NISTIR 8349（ドラフト）IoTデバイスのネットワーク動作を特徴づける方法論 at 2022.01.11

こんにちは、丸山満彦です。

NISTがNISTIR 8349（ドラフト）IoTデバイスのネットワーク動作を特徴づける方法論を公表し、意見募集をしていますね。。。

MUDを利用をしていく感じですね。。。

 

● NIST - ITL

・2022.01.11 NISTIR 8349 (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

 

NISTIR 8349 (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices	NISTIR 8349（ドラフト）IoTデバイスのネットワーク動作を特徴づける方法論
Announcement	発表内容
The National Cybersecurity Center of Excellence (NCCoE) has prepared Draft NISTIR 8349 for public comment.	National Cybersecurity Center of Excellence（NCCoE）は、パブリックコメント用にNISTIR 8349のドラフトを作成しました。
Securing a network is a complex task made more challenging when Internet of Things (IoT) devices are connected to it. NISTIR 8349 demonstrates how to use device characterization techniques and the supporting open source tool MUD-PD to describe the communication requirements of IoT devices in support of the Securing Small-Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based Attacks Using Manufacturer Usage Description (MUD) project. Manufacturers and network administrators can use the techniques and tools described in the report for capturing network communications from IoT devices, analyzing network captures, and generating MUD files to help ensure IoT devices perform as intended.	ネットワークのセキュリティを確保することは、IoTデバイスがネットワークに接続されている場合、より困難な複雑なタスクです。NISTIR 8349は、「中小企業や家庭のIoTデバイスの保護：MUD（製造者利用説明）を用いたネットワークベース攻撃を緩和するプロジェクト」をサポートするために、デバイス特性評価技術とそれをサポートするオープンソースツールMUD-PDを使用して、IoTデバイスの通信要件を記述する方法を示しています。メーカーやネットワーク管理者は、本レポートで紹介されている技術やツールを使用して、IoTデバイスからのネットワーク通信のキャプチャ、ネットワークキャプチャの分析、MUDファイルの生成を行い、IoTデバイスが意図したとおりに動作することを確認することができます。
Abstract	概要
This report describes an approach to capturing and documenting the network communication behavior of Internet of Things (IoT) devices. From this information, manufacturers, network administrators, and others can create and use files based on the Manufacturer Usage Description (MUD) specification to manage access to and from those IoT devices. The report also describes the current state of implementation of the approach and proposals for future development.	本報告書では、IoTデバイスのネットワーク通信動作を捕捉し、文書化するためのアプローチについて説明しています。この情報をもとに、メーカーやネットワーク管理者などは、製造者利用説明（MUD）仕様に基づいたファイルを作成・使用し、IoT機器へのアクセスやIoT機器からのアクセスを管理することができます。本報告書では、このアプローチの実装の現状と、今後の開発に向けた提案についても記載しています。

 

・[PDF]

 

