Quyền bảo mật IoT là vấn đề cấp bách với toàn cộng đồng mạng
An toàn thông tin - Ngày đăng : 16:43, 31/07/2018
Đã hết thời gian để thiết lập các tiêu chuẩn bảo mật cho Internet of Things. Ủy ban Cố vấn Viễn thông An ninh Quốc gia của Tổng thống (NSTAC) đã kiểm tra các tác động an ninh mạng của IoT và đã xác định rằng có một cửa sổ đóng hờ và nhanh chóng, để đảm bảo rằng IoT được áp dụng theo cách tối đa hóa an ninh và giảm thiểu rủi ro.
Trong khi việc áp dụng IoT đang gia tăng cả về tốc độ và phạm vi, và sẽ tác động hầu như tất cả các lĩnh vực của xã hội chúng ta, NSTAC cảnh báo rằng nếu đất nước thất bại trong việc phát triển và sử dụng các tiêu chuẩn an ninh, "nó sẽ để lại hậu quả cho các thế hệ."
Chủ tịch Ủy ban về Tăng cường an ninh quốc gia đã đạt được một kết luận tương tự: “IoT tạo điều kiện liên kết một loạt các thiết bị và sản phẩm đáng kinh ngạc với nhau và trên thế giới. Mặc dù kết nối này có tiềm năng cách mạng hóa hầu hết các ngành công nghiệp và nhiều khía cạnh của cuộc sống hàng ngày, nhưng các tác nhân độc hại có thể gây ra bằng cách khai thác các công nghệ này để truy cập vào các bộ phận cơ sở hạ tầng quan trọng của chúng tôi”.
Để giảm thiểu những rủi ro này, Dự thảo Báo cáo NISTIR 8200 của Viện Tiêu chuẩn và Công nghệ (NIST) luôn sẵn sàng đón nhận các nhận xét của khu vực tư nhân về việc phát triển các tiêu chuẩn bảo mật IoT cần thiết trên toàn cầu. Với việc số lượng vi phạm IoT liên tục gia tăng, yêu cầu nhận xét này có thể đúng lúc.
Bảo mật IoT là mối quan tâm của toàn cộng đồng
IoT ở khắp mọi nơi, và nếu khai thác bởi tin tặc hoặc khủng bố, có thể gây ra thiệt hại về thể chất, bao gồm tàn phá cơ sở hạ tầng quan trọng, gây hại cho con người hoặc thậm chí tử vong. Điều này đặt các nhóm tiêu chuẩn ở một vị trí bấp bênh đòi hỏi các thỏa thuận quốc tế về cách giải quyết bảo mật IoT trên cơ sở toàn cầu.
Có một mối quan tâm thêm với sự tương tác của các quá trình IoT và các hành động máy vô hình. Ví dụ, bảo mật hệ thống phòng chống xâm nhập (IPS) yêu cầu xác thực chuyên môn, xác nhận, mã hóa và khả năng quản lý quy trình mà không nhất thiết phải có thể theo các tiêu chuẩn bảo mật mạng hiện hành.
Trong mã hóa một mình, có hai vấn đề ngày càng đáng quan tâm, theo NIST. Đầu tiên, IoT có bộ nhớ hạn chế và bộ nhớ hạn chế cứng hóa mã hóa cao cấp trong khi mở rộng kết nối tới hàng triệu điểm cuối của quá trình hệ thống mới. Thứ hai, các công nghệ mã hóa và xác thực hiện tại không được thiết kế để được triển khai theo các tiêu chí tiêu chuẩn.
IoT cung cấp học hỏi sâu hơn, một cách hệ thống và kết nối, do đó đòi hỏi các phương pháp bảo mật có thể tương thích với nhau trên tất cả các hệ thống. Những khả năng cần thiết này yêu cầu các phương pháp bảo mật có thể hoạt động hiệu quả trên tất cả các nền tảng phần cứng, mạng, giao thức và phần mềm với các giới hạn xử lý bổ sung và các yêu cầu đa giao thức của IoT.
Bảo mật IOT là một yêu cầu cao. Các ý kiến về Dự thảo của NIST cho thấy những thay đổi cần phải được thực hiện trong các tiêu chuẩn hiện tại với khả năng triển khai các công nghệ bảo mật mạng hoàn toàn phá vỡ để đạt được bảo mật IoT.
Bảo mật IoT có thể hoàn thiện toàn bộ các vấn đề an ninh mạng?
Bảo mật IoT không phải là bảo mật điển hình. Nó đôi khi thêm một lớp gồm toàn bộ các sự kiện quy trình vào một hệ điều hành đã phức tạp. Nhiều hệ thống xử lý đã có vấn đề về bảo mật, thêm IoT có thể mở thêm điểm yếu cho chúng. Đây là kịch bản "liên kết yếu nhất", trong đó thiết bị IoT nhỏ nhất có thể gây ra hậu quả thảm khốc.
Có một lợi thế để học cách bảo vệ IoT. Nếu một hành động IoT nhỏ có thể được bảo mật ở mức bộ xử lý của hệ điều hành, thì các kỹ thuật tương tự yêu cầu bảo mật một phần nghìn giây có thể được sử dụng trong nhiều ứng dụng quy trình hệ thống khác nhau. Bảo mật IoT có thể là quá trình học tập cần thiết để đạt được bảo mật quy trình hệ thống hoàn chỉnh.
