La guida alla sicurezza informatica IoT del NIST ha da tempo riconosciuto l’importanza delle pratiche di sviluppo software sicuro (SSDF), evidenziate dalla serie NIST IR 8259, che i produttori hanno considerato e documentato il loro “lo sviluppo sicuro del software e le pratiche della supply chain utilizzate”. Il NIST SSDF (NIST SP 800-218) descrive le pratiche di sviluppo software che possono aiutare i produttori a sviluppare prodotti IoT fornendo indicazioni per lo sviluppo sicuro di software e firmware. Queste pratiche di sviluppo possono anche fornire garanzie ai clienti su come sono stati sviluppati quei prodotti e su come il produttore li supporterà. Se utilizzate insieme, le indicazioni sulla sicurezza informatica SSDF e IoT del NIST aiutano i produttori a progettare e fornire ai clienti prodotti IoT più sicuri.
Sicurezza del software: un’esigenza essenziale per i prodotti IoT
La sicurezza informatica dei prodotti IoT richiede capacità tecniche all’interno del prodotto, oltre a processi e criteri di sviluppo che supportano la sicurezza informatica durante l’intero ciclo di vita del prodotto (ad esempio, fornitura di aggiornamenti software, documentazione di un piano di gestione delle vulnerabilità, spiegazione delle impostazioni di configurazione per il software). La guida alla sicurezza informatica IoT del NIST include un approccio consigliato ai produttori di IoT per identificare come dovrebbero supportare la sicurezza informatica dei loro prodotti, sia pre-market che post-market (NIST IR 8259). Questo approccio è supportato da linee di base delle capacità di sicurezza informatica che identificano il punto di partenza minimo per tutti i tipi di prodotti connessi.
Una linea di base si concentra sulle capacità tecniche previste dai prodotti IoT (NIST IR 8259A) e una evidenzia le capacità non tecniche previste relative ai prodotti IoT (NIST IR 8259B). Le capacità tecniche e non tecniche di base sono state elaborate e incorporate nei “Profili”. La profilazione delle linee di base della sicurezza informatica richiede la considerazione dell’uso specifico, del rischio, ecc. di un prodotto IoT o di un gruppo di prodotti (ad es. consumatori domestici, router domestici) per adattare le linee di base per quel contesto per un particolare gruppo di utenti o settore e/o per una classe di prodotti. Il NIST ha sviluppato due profili delle linee di base della sicurezza informatica, il profilo del consumatore (NIST IR 8425) e il profilo federale (NIST SP 800-213A).
Il software è intrinseco ai prodotti IoT, che vanno dal firmware nei dispositivi IoT alle applicazioni mobili e ai servizi di supporto basati su rete e cloud. Il modo in cui un’organizzazione affronta lo sviluppo del software è fondamentale per la sicurezza informatica dei prodotti IoT. L’IoT Non-Technical Supporting Capability Core Baseline (NIST IR 8259B) del NIST affronta la sicurezza del software per quanto riguarda sia lo sviluppo che il supporto del ciclo di vita.
Applicazione dell’SSDF allo sviluppo e al supporto del prodotto – per i produttori
L’SSDF documenta una serie di pratiche di sviluppo software fondamentali, solide e sicure basate su pratiche consolidate di numerose organizzazioni. Pochi modelli del ciclo di vita dello sviluppo del software (SDLC) affrontano esplicitamente la sicurezza del software in dettaglio, quindi, pratiche come quelle dell’SSDF devono essere aggiunte e integrate con ciascuna metodologia SDLC.
L’SSDF descrive le pratiche per preparare l’organizzazione a eseguire lo sviluppo di software sicuro, proteggere il software e produrre software ben protetto come attività di sviluppo e rispondere alle vulnerabilità una volta che un prodotto viene distribuito sul mercato. Le pratiche nell’SSDF sono un approccio praticabile per fornire molte delle capacità richieste in NIST IR 8259B:
- La preparazione dell’organizzazione di sviluppo include la documentazione dei processi di sviluppo del software da utilizzare, i casi d’uso previsti e altre informazioni fondamentali. Molti di questi elementi sono richiesti nella capacità di sicurezza informatica non tecnica della documentazione di base. Un altro aspetto della preparazione dell’organizzazione è l’educazione dell’organizzazione, che si riferisce alla capacità non tecnica di Educazione e Consapevolezza.
- La protezione del software e la produzione di software ben protetto includono la selezione di adeguate capacità tecniche di sicurezza informatica per supportare la sicurezza informatica nei casi d’uso previsti. I documenti IoT Cybersecurity Guidance forniscono definizioni di tali capacità.
- Affinché un’organizzazione risponda alle vulnerabilità come definito nell’SSDF, in genere deve fornire le capacità non tecniche di supporto di ricezione di informazioni e query e diffusione di informazioni.
L’implementazione coerente dell’SSDF consente a un’organizzazione di soddisfare più facilmente i requisiti associati alle linee di base presenti nella Guida alla sicurezza informatica dell’IoT.
Dove processo e prodotto si connettono – per gli acquirenti
I requisiti del cliente per la conformità all’SSDF da parte di un produttore, per natura dell’implementazione dell’SSDF, si tradurrebbe probabilmente in capacità di sicurezza a livello organizzativo per quel produttore. La selezione dei requisiti tecnici e non tecnici da NIST SP 800-213A per uno specifico prodotto o gruppo di prodotti consente a tali prodotti di adattarsi al sistema federale previsto e soddisfare i requisiti di sicurezza di tale sistema federale.
Se un produttore potesse attestare la conformità all’SSDF, l’organizzazione acquirente potrebbe considerare se ciò sia sufficiente per suggerire che i prodotti IoT di quel produttore soddisfano specifiche capacità non tecniche. Ad esempio, un’organizzazione che utilizza SSDF potrebbe supportare regolarmente la ricezione di informazioni e query e le funzionalità non tecniche di diffusione delle informazioni da NIST IR 8259B per ogni prodotto IoT. Importanti discussioni future sono necessarie per capire fino a che punto la conformità SSDF (ad esempio, tramite attestazione di conformità alle pratiche SSDF) dimostra la conformità ai requisiti di sicurezza informatica dei prodotti IoT non tecnici.
SSDF e IoT Cybersecurity Guidance del NIST sono strumenti fondamentali e complementari per un’organizzazione che cerca di stabilire approcci sistematici per integrare la sicurezza informatica nei propri prodotti IoT, ad esempio durante le fasi di progettazione e sviluppo e ridurre l’onere per i clienti per la sicurezza dei prodotti. L’implementazione dell’SSDF fornisce a un’organizzazione l’infrastruttura consolidata che può essere personalizzata per soddisfare molti dei requisiti di base non tecnici delle linee guida sulla sicurezza informatica IoT, consentendo all’organizzazione di concentrarsi sulla compilazione degli elementi aggiuntivi necessari per quel prodotto. Per i requisiti tecnici di base, l’SSDF fornisce all’organizzazione un framework per l’implementazione delle funzionalità del prodotto IoT necessarie per soddisfare i requisiti della linea di base tecnica, conclude il NIST.
