UL (anteriormente Underwriters Laboratories) proporciona el Programa de garantía de ciberseguridad para certificar que un dispositivo de Internet de las cosas está, en su opinión, protegido de la mayoría de las amenazas principales.
UL parece ser muy respetado en sus procesos de certificación, según Ars Technica :
UL, la organización de normas de seguridad de 122 años cuyas diversas marcas (UL, ENEC, etc.) certifican las normas mínimas de seguridad en campos tan diversos como el cableado eléctrico, los productos de limpieza e incluso los suplementos dietéticos, ahora está abordando la ciberseguridad de Internet de Dispositivos Things (IoT) con su nueva certificación UL 2900.
UL describe su certificación como involucrando:
- Pruebas fuzz de productos para identificar vulnerabilidades de día cero en todas las interfaces
- Evaluación de vulnerabilidades conocidas en productos que no han sido parcheados usando el esquema de Enumeraciones de Vulnerabilidad Común (CVE)
- Identificación de malware conocido en productos
- Análisis de código fuente estático para debilidades de software identificadas por Enumeraciones de Debilidad Común (CWE)
- Análisis binario estático para las debilidades del software identificadas por Common Weakness Enumerations (CWE), software de código abierto y bibliotecas de terceros
- Controles de seguridad específicos identificados para su uso en productos que reducen el riesgo de seguridad [...]
- Pruebas de penetración estructuradas de productos basadas en fallas identificadas en otras pruebas.
- Evaluación de riesgos de mitigación de seguridad del producto diseñada en productos.
Sin embargo, el proceso exacto en el que UL examina los dispositivos no está claro (a menos que pague para comprar el conjunto completo de especificaciones), como señala Ars Technica (y critica):
Cuando Ars solicitó una copia de los documentos de UL 2900 para ver más de cerca el estándar, UL (anteriormente conocido como Underwriters Laboratories) se negó, lo que indica que si deseamos comprar una copia, el precio de venta, alrededor de £ 600 / $ 800 por el total conjunto, fuimos bienvenidos a hacerlo. Los investigadores de seguridad independientes también son, debemos asumir, bienvenidos a convertirse en clientes minoristas de UL.
Aunque se respeta a UL, no podemos suponer que su certificación sea particularmente sólida en términos de seguridad sin un mayor escrutinio, aunque sí satisface la pregunta original.
Desafortunadamente, no pude encontrar estándares / certificaciones abiertas para la seguridad, aunque esto es probable porque los recursos necesarios serían demasiado grandes para una asociación sin fines de lucro.