Sicherheits-Ratings könnten die Messlatte für Cyber-Hygiene höher legen, werden aber das nächste SolarWinds nicht aufhalten

Cyber Security News

Die Pläne der Biden-Administration, ein System zur Bewertung der Produktsicherheit zu veröffentlichen, könnte die Messlatte für die Sicherheit insgesamt höher legen, sagen Experten, wird aber wahrscheinlich nicht den nächsten SolarWinds- oder Microsoft-Hack verhindern.

In einem Briefing für Reporter am Freitag verglich ein hochrangiger Beamter das bevorstehende Bewertungssystem mit den Gesundheits- und Sicherheits-Briefnoten in Restaurants. Und es ist ein Konzept, das die Cybersecurity-Gemeinschaft seit einiger Zeit umkämpft hat: Platzieren Sie ein Etikett auf der Box, die besagt, dass ein Produkt sicher ist oder nicht, und lassen Sie die Verbraucher einen Markt rund um die Sicherheit zu schaffen.

Aber Experten sagen, dass die Einfachheit dieses Konzepts sowohl seine Stärke als auch seine Schwäche ist: Es ist ein Konzept, das leicht zu verstehen ist und die Einhaltung einer Reihe von Standards vorantreiben könnte, aber es wird keine anspruchsvolleren Angriffe verhindern und könnte ein falsches Gefühl der Selbstzufriedenheit erzeugen.

“Die Kennzeichnung wird die Probleme der Nationalstaaten nicht lösen, egal wie gut die Kennzeichnung ist, selbst wenn sie perfekt durchgesetzt wird und eine wirklich hohe Messlatte setzt”, sagte Beau Woods, Cyber-Sicherheits-Innovationsstipendiat beim Atlantic Council und ein Freiwilliger bei der Internet-of-Things-Sicherheitsbefürwortungsgruppe I Am The Cavalry.

Mehrere Regierungen, sowohl einzelne Nationen als auch die Europäische Union, haben in den letzten Jahren Cybersicherheitsstandards verfolgt, insbesondere im Zusammenhang mit IoT-Geräten. Bei dem Briefing erwähnte die Regierung speziell das Kennzeichnungsgesetz von Singapur. Labels schaffen einen freiwilligen Basis-Cybersicherheitsstandard.

Das Problem ist, dass grundlegende Standards einen guten Job machen, um die große Mehrheit der Hacker zu adressieren, aber sie adressieren keine Hacker mit außergewöhnlichen Fähigkeiten. Keine Standards können perfekt sichere Produkte schaffen, weil es sie einfach nicht gibt.

Brad Rees, Chief Technology Officer der ioXt Alliance, einer Industriegruppe, die Kennzeichnungsstandards für das IoT entwickelt, merkte an, dass die Probleme, die hinter dem SolarWinds-Hack stecken, wahrscheinlich nicht in einer Produktbewertung aufgetaucht wären.

“Es ist bedauerlich, dass das Weiße Haus beschlossen hat, ein IoT-Kennzeichnungsschema zu verwerfen oder zu necken, während es über einen Hacker des chinesischen Staates mit Microsoft Exchange spricht”, sagte er. “Kennzeichnungssysteme sind dazu da, grundlegende Sicherheitsprobleme zu verhindern. Sie sind nicht staatsresistent. That’s not the intent.”

Die Absicht, sagte Rees, ist es, die Arten von Angriffen zu stoppen, die mit einer Checkliste abgewehrt werden können. Er verwies auf den Verkada-Hack von letzter Woche, bei dem Kameras ein festes Standardpasswort hatten. Eine auf einer Checkliste basierende Kennzeichnung hätte dies verhindern oder zumindest die Verbraucher über das Risiko informieren können, so dass sie ihre Kaufentscheidungen entsprechend hätten treffen können.

Basissicherheitsstandards können Nationalstaaten dazu bringen, härter zu arbeiten, um niedrig hängende Früchte zu hacken. Aber ein Hafnium-Angriff auf Microsoft Exchange, bei dem bisher unbekannte Schwachstellen eines Anbieters mit angesehener Sicherheitshygiene ausgenutzt werden, ist für Standards möglicherweise nicht zu bewältigen. Ähnlich verhält es sich mit komplexen Angriffen auf die Lieferkette, die Software trojanisieren und sich seitlich durch Netzwerke bewegen, die einen Grad an Raffinesse mit sich bringen, der wahrscheinlich jeden Sicherheitsstandard übersteigt.

