Mejores prácticas de seguridad de punto final de la CII

Recientemente, The Industrial Internet Consortium ha publicado un documento interesante con sus Mejores prácticas de seguridad recomendadas para el Endpoint.

Barbara IoT siempre está entusiasmada con este tipo de iniciativas, ya que creemos firmemente que hay mucho trabajo por hacer en la seguridad de IoT y que el dispositivo es probablemente el eslabón más débil actualmente presente en la cadena de valor de IoT. Y como sabemos, la cadena es tan fuerte como el eslabón más débil, por lo que sería necesario asegurar los dispositivos (si aún no lo es).

Este artículo repasa los conceptos básicos de las recomendaciones de la CII y las asigna a la Barbara Software Platform, una solución segura para el ciclo de vida del dispositivo IoT. La siguiente tabla resume la matriz de cumplimiento:

Pero entremos en los detalles ...

Niveles de seguridad:

La CII define tres niveles de seguridad, Nivel de seguridad básico (SLB), Nivel de seguridad mejorado (SLE) y Nivel de seguridad crítico (SLC), correspondientes a los niveles de seguridad 2, 3 y 4 según se define en IEC 62443 3–3. El nivel básico protege contra "violación intencional utilizando medios simples con bajos recursos". El nivel mejorado protege nuestro sistema contra "medios sofisticados con recursos moderados". El nivel crítico aumenta proporcionando protección para "medios sofisticados con recursos extendidos". Dependiendo de la aplicación y las circunstancias, debe proteger su punto final con el nivel de seguridad apropiado.

En base a estos niveles de seguridad, la CII propone tres arquitecturas diferentes que deberían basarse en estándares abiertos y deberían ser interoperables entre los puntos finales de múltiples proveedores y plataformas múltiples para considerarse seguros.

IIC propone arquitecturas

Vamos a profundizar en cada uno de estos componentes, describiéndolos con más detalle y descubriendo cómo Barbara Software Platform cumple con las pautas de la CII.

Raíz de confianza:

Root of Trust (RoT) constituye la base de cada seguridad de punto final y proporciona características como identidad de punto final y certificación de identidad e integridad de software y hardware. Como puede imaginar, el punto final será tan fuerte como la raíz de confianza, por lo que una implementación segura de la raíz de confianza es obligatoria.

Específicamente, la CII afirma que para niveles de seguridad mejorados y críticos, Root of Trust debe implementarse en función del hardware. Para cumplir con las recomendaciones de la CII, es posible que necesitemos un chip de seguridad de hardware específico (o similar) con resistencia a la manipulación.

Con respecto a Root of Trust, Barbara Software Platform reúne todas las características de seguridad para fortalecer Root of Trust. Nuestra pila de software utiliza una PKI de propiedad privada (Infraestructura de clave pública basada en estándares de criptografía de clave pública), y proporciona los ganchos correspondientes para permitir integraciones fáciles con los Módulos de plataforma de confianza de elección del cliente.

Identidad de punto final:

La identidad de punto final es un componente básico para construir la mayoría de las características de seguridad. Según las recomendaciones de la CII, el soporte de PKI (Infraestructura de clave pública) es obligatorio para cubrir niveles básicos, mejorados y críticos. También se recomienda implementar un protocolo de administración de certificados estándar abierto para emitir y administrar certificados desde una CA (autoridad de certificación) interna o externa.

Como se comentó antes, Barbara Software Platform incluye su propia PKI basada en PKCS (Freeipa, www.freeipa.org/). FreeIPA es una solución integrada de identidad y autenticación que proporciona autenticación centralizada, autorización e información de cuenta. Según lo solicitado por la CII, FreeIPA se basa en componentes de código abierto y protocolos estándar conocidos.

Arranque seguro:

Un sistema confiable de arranque seguro que protege criptográficamente el encendido del punto final es nuevamente un requisito para niveles básicos, mejorados y críticos. Según las mejores prácticas de la CII, esto puede implementarse hashes criptográficos basados ​​en PKCS (Estándares de criptografía de clave pública). Al hacerlo, podemos estar seguros de que el software sin las claves adecuadas podría arrancar el dispositivo. Barbara Software Platform se puede transportar a placas de hardware que admitan un arranque seguro dentro de un esfuerzo razonable.

Servicios criptográficos y comunicaciones seguras:

El uso de la criptografía durante el transporte de datos (en movimiento), para el almacenamiento de datos (en reposo) y las aplicaciones (en uso) es un requisito claro para los tres niveles de seguridad antes mencionados (Básico, Mejorado, Crítico). Las características necesarias para proporcionar dicha protección son:

  • Algoritmos criptográficos basados ​​en estándares validados por NIST / FIPS.
  • Conjuntos de cifrado asimétricos y simétricos, funciones hash y números aleatorios. generadores lo suficientemente fuertes y basados ​​en PKCS (estándares de criptografía de clave pública)
  • Capacidad de actualización en campo de algoritmos criptográficos para poder cubrir posibles vulnerabilidades.
  • Control basado en políticas del uso de aplicaciones de funciones criptográficas, evitando el uso de criptografía no segura.
  • Interoperabilidad de claves criptográficas y certificados en sistemas de múltiples proveedores.