Việc tìm câu trả lời cho các yêu cầu bảo mật IoT không hề dễ dàng. Ứng dụng vật lý của IoT đòi hỏi nhiều xác thực bảo mật con người và máy móc khác nhau trong khi mở rộng sự thông minh và sự kiện trong suốt quá trình triển khai hệ thống. Phần mở rộng này thường được kết nối với các tiến trình hệ thống đã có những lo ngại về bảo mật, chẳng hạn như các ứng dụng đám mây và thậm chí các hệ sinh thái IoT được phân lập cục bộ được sử dụng trong các cuộc tấn công DDoS. Có được một nền tảng bảo mật IOT vững chắc có thể là một bản đồ dẫn đường trong việc giải quyết tất cả các hình thức bảo mật mạng. Từ việc mã hóa cứng đến quá trình học hỏi sâu, nếu bạn có thể bảo mật IoT bạn có thể đảm bảo an toàn bất cứ điều gì.
Đã đến lúc yêu cầu quyền bảo mật IoT
Nhóm làm việc chuẩn hóa an toàn quốc tế về an ninh quốc tế cung cấp một hướng đi thú vị để đánh giá tiêu chuẩn quốc gia và quốc tế về IoT. Các ứng dụng IoT công cộng và khu vực tư nhân toàn cầu có thể bị ảnh hưởng rất nhiều trong các cuộc tấn công mạng của IoT. Điều này thể hiện NIST với nhiệm vụ khó khăn trong việc giải quyết các giải pháp công nghệ tốt nhất cho bảo mật IoT trong khi vẫn giải quyết được ảnh hưởng của chính trị và doanh nghiệp đã có trong các tiêu chuẩn an ninh mạng hiện tại.
Với khu vực tư nhân chỉ ra những vấn đề lớn với bảo mật IoT và Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) từ chối các thuật toán mã hóa NSA IoT, đây có thể là thời điểm để bảo mật IOT. Nó có thể xảy ra thông qua các nguyên tắc và quy định của chính phủ liên quan đến các cơ quan tiêu chuẩn toàn cầu, như ODVA, OPC và ISA; hoặc nó có thể xảy ra thông qua các nhóm ngành, chẳng hạn như Nhóm công tác kỹ thuật Internet (IETF), nhóm công tác bảo mật Internet công nghiệp (IIC), hoặc IEEE. Thế giới hiểu tầm quan trọng của việc bảo vệ các thiết bị và hệ thống IoT, và NIST đang đi đầu trong nhu cầu này.
Bây giờ bắt đầu công việc khó khăn. Chúng ta cần có những tiêu chuẩn này đúng và nhanh. Bảo mật IoT trả lời nhiều vấn đề tồn tại mà nhiều hệ thống bảo mật mạng không thể tự trả lời. Dữ liệu ở phần còn lại, chữ ký chuyển động và thuật toán chính đều dễ bị tấn công. Vì vậy, các chữ ký và khóa giống nhau nhân với hàng tỷ thiết bị IoT không thể quản lý được. Việc xem và xác thực sự kiện kỹ thuật số nhỏ nhất phải được giải quyết với tốc độ và độ chính xác chưa bao giờ có sẵn trong các công nghệ bảo mật mạng hiện tại.
Các môi trường bảo mật đã có các vấn đề về khả năng mở rộng, giám sát, quản lý và chi phí. IoT cung cấp một điểm cuối mở rộng hoàn toàn mới trong các quy trình đòi hỏi các phương pháp giám sát và bảo mật được quản lý sâu hơn và dễ dàng hơn. Các chuyên gia bảo mật IoT phải tìm cách cho phép điều này được thực hiện tại các hệ thống phức tạp nhất, sâu nhất trong khi thêm tính đơn giản về quá trình bảo mật cần thiết.
Điều này có thể đòi hỏi một cách suy nghĩ khác nhau trong một ngành công nghiệp đang đạt đến mức độ phức tạp và việc làm nó không còn có thể duy trì được nữa. Phần bình luận của Dự thảo NIST cung cấp một cơ hội để đáp ứng các nhu cầu bảo mật IoT này trong một diễn đàn khu vực công và tư nhân. Cả hai lĩnh vực cần phải tham gia và cộng tác trong việc giải quyết các yêu cầu toàn cầu về bảo mật IoT.
Tiêu chuẩn về Steroids
Sự tham gia của khu vực công và tư nhân trong an ninh mạng cần phải tiếp tục. Tất cả chúng ta sẽ đạt được bằng cách làm việc cùng nhau về vấn đề này. Không có hình ảnh nào tốt hơn việc bảo vệ IoT. Trong thực tế, nó đòi hỏi sự hợp tác quốc tế trong nhiều ứng dụng trong khi vẫn cung cấp các yêu cầu độc quyền hoặc thậm chí độc quyền cho quốc phòng và cơ sở hạ tầng quan trọng.
Phải có sự cân bằng về tính xác thực, quyền riêng tư và bảo mật ở cả cấp độ con người và máy. Chúng tôi không còn có khả năng sử dụng Band-Aids trên các tiêu chuẩn bảo mật cũ. Chúng tôi phải tìm kiếm và triển khai các thiết kế bảo mật không chậm trễ nhưng khắc phục được sự cố. Bằng cách chọn khả năng phù hợp, chúng tôi có thể giải quyết vấn đề này.
IoT có hồ sơ an ninh tồi tệ nhất trong ngành và ít được thực hiện về nó. Chúng ta cần phải tìm một cách khác để hoàn thành công việc nếu chúng ta bắt kịp cuộc đua với an ninh mạng. Các lỗ hổng của IoT đã buộc các nhóm tiêu chuẩn như NIST suy nghĩ chỉnh sửa các tiêu chuẩn cũ. Chúng ta cần bắt kịp các công nghệ không gian mạng và có cách tiếp cận cộng tác riêng tư để tìm ra câu trả lời. Chúng tôi đã có cơ hội. Bây giờ chúng ta phải biến đổi cơ hội thành hành động.