Các nỗ lực của một số nhóm ngành công nghiệp internet đang tập trung vào các biện pháp mới để khắc phục các điểm yếu bảo mật cố hữu với việc sử dụng các thiết bị Internet vạn vật (IoT) được mở rộng nhanh chóng cho các doanh nghiệp và người tiêu dùng.
Công ty bảo mật chuỗi cung ứng Finite State ngày 27/4 đã công bố hợp tác với giải pháp bảo mật ứng dụng Veracode để cung cấp phạm vi phủ sóng toàn diện cho các thiết bị được kết nối và hệ thống nhúng. Giải pháp bảo mật bao gồm đường dẫn từ chương trình cơ sở của thiết bị đến các ứng dụng web, cơ sở hạ tầng và dịch vụ đám mây mà chúng tương tác với nhau.
Theo Matt Wyckhouse, người sáng lập và Giám đốc điều hành của Finite State, mối quan hệ hợp tác mới này thể hiện bức tranh toàn cảnh nhất về bảo mật sản phẩm cho các nhà sản xuất và người dùng các sản phẩm được kết nối tại thời điểm thị trường thiết bị IoT đang tăng trưởng theo cấp số nhân.
Trong một diễn biến liên quan, Liên minh FIDO (Fast Identity Online) vào ngày 20 tháng 4 đã công bố một tiêu chuẩn IoT mở mới được gọi là giao thức FIDO Device Onboard (FDO) cho phép các thiết bị kết nối đơn giản và an toàn với các nền tảng quản lý đám mây và tại chỗ.
Thông báo đó phù hợp với cam kết trước đây của công ty được công bố hai năm trước để thiết lập những nỗ lực giúp khắc phục những gì sai với bảo mật còn thiếu của IoT.
“Chúng tôi đang thấy sự gia tăng các sự kiện bảo mật được báo cáo công khai nhắm vào chuỗi cung ứng phần mềm. Những điều này tiếp tục cho thấy những thiệt hại mà những sự cố này có thể gây ra cho ngay cả những tổ chức tinh vi nhất, dẫn đến áp lực ngày càng tăng đối với các doanh nghiệp để đảm bảo rằng các thiết bị được phát triển an toàn và liên tục được xem xét về các lỗ hổng và rủi ro chuỗi cung ứng như một phần trong chương trình bảo mật của họ. ”Wyckhouse nói .
Hỗ trợ FIDO
Vào năm 2019, Liên minh FIDO đã công bố một nhóm làm việc chuyên giải quyết các tiêu chuẩn bảo mật IoT trong các quy trình điển hình như vận chuyển thiết bị với thông tin đăng nhập mật khẩu mặc định. Việc dựa vào tích hợp thủ công có thể khiến các thiết bị và mạng mà chúng hoạt động trên đó dễ bị tấn công.
Nhóm làm việc đó bao gồm các thành viên của Amazon, Google, Intel, Microsoft, Qualcomm và những người khác. Tiêu chuẩn mới này giải quyết các thách thức về bảo mật, chi phí và độ phức tạp liên quan đến việc triển khai thiết bị IoT trên quy mô lớn.
FIDO Device Onboard thúc đẩy tầm nhìn cơ bản của Liên minh, tổ chức đã tập hợp hơn 250 công ty và cơ quan chính phủ có ảnh hưởng và sáng tạo nhất trên khắp thế giới để giải quyết vấn đề an ninh mạng nhằm loại bỏ vi phạm dữ liệu và cho phép trải nghiệm trực tuyến an toàn.
Liên minh FIDO, một tổ chức phi lợi nhuận, là một hiệp hội công nghiệp mở nhằm tìm cách tiêu chuẩn hóa xác thực ở các lớp giao thức và ứng dụng khách. Các thông số kỹ thuật của FIDO hỗ trợ xác thực đa yếu tố (MFA) và mật mã khóa công khai.
Andrew Shikiar, giám đốc điều hành và CMO của FIDO Alliance cho biết: “Tiêu chuẩn FIDO Device Onboard được xây dựng dựa trên những nỗ lực không ngừng của Liên minh nhằm giúp thu hẹp các lỗ hổng bảo mật hiện đang tồn tại trên web bằng cách mở rộng công việc này sang các ứng dụng IoT”.
“Các doanh nghiệp nhận ra tiềm năng to lớn của IoT và những lợi ích to lớn mà nó có thể mang lại cho sản xuất, bán lẻ, chăm sóc sức khỏe, giao thông vận tải, hậu cần, v.v.”, ông tiếp tục. “Mô hình cần phải thay đổi ngay lập tức để chúng tôi có thể đưa các công nghệ IoT đi trước với các phương tiện xác thực an toàn hơn, mạnh mẽ hơn và bảo mật hơn cho những mục đích sử dụng quan trọng này trong môi trường công nghiệp và thương mại.”
FDO làm gì
Các thông số kỹ thuật FDO của FIDO cho IoT được hợp tác phát triển như một biện pháp tiếp theo các tiêu chuẩn xác thực FIDO của nó để giúp giải quyết vấn đề vi phạm dữ liệu toàn cầu. Các thông số kỹ thuật đã đạt đến trạng thái tiêu chuẩn được đề xuất và được mở và miễn phí để thực hiện.
Ban đầu, các thông số kỹ thuật mới nhắm vào các ứng dụng công nghiệp và thương mại. Các nhà phát triển có thể xem và tải xuống các thông số kỹ thuật tại đây .
FDO tận dụng mật mã khóa công khai không đối xứng để cung cấp cho ngành công nghiệp IoT một cách nhanh chóng và an toàn để đưa bất kỳ thiết bị nào vào bất kỳ hệ thống quản lý thiết bị nào. Các lợi ích kinh doanh từ tiêu chuẩn tích hợp thiết bị FIDO bao gồm:
Tính đơn giản – Các doanh nghiệp không còn phải trả nhiều tiền hơn cho quá trình lắp đặt kéo dài và đòi hỏi kỹ thuật cao hơn so với việc họ tự mua thiết bị. Mọi người ở bất kỳ cấp độ kinh nghiệm nào đều có thể áp dụng quy trình FDO tự động hóa cao một cách nhanh chóng và hiệu quả.
Tính linh hoạt – Các doanh nghiệp có thể quyết định nền tảng đám mây nào họ thích cho các thiết bị tích hợp tại thời điểm cài đặt (thay vì sản xuất). Một SKU thiết bị duy nhất có thể được tích hợp vào bất kỳ nền tảng nào, do đó đơn giản hóa đáng kể chuỗi cung ứng thiết bị.
Bảo mật – FDO thúc đẩy phương pháp tiếp cận “trình cài đặt không đáng tin cậy”, có nghĩa là trình cài đặt không còn cần – cũng như quyền truy cập như vậy – bất kỳ cơ sở hạ tầng / thông tin kiểm soát truy cập nhạy cảm nào để thêm thiết bị vào mạng.
“Đây là một cột mốc quan trọng nhằm giải quyết một trong những thách thức quan trọng hiện nay với việc triển khai các hệ thống IoT. Tiêu chuẩn FDO mới sẽ giúp giảm chi phí, tiết kiệm thời gian và cải thiện bảo mật, tất cả đều giúp ngành công nghiệp IoT mở rộng nhanh chóng ”, Christine Boles , phó chủ tịch của Tập đoàn Internet of Things và là tổng giám đốc của Bộ phận giải pháp công nghiệp tại Intel cho biết.
Bà giải thích: Việc triển khai tiêu chuẩn FDO cho phép các doanh nghiệp tận dụng cơ hội IoT đầy đủ bằng cách thay thế quy trình tích hợp thủ công hiện tại bằng một giải pháp công nghiệp tự động, bảo mật cao.
Giảm thiểu cần thiết
Sáng kiến mới nhất của Liên minh FIDO này làm giảm sự phụ thuộc của thế giới vào mật khẩu với xác thực đơn giản hơn, mạnh mẽ hơn. Quy trình mới ngăn chặn các cuộc tấn công có thể mở rộng và chiếm đoạt tài khoản.
Công ty nghiên cứu IDC dự kiến số lượng thiết bị IoT sẽ đạt 55,7 tỷ trên toàn thế giới. IDC cũng kỳ vọng thị trường IoT sẽ duy trì tốc độ tăng trưởng hàng năm hai con số và vượt mốc 1 nghìn tỷ USD vào năm 2022.
Những tiến bộ trong kết nối 5G và sự chuyển đổi kỹ thuật số tăng tốc trong các hoạt động kinh doanh đã làm tăng việc áp dụng các thiết bị kết nối internet. Tuy nhiên, đi kèm với nó là nguy cơ gia tăng và các bề mặt tấn công mở rộng cho các nhóm bảo mật và phát triển để củng cố và bảo vệ.
Peter Ellis, phó chủ tịch phát triển công ty của Veracode cho biết: “Các nhà sản xuất thiết bị kết nối và hệ thống nhúng đang chịu áp lực ngày càng tăng của thị trường trong việc tạo và triển khai các thiết bị an toàn mà không ảnh hưởng đến tốc độ phát triển hoặc trải nghiệm người dùng.
Phương pháp tiếp cận toàn diện của Finite State là một giải pháp SaaS duy nhất để phân tích các thiết bị này và chuỗi cung ứng làm nền tảng cho chúng. Ellis giải thích, nó giúp khách hàng nhanh chóng xác định, ưu tiên và khắc phục rủi ro bảo mật sản phẩm.
Một cuộc khảo sát gần đây của Omdia và IoT World Today đối với cả nhà cung cấp và người dùng doanh nghiệp cho thấy phần lớn các doanh nghiệp lo ngại nghiêm trọng về các vi phạm đối với cơ sở hạ tầng của họ. Trong số 170 nhà lãnh đạo IoT được khảo sát, 85% cho biết những lo ngại về bảo mật vẫn là rào cản lớn đối với việc áp dụng IoT.
Gần 2/3 (64%) số người được hỏi nói rằng bảo mật IoT đầu cuối là ưu tiên ngắn hạn hàng đầu của họ. Vấn đề đó vượt qua tính toán biên (55%), trí tuệ nhân tạo / máy học (50%) và triển khai 5G (28%).
Theo: Technewsworld.com
CÓ THỂ BẠN QUAN TÂM