Barbara Software Platform implementa varias características que garantizan la calidad de los servicios criptográficos. Utiliza LUKS de forma predeterminada, que es el estándar para el cifrado de disco duro LINUX. LUKS es abierto, por lo que es fácilmente auditable y se basa en PKCS como se recomienda.

En el lado del transporte de datos, Barbara OS contiene las bibliotecas necesarias para comunicarse utilizando los protocolos de aplicación estándar de IoT sobre el transporte cifrado (TLS y DTLS).

Además de eso, se requiere una pila segura de comunicaciones de extremo a extremo para los tres niveles definidos. Esta pila de comunicaciones debe incluir soporte para autenticación, conectividad protegida, firewall de punto final e inclusión de protocolos de transporte seguros (TLS, DTLS, SSH ...). Todas estas características están incluidas en Barbara Software Platform, por lo que TODAS las comunicaciones de Barbara están autenticadas y encriptadas.

Configuración y gestión de puntos finales

Y se requiere un sistema escalable para actualizar el sistema operativo, las aplicaciones y / o la configuración del dispositivo para cumplir con los niveles mejorado y crítico, teniendo en cuenta que puede ser necesario realizar dichas actualizaciones en más de millones de puntos finales al mismo tiempo. Por supuesto, todas estas operaciones deben realizarse en un entorno seguro, incluida la validación basada en certificados entre la entidad que sirve la actualización y el punto final que la recibe.

En este sentido, Barbara Software Platform incluye el Panel Barbara. Barbara Panel es la solución del lado del servidor para administrar todos los puntos finales de una implementación de IoT. Proporciona una consola simple y centralizada para la administración de actualizaciones OTA (Over The Air), monitoreo de dispositivos y administración de configuración. Todas estas características se ofrecen dentro del mejor entorno de seguridad de su clase.

Monitoreo continuo

La supervisión en tiempo real del punto final es un requisito para el nivel crítico de seguridad, según la CII. Esto permitiría al usuario controlar y prevenir cambios no autorizados en la configuración y tener control a nivel de aplicación para detectar y prevenir actividades no autorizadas como el uso de cifrados inseguros que pueden comprometer el sistema.

Barbara Panel incluye un sistema de alerta que permitiría al usuario recibir alertas de seguridad predefinidas y definir sus propias alertas y llevarlas a los puntos finales.

Panel de políticas y actividades

Para cumplir con el nivel crítico, se requiere la capacidad de administrar puntos finales de forma remota. El administrador del sistema debe poder impulsar y ejecutar políticas de una manera que garantice la distribución correcta de las políticas en la red, actuando de esa manera como un marco de seguridad efectivo.

Barbara Panel permite a los administradores de implementación monitorear las actividades de los puntos finales y definir e impulsar políticas de seguridad basadas en la información adquirida. Como ejemplo, las nuevas políticas pueden implementar nuevas reglas en el firewall antes mencionado cuando se detectan patrones de comunicación sospechosos.

Información del sistema y gestión de eventos

Vinculado al párrafo anterior, la capacidad de capturar registros de eventos y definir y distribuir políticas basadas en la información de los registros también es un requisito para el nivel Crítico. Se recomienda que estas operaciones de administración se realicen utilizando modelos de datos o formatos extensibles como REST API o JSON.

El sistema de registro de Barbara Software Platform proporciona a los administradores del sistema una gran cantidad de información que se utilizaría para generar políticas de seguridad.

Conclusión

Barbara IoT está haciendo un gran esfuerzo para crear un producto seguro. Un producto que se puede utilizar en los escenarios más exigentes en términos de seguridad industrial. Al igual que la CII, creemos que este tipo de iniciativas pueden ayudar a todo el ecosistema de la industria al promover la confianza y empoderar a todos los actores dentro del ecosistema.

Referencias

  • http://www.iiconsortium.org/
  • Mejores prácticas de seguridad de punto final de la CII; CII: WHT: IN17: V1.0: PB: 20180312 Steve Hanna, Srinivas Kumar, Dean Weber.
  • https://github.com/guardianproject/luks/wiki
  • Lo que los usuarios deben saber sobre Full Disk Encryption basado en LUKS, Simone Bossi y Andrea Visconti; Laboratorio de Criptografía y Codificación (CLUB), Departamento de Informática, Universitá degli Studi di Milano http://www.club.di.unimi.it/

Esta publicación se publicó originalmente en barbaraiot.com el 6 de junio de 2018. Si te gusta y quieres recibir contenido similar, suscríbete a nuestro boletín