“Wenn ein Kennzeichnungsschema erfolgreich ist, wird es Angreifer mit hohen Fähigkeiten dazu zwingen, mehr von ihren Fähigkeiten preiszugeben, so dass sie besser aufzuspüren und zu entdecken sind”, so Woods. “Aber es wird das SolarWinds-Problem nicht lösen.”

Labels, so Rees und Woods, können eine Menge Vorteile bieten, aber nur, wenn sie richtig gehandhabt werden. Er verwies auf die Unwägbarkeiten im Kennzeichnungssystem von Singapur als Beispiel. Singapur gibt eine einstellige Sicherheitseinstufung an, ohne viel Kontext, was diese Zahl bedeutet.

Die von der ioXt Alliance verfolgte Lösung wäre dagegen ein Siegel, das besagt, dass ein Produkt einen Mindeststandard erfüllt. Für private Verbraucher könnte ein binäres Ja oder Nein, sicher oder nicht, ausreichen. Aber dieses Siegel müsste auch mit der Möglichkeit für Unternehmen einhergehen, genauere Informationen zu erhalten, fügte er hinzu. Auf seiner Website enthält ioXt detaillierte Informationen über eine Reihe von verschiedenen Sicherheitsdimensionen, die über die Mindestanforderungen hinausgehen. Er befürchtet, dass viele Informationen über das Produkt die Augen der Verbraucher glasig werden lassen.

“Sie müssen sich Gedanken über den NASCAR-Effekt machen, wenn Sie eine Glühbirne auf den Markt bringen. Wie viele Etiketten müssen Sie auf diesem Ding anbringen? Und welches der 20 Labels ist für Sie als Verbraucher wichtig?”, sagte er.

Woods glaubt, dass Kennzeichnungen in Verbindung mit starken, verbindlichen Standards für die Sicherheit effektiver sind – dass sie nur ansprechen sollten, wie weit ein Produkt über den minimalen Standard hinausgehen würde. Er fügte hinzu, dass das Vereinigte Königreich umfangreiche Untersuchungen darüber anstellte, wie eine IoT-Kennzeichnungspflicht am besten umgesetzt werden könnte, bevor man sich letztendlich dafür entschied, dass die Festlegung von Basisstandards letztlich effektiver wäre.

Die Metapher der Gesundheitsinspektion im Restaurant, die von der Verwaltung verwendet wird, ist eine gute Visualisierung für eine breite Öffentlichkeit. Es ist keine perfekte Metapher dafür, wie Rees denkt, dass ein Kennzeichnungsstandard wahrscheinlich funktionieren würde, und Woods hinterfragte ein wenig die Zweideutigkeit, die es auf den Tisch brachte.

Restaurants werden von einer offiziellen Gesundheitsbehörde untersucht. Für eine Technologiebranche, die in einem Jahr eine überwältigende Anzahl von Produkten herstellt, ist das vielleicht nicht praktikabel. Eine realistischere Lösung, so Rees, könnte eine Mischung aus Drittlaboratorien und Selbstzertifizierung sein. ioXt erzwingt seine Selbstzertifizierung mit einem Bug-Bounty-ähnlichen Programm, das Forschern einen Anreiz bietet, Fehler in der Selbstberichterstattung zu entdecken. Woods sagte, als I Am the Cavalry in der Vergangenheit an Standards gearbeitet habe, habe man sich immer auf Standards konzentriert, die von den Anwendern leicht validiert werden konnten.

Ein nuancierteres Problem mit der Restaurant-Analogie könnte darin bestehen, zu bestimmen, was genau zertifiziert werden würde. Aus dem Kontext heraus schien es eine Art Produktzertifizierung zu sein, aber Woods merkte an, dass es eine Prozesszertifizierung sein könnte – Hygiene auf der Entwicklungs- oder Unternehmensebene. Das Weiße Haus reagierte nicht sofort auf eine E-Mail mit der Bitte um Klärung.

Abgesehen von der Zweideutigkeit sagte Rees, dass es eine echte Chance für einen Kennzeichnungsstandard gibt, um die Messlatte für die Sicherheit insgesamt anzuheben.

“Die kurze Antwort ist, dass es auf jeden Fall den Sicherheitsstandard anheben wird”, sagte er. “Die mittellange Antwort ist, dass Unternehmen, die diese Bewertungen durchlaufen, am Ende die Sicherheit an erster Stelle sehen. Das wird die Dinge nicht unhackbar machen. Aber ich sage Ihnen, Unternehmen, die Assessments durchführen, sind denen, die nicht einmal nachschauen, wenn sie Produkte auf den Markt bringen, haushoch überlegen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com