구축 또는 구매 여부 – IoT 장치 보안은 우리 모두의 관심사입니다

사물 인터넷(IoT)은 IoT를 시설 및 운영에 통합하거나 혁신적인 제품으로 IoT 시장에 진입하려는 중소기업(SMM)에게 많은 매력을 제공합니다. 사용 가능한 IoT 제품의 스펙트럼은 광범위하고 지속적으로 증가하고 있습니다. IoT 분야로 진출할 때 IoT를 환경에 도입할 때 조직 위험 관리에 대한 의미 또는 제품 공급업체로 시장에 진입할 때 제품 설계 및 지원에 대한 고려 사항의 형태로 잠재적인 사이버 보안 함정에 대비하는 것이 도움이 됩니다. 사물 인터넷을 위한 NIST 사이버 보안 프로그램은 SMM이 이러한 잠재적인 난기류를 탐색하는 데 필요한 정보를 제공하기 위해 노력하고 있습니다.

IoT 및 위험 관리

직원을 편안하게 유지하기 위해 스마트 온도 조절기를 설치하기 전에 휴게실에 스마트 커피 포트를 추가하여 카페인을 유지하도록 하거나 생산 환경에 최신 ICS(산업 제어 시스템) 기술을 배포하기 전에 잠재적인 영향을 인식하는 것이 중요합니다. 기존 IT를 위한 강력한 정보 보안 프로그램이 있을 수 있지만 IoT가 도입되면 이러한 도구, 프로세스 및 절차에 적응이 필요할 수 있습니다. IoT가 다른 몇 가지 점은 다음과 같습니다.

<울>

물리적 세계와 상호작용. IoT 장치에는 환경에서 정보를 수집하는 센서나 "실제" 개체를 움직이거나 변경하는 액추에이터가 장착되어 있습니다. 감지는 잠재적으로 민감한 많은 데이터를 생성할 수 있으므로 수집된 내용과 정보가 어디로 가는지 아는 것이 중요합니다. 손상된 액츄에이터는 공격자가 심각한 혼란을 야기할 수 있습니다. 스마트 잠금 장치를 누가 명령하는지 모르는 경우 어떤 일이 발생할 수 있는지 생각해 보세요.

기존 IT 관리 관행에 도전 IoT 장치는 종종 내부 진행을 가리는 "블랙 박스"이며 에이전트를 장착할 수 없거나 서버, 데스크톱 또는 방화벽과 같은 방식으로 쿼리할 수 없습니다. 결과적으로 일반적인 IT 관리 관행은 IoT에서 비효율적인 것으로 판명될 수 있습니다. IoT 기기를 "규모에 맞게" 배포하는 경우 이러한 관리 문제가 빠르게 증가할 수 있습니다.

공통 사이버 보안 및 개인 정보 보호 기능이 부족합니다. IoT 장치는 종종 로깅 및 모니터링에 대한 지원, 새로 식별된 취약점을 해결하기 위한 장치 업데이트 지원 또는 생성 또는 처리하는 민감한 정보를 보호하는 데 필요한 암호화 기능이 부족합니다. 이러한 장치가 동일한 네트워크에 있는 IT 장치와 동일한 사이버 보안 기능을 가지고 있다고 가정할 수 없습니다.

IoT를 환경에 도입하는 SMM은 이러한 문제를 해결할 준비가 되어 있어야 합니다. IoT 시장에 벤더로 진입하는 경우 이러한 과제를 이해하는 것이 더 나은 고객 경험을 제공하는 제품을 개발할 수 있는 기회가 될 수 있습니다.

IoT 보안 위험 관리

조직에 IoT 기술을 도입할 때 SMM은 세 가지 목표를 염두에 두고 이러한 문제를 해결할 계획을 세워야 합니다.

<올>

IoT 기기 보안을 보호하여 제품이 완전히 소유자의 통제 하에 있도록 하고 SMM의 네트워크에 액세스하거나 봇넷에 참여하기 위해 외부 행위자가 악용하지 않도록 합니다.

IoT 기기에서 생성된 데이터가 기기에 저장되거나, 네트워크를 통해 전송되거나, 제품 기능을 제공하는 데 사용되는 클라우드 기반 서비스로 전송되는 동안 노출되거나 변경되지 않도록 데이터 보안을 보호합니다.

개인의 개인 정보를 보호하고, 개인 정보에 민감한 정보가 IoT 제품에 의해 캡처되거나 생성될 가능성에 대해 경고하고, 해당 데이터가 어디로 이동할 수 있는지 인식합니다.

