Безопасный девайс

Информация к размышлению

добавить в избранное

Безопасный девайс

Прочитали: 12107 Комментариев: 35 Рейтинг: 60

13 ноября 2020

Успешные атаки на роутеры и умные устройства во многом возможны по двум причинам – использование паролей по умолчанию и работа с устройствами, имеющими уязвимости. В свою очередь, уязвимости обусловлены двумя факторами (помимо некорректной настройки) – неустановкой обновлений самими пользователями и отсутствием заплаток для уязвимостей. И если с первым поделать что-то сложно (если не передавать обслуживание устройств третьим лицам или не устанавливать все обновления автоматически), то второе – вопрос решаемый. В частности, за счет появления требований к компаниям производителям. В выпуске «Европа против хакеров: будет ли закон и порядок?» мы уже писали о том, как Евросоюз движется по пути выработки требований к поставщикам, – очередная новость пришла из Азии.

Власти Сингапура объявили об очередном этапе реализации стратегии информационной безопасности, представленной 4 года назад. В частности, Агентство кибербезопасности Сингапура (Cyber Security Agency of Singapore – CSA), координирующее в том числе работу по защите критически важной информационной инфраструктуры государства (включая энергетический и банковский секторы) и работы по повышению осведомленности пользователей, представило схему маркировки устройств (Cybersecurity Labelling Scheme, CLS) по их уровню защищенности. Коснулась она и маршрутизаторов и умных устройств.

Источник

Каждый из четырех уровней оценки отражает возрастающую устойчивость продукта к базовым атакам, которым тот может подвергаться. Так, если производитель хочет, чтобы продукт был оценен на уровне CLS 3 (три звездочки), он должен пройти оценку уровней защищенности 1, 2 и 3.

Уровень 1. Базовые требования безопасности

Производители должны следовать набору базовых требований безопасности на основе ETSI EN 303 645, устраняя «типичные ошибки» для защиты от большинства атак, в том числе атак на пароль по умолчанию. Должны быть доступны обновления безопасности и средства для управления отчетами об уязвимостях.

Первый уровень означает использование по умолчанию случайных стойких парольных фраз, отключение потенциально уязвимых интерфейсов, автоматическую загрузку обновлений, использование только защищенного входа в систему управления устройством.
Уровень 2. Требования жизненного цикла

Производители должны включать требования по безопасности из Руководства по кибербезопасности IMDA IoT (IMDA IoT Cyber Security Guide) в жизненный цикл разработки устройств (моделирование угроз, безопасный инженерный подход, безопасная цепочка поставок, тестирование безопасности и т. д.).
Уровень 3. Анализ ПО

Программное обеспечение устройства должно пройти проверку испытательной лабораторией на отсутствие известных критических уязвимостей или вредоносных программ.
Уровень 4. Тест на проникновение

Устройство должно пройти тестирование на проникновение в испытательной лаборатории.

В CSA подчеркнули, что их методика базируется на международных стандартах, поэтому проблем с дублированием сертификации возникать не должно.

Начиная с 13 апреля 2021 года продажа соответствующих устройств в Сингапуре без такой маркировки может быть запрещена, но менять ранее приобретенные устройства не требуется.

#законодательство #Интернет_вещей #роутер #уязвимость

Антивирусная правДА! рекомендует

Данные меры представляются нам вполне разумными, и, как мы уже отмечали в одном из предыдущих выпусков, регуляторы в России идут по тому же пути и уже требуют исполнения требований по безопасности в ходе жизненного цикла программ. Другой вопрос, что выполнение подобных требований требует наличия специалистов, которые обладают знаниями, необходимыми для оценки безопасности устройства, защищенности его от злоумышленников. И, как мы уже упоминали, такие специалисты есть в нашей компании. Обращайтесь!

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Lia00 Собкор
00:47:07 2020-11-17

чего только в мире не бывает...

Неуёмный Обыватель Собкор
15:03:25 2020-11-16

Ну, надо еще как-то заставить перестать использовать надежнейшие устройства, приобретенные ранее и тогда для производителей наступит рай. Впрочем, это несложно.

Zserg
18:01:57 2020-11-15

Производитель, пройди уровни оценку уровней защищенности 1, 2 и 3. и может быть будешь российским.

Пaвeл Собкор
20:07:26 2020-11-14

@Альфа, С Днем рождения! Всего наилучшего!

Альфа
00:22:37 2020-11-14

Хорошие специалисты будут всегда в цене!

Alexander Собкор
23:03:46 2020-11-13

@Любитель_пляжного_футбола, верно Вами подмечен временной "круговорот" товаров для поддержки их качества...

Alexander Собкор
23:03:26 2020-11-13

@tigra, истину глаголят Ваши уста... Модные веяния испокон веков привлекали российский люд. Царедворцев поболее будет, а тех, что от земли Отечества, - поменее, с опаской да оглядкой...

Так и получалось, побалуется народ, хайпа да тумана наведёт на иноземное, разжуёт да и выплюнет... потому как "невпихуемое"...

