Em maio de 2020, o NIST publicou Atividades fundamentais de segurança cibernética para fabricantes de dispositivos IoT (NIST IR 8259), que descreve as atividades de segurança cibernética recomendadas que os fabricantes devem considerar realizar antes que seus dispositivos IoT sejam vendidos aos clientes. Essas atividades fundamentais de segurança cibernética podem ajudar os fabricantes a diminuir os esforços relacionados à segurança cibernética necessários para os clientes, o que, por sua vez, pode reduzir a prevalência e a gravidade dos comprometimentos de dispositivos IoT e os ataques realizados usando dispositivos comprometidos. Nos quase cinco anos desde que este documento foi lançado, ele foi publicado em três idiomas (inglês, espanhol e português), baixado mais de 40.000 vezes e foi complementado por duas entradas adicionais na série: Linha de base principal do recurso de segurança cibernética do dispositivo IoT(NIST IR 8259A)e Linha de base principal do recurso de suporte não técnico de IoT(NIST IR 8259B). O NIST IR 8259A e o NIST IR 8259B complementam as atividades descritas no NISTIR 8259 com recursos técnicos específicos e atividades de suporte não técnico que os fabricantes devem considerar em seus projetos de produtos e planos de suporte para ajudar a garantir que estejam atendendo às necessidades e objetivos de segurança cibernética dos clientes.
A série NIST IR 8259 introduziu conceitos para ajudar fabricantes e clientes a considerar o funcionamento da segurança cibernética de dispositivos IoT destinados a serem conectados a uma rede ou sistema. No entanto, conceitos adicionais de IoT chamaram nossa atenção por meio dos esforços do NIST para construir sobre as bases da série NIST IR 8259 que podem ser úteis para adicionar ao NIST IR 8259. O NIST busca discussões e feedback da comunidade ao iniciar o esforço de atualização do NIST IR 8259 em nosso próximo workshop em 4 de dezembroésimo…e além!
Nossa equipe se baseou nos conceitos introduzidos na série IR 8259 em publicações subsequentes para elaborar a segurança cibernética para vários setores e casos de uso (por exemplo, casos de uso de agências federais e a Marca de Confiança Cibernética dos EUA). O NIST IR 8259 serve como um documento fundamental para todas essas publicações, fornecendo a base conceitual e contextual para sua orientação. Mas, em sua extensão da orientação, essas publicações subsequentes também introduzem novos conceitos. Essas publicações incluem:
- Orientação de segurança cibernética de dispositivos IoT para o governo federal (NIST SP 800-213) – Uma aplicação da série NIST IR 8259 ao governo federal, incorporando a segurança cibernética do produto nas várias orientações de gerenciamento de risco do sistema de informação do NIST. Este documento discute a relação entre a segurança cibernética do produto e a avaliação de riscos. Além disso, o companheiro Catálogo de requisitos de segurança cibernética de dispositivos IoT(NIST SP 800-213A), fornece a lista mais detalhada de recursos que podem ser necessários dos dispositivos e seus fabricantes para tornar esses dispositivos protegíveis. Este catálogo fornece muitos recursos adicionais, indo muito além das linhas de base, incluindo um novo recurso técnico (ou seja, segurança do dispositivo).
- Perfil da linha de base do IoT Core para produtos IoT de consumo (NIST IR 8425) – Um perfil do NIST IR 8259A e do NIST IR 8259Bpara produtos IoT de consumo. Este documento de linha de base do consumidor levou à expansão explícita de conceitos para considerar diretamente um produto e todos os seus componentes necessários, como um aplicativo móvel, gateway ou back-end remoto.
- Requisitos de segurança cibernética recomendados para produtos de roteador de nível de consumidor (NIST IR 8425A) – Este relatório inclui resultados de segurança cibernética para produtos de roteador de nível de consumidor e requisitos associados de padrões de roteador, demonstrando como os padrões e outras orientações podem fornecer a base para requisitos que demonstram a satisfação da capacidade de segurança cibernética ou declarações de resultados.
- Manual de segurança cibernética de desenvolvimento de produtos: conceitos e considerações para fabricantes de produtos IoT (Projeto CSWP 33). Uma discussão de conceitos importantes para o desenvolvimento e a implantação de produtos seguros de IoT para qualquer setor ou caso de uso, incluindo arquitetura, implantação, funções e perspectivas de segurança cibernética de produtos de IoT.
O NIST propõe a revisão do NIST IR 8259 para melhor alinhar com os conceitos introduzidos nessas publicações. Além disso, alguns tópicos surgiram consistentemente em nossas discussões com a comunidade que consideramos áreas potenciais para adicionar a um NIST IR 8259 revisado, incluindo:
- Amplie as discussões a partir de um foco na IoT individual dispositivos para considerações de produtos IoT inteiros (e produtos conectados) para refletir melhor a ampla variedade de aplicativos e casos de uso existentes.
- Desenvolver a relação entre avaliação de risco e atividades de modelagem de ameaças.
- Aborde as diferentes considerações de segurança cibernética entre TI, IoT, OT e IIoT
- Identificar insights, considerações, abordagens, etc. para IoT com base no Estrutura de privacidade do NIST, Estrutura de Sistemas Ciberfísicos / IoT do NIST, Estrutura de segurança cibernética do NIST 2.0e o Estrutura de desenvolvimento de software seguro do NIST.
- Incorporar lições aprendidas e técnicas desenvolvidas na execução de vários projetos NCCoE relacionados à IoT.
- Aborde as tecnologias emergentes de produtos conectados de forma mais direta (ou seja, tecnologia imersiva, inteligência artificial).
- Discuta qualquer relação que possa existir entre a reparabilidade de produtos conectados e a segurança cibernética.
- Forneça orientação sobre como equilibrar a segurança cibernética com considerações de suporte a dispositivos, especialmente quando houver uma incompatibilidade significativa entre o fim esperado do suporte dos componentes de TI e o fim da vida útil dos componentes mecânicos dos produtos conectados.
Esses tópicos são apenas alguns exemplos de considerações que o NISTIR 8259 poderia incorporar ou expandir em uma revisão. Estamos nos estágios iniciais desse esforço e esperamos que a comunidade tenha ideias e feedback. Se você quiser se envolver com a equipe ou compartilhar suas ideias, envie um e-mail para IoTSecurity [at] nist.gov (IoTSecurity[at]Nist[dot]gov).
Quer saber mais?
Junte-se a nós em 4 de dezembro de 2024 no Centro Nacional de Excelência em Segurança Cibernética do NIST (NCCoE) para discutir esses tópicos em um evento durante todo o dia. A manhã consistirá em um colóquio de palestrantes do setor público e privado, enquanto a tarde consistirá em sessões guiadas para facilitar as discussões interativas entre os participantes.
Inscreva-se AQUI até sexta-feira, 22 de novembro, para participar pessoalmente.