이러한 목표는 NISTIR 8228, 사물 인터넷(IoT) 사이버 보안 및 개인 정보 위험 관리에 대한 고려 사항에 명시되어 있습니다. , 현재 사용 가능한 IoT 제품으로는 달성하기 어려울 수 있습니다. NIST 사이버 보안 프레임워크(CSF)를 적용하거나 NIST SP 800-53 제어를 사용하여 보안 요구 사항을 정의하는 조직의 경우 NISTIR 8228은 IoT 장치가 CSF 및 SP 800-53이 의도한 목적을 달성하기 위해 제시하는 다양한 문제를 식별합니다. 예를 들어 SP 800-53의 제어 SI-2, 결함 수정은 보안 소프트웨어/펌웨어 업데이트 기능이 없는 IoT 기기에서 만족할 수 없습니다. 마찬가지로 많은 IoT 장치는 CSF 하위 범주 DE.CM-8:수행되는 취약성 검사를 충족하는 데 필요한 방식으로 분석할 수 없습니다.

IoT 장치의 보안 기능은 장치가 통합되는 시스템의 전체 보안 요구 사항을 달성하는 데 기여하므로 위에서 식별된 세 가지 목표에 대한 고려 사항은 IoT 제품의 선택과 제품 관리 방식을 고려해야 합니다.

IoT 제품의 보안 태세 개선

IoT 제품을 만들려는 경우 사이버 보안 문제에 대한 인식이 제품 개발 및 지원에 대한 접근 방식을 안내하는 데 도움이 될 수 있습니다. 위에서 설명한 세 가지 목표는 IoT 제품을 개발할 때도 적용됩니다. 이러한 목표를 염두에 두고 개발에 대한 사려 깊은 접근 방식을 사용하면 보다 관리하기 쉽고 안전한 제품을 만들 수 있습니다. 이 접근 방식에는 NISTIR 8259, IoT 기기 제조업체를 위한 기초 사이버 보안 활동의 그림에서 볼 수 있듯이 제품의 설계 및 개발 단계와 제품이 출시된 후 지원 단계가 모두 포함됩니다. .

핵심 기준은 다양한 요구 사항에 대한 장치 기능 및 지원 작업을 설명합니다.

기술적 사이버 보안 기능

기기 식별	IoT 기기는 논리적, 물리적으로 고유하게 식별될 수 있습니다.
장치 구성	IoT 기기의 소프트웨어 구성은 변경될 수 있으며, 이러한 변경은 권한 있는 주체만 수행할 수 있습니다.
데이터 보호	IoT 기기는 저장 및 전송하는 데이터를 무단 액세스 및 수정으로부터 보호할 수 있습니다.
인터페이스에 대한 논리적 액세스	IoT 기기는 로컬 및 네트워크 인터페이스에 대한 논리적 액세스와 이러한 인터페이스에서 사용되는 프로토콜 및 서비스를 승인된 엔터티로만 제한할 수 있습니다.
소프트웨어 업데이트	IoT 기기의 소프트웨어는 안전하고 구성 가능한 메커니즘을 사용하여 승인된 주체만 업데이트할 수 있습니다.
사이버 보안 상태 인식	IoT 기기는 사이버 보안 상태를 보고하고 해당 정보를 승인된 주체만 액세스할 수 있도록 할 수 있습니다.

비기술적 지원 기능

문서	제조업체 및/또는 지원 주체가 장치 개발 및 후속 라이프사이클 전반에 걸쳐 IoT 장치의 사이버 보안과 관련된 정보를 생성, 수집 및 저장할 수 있는 능력
정보 및 쿼리 수신	제조업체 및/또는 지원 주체가 IoT 장치의 사이버 보안과 관련된 정보 및 쿼리를 고객으로부터 수신할 수 있는 능력.
정보 보급	제조업체 및/또는 지원 주체가 IoT 기기의 사이버 보안과 관련된 정보를 방송 및 배포할 수 있는 능력
교육 및 인식	제조업체 및/또는 지원 주체가 사이버 보안 관련 정보, IoT 장치의 고려 사항 및 기능과 같은 요소에 대한 인식을 제고하고 고객을 교육할 수 있는 능력

기술 및 비기술적 기준 적용과 결합된 계획 활동은 SMM이 더 안전하고 더 잘 지원되는 제품을 개발하는 데 도움이 되며, 고객이 위험 관리 문제에 미치는 영향을 제한하면서 IoT 혁신을 활용할 수 있도록 지원합니다.

도움이 되는 정보

사물 인터넷을 위한 NIST 사이버 보안 프로그램은 지난 몇 년 동안 커뮤니티와 긴밀히 협력했으며 IoT 사이버 보안 문제에 대한 풍부한 지침 모음을 개발했습니다. IoT 통합을 통해 운영을 개선하려는 SMM이든 신제품으로 시장에 진입하려는 경우든, 이러한 노력을 지원하는 데 사용할 수 있는 많은 리소스와 출판물이 있습니다.

NIST의 IoT용 사이버 보안은 현재 공개 초안에 대한 제조업체 iotsec [at] nist.gov(피드백)를 환영합니다.