Executive Summary	エグゼクティブサマリー
Characterizing and understanding the expected network behavior of Internet of Things (IoT) devices is essential for cybersecurity purposes. It enables the implementation of appropriate network access controls (e.g., firewall rules or access control lists) to protect the devices and the networks on which they are deployed. This may include limiting a device’s communication to only that which is deemed necessary. It also enables identifying when a device may be misbehaving, a potential sign of compromise. The ability to restrict network communications for IoT devices is critically important, especially given the increased number of these devices.	IoTデバイスに期待されるネットワーク上の振る舞いを特徴づけて理解することは，サイバーセキュリティの観点から不可欠である．これにより、適切なネットワーク・アクセス・コントロール（ファイアウォール・ルールやアクセス・コントロール・リストなど）を実装し、デバイスやデバイスが配備されているネットワークを保護することができます。これには、デバイスの通信を必要と思われるものだけに制限することも含まれます。また、デバイスが不正な動作をしている場合には、侵害の可能性があることを特定することができます。IoTデバイスのネットワーク通信を制限する機能は、特にIoTデバイスの数が増えていることを考えると、非常に重要です。
Network behavior for most IoT devices is situation-dependent. For example, many IoT devices have multiple mechanisms for interaction and control, such as voice commands, physical interaction with a person, other devices (e.g., a smartphone or IoT hub), and services (e.g., cloudbased). Any given action may result in different network behavior, depending on the mechanism through which it was performed. Additionally, certain patterns of network behavior may only occur in specific stages of a device’s lifecycle (i.e., setup, normal operation, and decommissioning). Also, network behavior may change over time as device software is updated. For these reasons, the expected network behavior of a device needs to be characterized and understood for all intended scenarios and during each stage of its lifecycle. Otherwise, necessary steps for device setup, operation, or decommissioning may be blocked by network access controls, preventing them from being performed fully or at all.	ほとんどのIoTデバイスのネットワーク動作は、状況に依存します。例えば、多くのIoTデバイスは、音声コマンド、人や他のデバイス（スマートフォンやIoTハブなど）、サービス（クラウドベースなど）との物理的なインタラクションなど、インタラクションや制御のための複数のメカニズムを持っています。任意のアクションは、それが実行されたメカニズムに応じて、異なるネットワーク動作になる可能性があります。さらに、ネットワーク動作の特定のパターンは、デバイスのライフサイクルの特定の段階（すなわち、セットアップ、通常の運用、および廃却）でのみ発生する可能性があります。また、機器のソフトウェアが更新されると、ネットワークの動作が変化することがあります。これらの理由から、デバイスの期待されるネットワーク動作は、すべての意図されたシナリオおよびライフサイクルの各段階において特徴付けられ、理解される必要があります。そうしないと、デバイスのセットアップ、運用、または廃止に必要なステップがネットワークアクセス制御によってブロックされ、完全に、または全く実行できなくなる可能性があります。
This publication describes recommended techniques for IoT device manufacturers and developers, network administrators, and researchers to accurately capture, document, and characterize the entire range of a device’s network behavior in MUD (Manufacturer Usage Description) files. MUD provides a standard way to specify the network communications that an IoT device requires to perform its intended functions. MUD files tell the organizations using IoT devices what access control rules should apply to each IoT device, and MUD files can be automatically consumed and used by various security technologies.	本書では、IoTデバイスの製造者や開発者、ネットワーク管理者、研究者が、デバイスのネットワーク上での動作全体をMUD（Manufacturer Usage Description）ファイルで正確に捉え、文書化し、特徴を示すために推奨される技術について説明しています。MUDは、IoTデバイスが意図した機能を実行するために必要なネットワーク通信を指定するための標準的な方法を提供します。MUDファイルは、IoTデバイスを使用する組織に対して、各IoTデバイスにどのようなアクセス制御ルールを適用すべきかを伝えるものであり、MUDファイルは様々なセキュリティ技術によって自動的に消費され、使用されることができます。
This publication also presents a National Cybersecurity Center of Excellence (NCCoE) developed open-source tool, MUD-PD, that can be used to catalog and analyze the collected data, as well as generate both reports about the device and deployable MUD files. This tool is intended to aid IoT device manufacturers and developers, network administrators, and researchers who want to create or edit MUD files.	本書では、National Cybersecurity Center of Excellence（NCCoE）が開発したオープンソースのツール「MUD-PD」も紹介しています。このツールは、収集したデータをカタログ化して分析し、デバイスに関するレポートと展開可能なMUDファイルの両方を生成するために使用できます。このツールは、MUDファイルの作成や編集を希望するIoTデバイスのメーカーや開発者、ネットワーク管理者、研究者を支援することを目的としています。
目次です。。。
Executive Summary	エグゼクティブサマリー
1 Introduction	1 序文
1.1 Challenges	1.1 課題
1.2 Purpose and Scope	1.2 目的と範囲
1.3 Report Structure	1.3 報告書の構成
2 Network Traffic Capture Methodology	2 ネットワークトラフィックのキャプチャ方法
2.1 Capture Strategy	2.1 キャプチャー戦略
2.1.1 IoT Device Life-Cycle Phases	2.1.1 IoTデバイスのライフサイクル・フェーズ
2.1.2 Environmental Variables	2.1.2 さまざまな環境変数
2.1.3 Activity-Based and Time-Based Capture Approaches	2.1.3 アクティビティ・ベースおよびタイム・ベースのキャプチャー・アプローチ
2.1.4 Network Architecture and Capture Approach	2.1.4 ネットワークアーキテクチャとキャプチャアプローチ
2.1.5 Capture Tools	2.1.5 キャプチャツール
2.2 Capture Procedure	2.2 キャプチャ手順
2.2.1 Device Setup Capture	2.2.1 デバイスセットアップキャプチャ
2.2.2 Normal Operation Capture	2.2.2 通常運用時のキャプチャ
2.2.3 Decommissioning/Removal Capture	2.2.3 デコミッショニング／リムーバル・キャプチャー
2.3 Documentation Strategy	2.3 ドキュメント戦略
3 Analysis Use Cases and Tools	3 解析ユースケースとツール
3.1 Manual MUD File Generation	3.1 MUDファイルの手動生成
3.1.1 Wireshark	3.1.1 Wireshark
3.1.2 NetworkMiner	3.1.2 NetworkMiner
3.1.3 Overview of Manual MUD File Generation Process	3.1.3 MUDファイルの手動生成プロセスの概要
3.2 MUD-PD	3.2 MUD-PD
3.2.1 Current Feature Set	3.2.1 現在の機能セット
3.2.2 GUI Overview	3.2.2 GUIの概要
3.2.3 MUD-PD Uses	3.2.3 MUD-PDの使い方
3.3 MUD-PD Support for Privacy Analysis	3.3 MUD-PDによるプライバシー分析の支援
4 Future Work	4 今後の取り組み
4.1 Extending MUD-PD Features	4.1 MUD-PD機能の拡張
4.2 Developing a MUD Pipeline	4.2 MUDパイプラインの開発
4.3 Open Problems for the Community	4.3 コミュニティのための未解決問題
References	参考文献
List of Appendices	巻末資料
Appendix A— Example Capture Environment	附属書A：キャプチャー環境の例
Appendix B— Acronyms	附属書B：頭字語
List of Figures	図の一覧
Figure 1: MUD-PD main window with buttons and list boxes labeled	図1：MUD-PDのメイン・ウィンドウとボタン、リスト・ボックスの表示
Figure 2: Prompt for providing Fingerbank API key .	図2：Fingerbank API キーを入力する画面
Figure 3: Prompt for creating a new database	図3：新規データベース作成のプロンプト
Figure 4: Prompt for connecting to an existing database	図4：既存のデータベースに接続するためのプロンプト
Figure 5: Prompt for importing packet captures into database	図5：パケットキャプチャーをデータベースにインポートするためのプロンプト
Figure 6: Window listing devices imported and to import during the packet capture import process	図6：パケットキャプチャのインポートプロセス中にインポートされたデバイスとインポートされるデバイスを一覧表示するウィンドウ
Figure 7: Window prompt for importing a device .	図7：デバイスのインポートを促すウィンドウ
Figure 8: Window prompting to update the firmware version logged in the database .	図8：データベースに記録されているファームウェアのバージョンを更新するためのウィンドウ。
Figure 9: Prompt for generating a human-readable device report	図9：人間が読めるデバイスレポートを生成するためのプロンプト
Figure 10: Example device report showing the details of a single packet capture	図10：1つのパケットキャプチャーの詳細を示すデバイスレポートの例
Figure 11: Prompt for selecting a device for which the MUD file will be generated .	図11：MUD ファイルの生成対象となるデバイスを選択するプロンプト
Figure 12: Prompt for providing device details including the support and document URLs	図12：サポートおよびドキュメントのURLを含むデバイスの詳細を入力するプロンプト
Figure 13: Prompt for providing internet communication rules	図13：インターネット通信ルールを入力する画面
Figure 14: Prompt for providing local communication rules	図14：ローカル・コミュニケーション・ルールの提供を求めるプロンプト
Figure 15: Preview of the MUD file to be generated	図15：生成されるMUDファイルのプレビュー
Figure 16: MUD pipeline for the device manufacturer or developer use case	図16：機器メーカーまたは開発者のユースケースの MUD パイプライン
Figure 17: MUD pipeline for the network administrator use case	図17：ネットワーク管理者が使用する場合のMUDパイプライン
Figure 18: The overarching MUD pipeline, particularly as it may be used for research and development	図18：包括的な MUD パイプライン、特に研究開発に使用される場合の MUD パイプライン
Figure 19: Example capture architecture .	図19：キャプチャ・アーキテクチャの例

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

NISTのIoT関係...

・2021.09.13 NISTIR 8379 NIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて開催したオンラインワークショップの要約

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために：どうすればいいのか？

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている？

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

 

少し前です。。。

・2016.09.09 NIST IoT, Big Data関係