণ করা আসলে কোনও বিকল্প নয়।
গান Helmar
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.