Любитель пляжного футбола Собкор
22:53:59 2020-11-13

@tigra, с моим, тьфу-тьфу, всё в порядке, хотя, как я проверял на сайте производителя (когда по рекомендации Dr.Web собирался обновить прошивку), моя модель уже давно не поддерживается. Да и в техпаспорте изделия говорилось, что срок службы прибора только несколько лет.
Если немного теории заговора, то сейчас большинство товаров изготавливают такими, чтобы они выходили из строя через определённое время, чтобы мы снова приобретали товары, которые ... и так далее по кругу. Производителям невыгодно изготавливать "вечные" товары, им нужно, чтобы спрос не снижался. Да вы, наверное, и сами не раз слышали, что раньше товары производились более качественные.
Исключения бывают. Но за заявленное качество приходится доплачивать. К примеру, эспандеры СоС, то бишь Captain of Crush, на них производитель даёт пожизненную гарантию, обязуясь сломанный заменить безвозмездно новым. И при этом утверждает (на сайте), что эта замена им ничего не будет стоить, ибо их эспандеры ... не ломаются при правильном использовании.

anatol
22:35:15 2020-11-13

Кто будет платить за этот банкет?

tigra Собкор
21:39:57 2020-11-13

@Alexander, "P.S. Велик русский язык, а отступать некуда.." Позвольте и мне добавить))) "-Нельзя впихнуть невпихуемое"

tigra Собкор
21:34:29 2020-11-13

@Masha, Вы даже не представляете, сколько нас много специалистов, обладающих специальными знаниями)))

tigra Собкор
21:33:42 2020-11-13

@Любитель_пляжного_футбола, к сожалению, жизненный цикл роутера-как раз и есть, три года..потом под замену, ибо тупилко становится

Masha
20:43:19 2020-11-13

Побольше бы специалистов, обладающих специальными знаниями.

Karnegi
19:57:23 2020-11-13

Зеленый Паучок готов подставить свое плечо

Dvakota
19:25:08 2020-11-13

Вот только бремя дополнительных расходов связанных с безопасностью ляжет на плечи пользователей.

orw_mikle
19:15:55 2020-11-13

Спасибо, мне пока не требуется.

SGES Собкор
16:18:38 2020-11-13

За ум возьмешься - до дела доберешься.

Татьяна
15:48:39 2020-11-13

"... выполнение подобных требований требует наличия специалистов, которые обладают знаниями, необходимыми для оценки безопасности устройства, защищенности его от злоумышленников..." - хорошо когда есть такие специалисты.

vkor
15:45:49 2020-11-13

Да, меры вполне рациональны, спору нет.

ka_s
14:42:05 2020-11-13

Хорошо, что где-то есть специалисты. Плохо, когда их нет. Крах, когда их негде взять. Остается забыть про достижения цивилизации и жить в гармонии с природой. Главное, чтобы регуляторы этому не мешали.

Любитель пляжного футбола Собкор
14:10:57 2020-11-13

@Денисенко_Павел_Андреевич, и вы стали бы каждые три года покупать новый роутер из-за окончания поддержки производителем (если, конечно, вы им пользуетесь)? Серьёзно? Или так, для красного словца сказали?

Любитель пляжного футбола Собкор
13:56:08 2020-11-13

Неплохо придумали в Сингапуре, мне нравится.

Пaвeл Собкор
12:29:36 2020-11-13

Согласен, меры вполне разумны. Ждем реализации.

L1t1um
12:22:53 2020-11-13

Это точно. Роутеры на переднем крае "обороны" находятся.

vinnetou
12:01:11 2020-11-13

Специалисты нужны всегда и везде в цене!!!

Alexander Собкор
11:33:46 2020-11-13

Хочешь безопасности? Готовь сани загодя летом! Покупаешь новую игрушку, - узнай о её возможностях... они могут тебе понравиться, но и ты ей ... тоже. А кто у неё ещё в друзьях? А все ли её возможности тебе известны? То-то же...

К кому же ещё обращаться за помощью?! Только к сотрудникам компании "Доктор Веб"! А на переднем рубеже - Dr.Web Security Space.

P.S. Велик русский язык, а отступать некуда...
1931 год, - "Ударим автопробегом по бездорожью",
2020 год, - требовательно требовать требуемые требования...

Геральт Собкор
11:19:37 2020-11-13

Нужно ввести единые стандарты для всех.

Денисенко Павел Андреевич
11:15:33 2020-11-13

@Vlad_X, в таком случае конечно придется менять, а что еще остается делать.

kozinka.ru Собкор
11:13:17 2020-11-13

Роутеры, как точка доступа во внутреннюю сеть, лакомый кусочек для кибермошенников. Это самая первая линия IT-обороны.

maestro431
10:06:07 2020-11-13

Специалисты нужны всегда!

Sergey
09:49:02 2020-11-13

Спасибо за информацию. Если возникнет необходимость, то обязательно обращусь к специалистам Dr.Web, хотя эта информация в основном ориентирована на юридических лиц (бизнес, госучреждения и т.д.).

Vlad X
09:46:23 2020-11-13

Требования хорошие,но роутеров выпускается очень много.ПО устаревает.
Поддержка год или два,а дальше нужно менять?

GREEN Собкор
09:17:33 2020-11-13

"Хочется, хочется белых облаков, хочется, хочется солнышка поярче!
Рано или поздно не будет дураков, Но лучше все-таки, если бы пораньше…"

GREEN Собкор
09:05:46 2020-11-13

Такой подход к ИБ трудно переоценить. Остается только надеяться, что и у нас рано или поздно к этому придут ...

Slava90
06:49:02 2020-11-13

Хорошо что есть такая возможность проконсультироваться у Доктор веб.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Безопасный девайс

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей