NIST의 새로운 IoT 간행물(NISTIR 8228)이 기기에 미치는 영향

최근 NIST(National Institute of Standards and Technology)는 NIST 내부 보고서(NISTIR) 8228, 사물 인터넷(IoT) 사이버 보안 및 개인 정보 위험 관리에 대한 고려 사항 초안을 발표했습니다. IoT 장치와 관련된 사이버 보안 및 개인 정보 위험을 관리하는 방법에 대한 일련의 출판물의 기초 역할을 하기 위한 것입니다.

NISTIR 8228은 연방 기관과 민간 조직을 대상으로 하며 IoT 장치의 세 가지 심각한 보안 취약성을 식별합니다. NISTIR 8228은 또한 위험 완화를 위한 세 가지 목표를 정의합니다.

NISTIR 8228―IoT 기기의 보안 취약성에 대해 자세히 설명

IoT 장치는 기존 IT 장치가 하지 않는 방식으로 물리적 세계와 상호 작용합니다. 컴퓨터, 태블릿 또는 스마트폰과 달리 IoT 장치는 Windows 또는 Mac OS 운영 체제에서 실행되지 않습니다. 그러나 이러한 장치 중 많은 수가 인터넷에 연결되어 있어 보안 컴퓨터 네트워크에 대한 진입점이 허용됩니다.

IoT 장치는 일반적으로 IT 직원이 모니터링하고 패치하기가 어렵거나 불가능한 맞춤형 독점 운영 체제에서 작동하므로 위험을 완화하는 유일한 방법은 VLAN 방화벽 뒤에 있는 회사 네트워크에 배치하여 장치가 더 많은 장치에 액세스하지 못하도록 방지하는 것입니다. 네트워크의 민감한 부분. 해커가 네트워크의 IoT 장치에 액세스하면(일반적으로 장치 제조업체가 설계하고 설치한 운영 체제의 취약점을 발견했기 때문에) 해당 네트워크에 연결된 모든 컴퓨터에 공격을 시작할 수 있습니다. 가장 일반적인 공격 유형은 일반적으로 기본 자격 증명만 사용하는 단순 SSH 암호 무차별 대입 공격입니다.

또한 IoT 장치를 봇넷으로 모집하여 DDoS(분산 서비스 거부) 공격에 사용할 수 있습니다. 2016년 10월 인터넷 도메인 서비스 Dyn은 역사상 가장 큰 DDoS 공격을 받았습니다. 공격자는 수백만 개의 보안되지 않은 IoT 장치를 봇넷 군대로 모집하여 Dyn 사이트로 대량 트래픽을 보내 트래픽 속도를 느리게 하고 결국 사이트를 충돌시킵니다. 해커는 장치의 독점 운영 체제 소프트웨어의 취약점을 악용하여 IoT 장치에 대한 액세스 권한을 얻었습니다.

위험은 여기서 끝나지 않습니다. 일부 IoT 장치는 HVAC, 엘리베이터, 스프링클러 시스템과 같은 물리적 시스템을 변경할 수 있는 능력이 있으며 명령을 받을 경우 물리적 손상이나 안전 위험을 초래할 수 있는 기타 장치가 있습니다.

귀사의 IoT 추적 시스템을 안전하게 구현할 수 있는 방법을 찾고 계십니까? LinkLabs에서 무료 데모를 신청하십시오.

NIST IoT 프레임워크 권장 사항

사이버 보안 및 개인 정보 보호 위험을 해결하기 위해 NIST IoT 프레임워크는 조직이 IoT 장치 수명 주기 전반에 걸쳐 취할 수 있는 조치를 권장합니다. 여기에는 다음이 포함됩니다.

NIST에 따르면 위험 완화를 지원하기 위해 보안 및 개인 정보 보호 기준을 설정하는 데 많은 관심이 있었습니다. 대부분의 초점은 제조업체가 장치에 보안 및 개인 정보 보호 기능을 구축하는 데 있었습니다. 그것이 앞으로의 솔루션이 될 수 있지만 현재 이러한 기능이 부족한 수백만 개의 IoT 장치가 사용되고 있습니다. 제조업체가 시판 전 보안 및 개인 정보 보호 기능을 개선하고 이를 장치에 구축하는 데는 시간이 걸릴 것입니다. IoT 장치를 너무 비싸게 만들지 않으면서 이러한 기능을 추가하는 것과 관련된 추가적인 문제도 있을 것입니다.

다양한 IoT 장치에 필요한 보안 유형 및 수준과 관련하여 NIST IoT 프레임워크에 설명된 다른 고려 사항이 있습니다. 일부의 경우 장치 자체에만 보호가 필요할 수 있습니다. 다른 장치에는 장치 보안 외에 데이터 보안이 필요할 수 있으며 일부 장치에는 장치 및 데이터 보안과 함께 개인 정보 보호가 필요할 수 있습니다. 현재까지 이러한 개별 요구 사항은 차별화되지 않았으므로 조직에서 특정 IoT 장치 및 용도에 적용할 사항을 결정해야 합니다.

NIST IoT 프레임워크는 보안되지 않은 IoT 장치와 관련된 위험을 해결하기 위한 유용한 출발점을 제공하지만 이는 첫 번째 단계일 뿐입니다. 비용 효율적인 보안 장치를 설계 및 구축하고 이미 사용 중인 수백만 대의 IoT 장치로 인한 위험을 해결해야 하는 과제가 남아 있습니다.

Dyn 공격이 현재 사용 중인 많은 IoT 장치의 취약점을 입증한 지 2년이 지났고 이러한 장치 제조업체가 보안 위험에 대한 시판 전 솔루션을 찾기까지 몇 년이 더 지나야 할 것입니다. 기업은 그동안 자산 및 자재의 자동 추적 및 모니터링에 사용하는 IoT 장치로 인한 위험을 어떻게 완화할 수 있습니까?

기성 IoT 장치의 보안을 크게 높일 수 있는 한 가지 간단한 접근 방식은 제조업체에서 장치에 프로그래밍한 기본 암호를 변경하는 것입니다. 이것은 IoT 장치가 몇 개 밖에 없는 소비자를 위한 간단한 솔루션입니다. 그러나 자산 추적 및 모니터링에 수백 개 이상의 장치를 사용하는 기업의 경우 수백 개의 태그를 재프로그래밍하는 데 필요한 시간과 노동으로 인해 불만족스러운 장치입니다.

귀사가 IoT 기술을 구현하는 안전한 방법을 찾고 있다면 Link Labs에 문의하십시오. AirFinder 시스템은 IoT 장치를 회사 컴퓨터 네트워크와 별도의 전용 네트워크에 격리하고 표준 IP 프로토콜을 사용하지 않으므로 손상시키기 어렵습니다. 광역 네트워크의 경우 Symphony Link 시스템은 NSA 표준에서 안전한 것으로 간주되는 PKI(공개 키 인프라), 장치에 물리적으로 액세스하지 않고도 빠르고 쉽게 취약점을 패치하는 무선 펌웨어, 실시간 고급 암호화 표준( AES) 키 교환 및 네트워크 트래픽에 대한 은행급 TLS(전송 수준 보안). NISTIR 8228에 설명된 일반적인 IoT 보안 위험을 피하고 배포하기 쉬운 보안 추적 시스템에 대해서는 지금 Link Labs에 문의하십시오.