新的物联网网络安全改进法是一个开始，而不是最终解决方案

了解IOT网络安全改进法案的应用

新法律要求任何带有政府资金购买的物联网设备符合最低安全标准。它创建了标准和准则，以管理几个关键领域的网络安全风险：安全开发，身份管理，修补和配置管理。它还发布了报告和修复漏洞的指南。

问题是该法律仅适用于政府购买与物联网相关的装备。It doesn’t affect private sales, it has no enforcement mechanism, and it doesn’t directly address the multi-party system for IoT components in the supply chain, systems integration and ongoing operations once deployed, the real issues that created enterprises’ concerns over IoT’s security strength in the first place.

随着物联网设备的多样化，增加了新的功能和价格点，制造商会感到急流设备上市的压力。这可能会产生一个诱惑，以削减拐角处以保持利润率。而且，由于供应商放弃了孤立的设备平台，以转移到较新的连接版本时，这可能会离开许多设备容易受到攻击。

即使对于新的IoT设备，问题也是软件工具链，部署和分散的物联网市场。物联网软件开发人员的工具不一定具有内置安全性。在安全知识方面，这些开发人员并不那么精明，一旦代码跨越或开发在运营技术的另一端，公司通常就不会参与其中。例如，用于企业IT应用程序开发，测试和部署的安全软件是成熟的，但是大多数供应商仍在为物联网提供产品。

企业开发人员更加谨慎，并与他们的安全对手进行更密切的协商，与大型软件团队的大型企业通常拥有安全计划管理办公室和卓越中心。对于较小的公司或不在软件开发最前沿的公司而言，情况并非如此。他们没有将安全漏洞视为重大责任，并且具有适当的辩护赔偿机制。

新法律将物联网安全推向正确的方向

IoT网络安全改进法确实会引起人们对网络上每个设备的非传播证书的关注。它将确保IoT开发人员被迫向下游集成商和最终用户通知有关凭证和安全风险的通知。这使最终用户保持警惕，开发人员可能会陷入困境。

一些专家说，它可能阻止IoT设备通过Shadow IT频道进入。不过，这可能是一个梦想。它可以做的最好的事情是在某个时候假设会成功违规，并提前准备违规并减轻影响。

识别和报告对物联网设备的安全漏洞的一些压力可能落在这些设备的提供商身上。这也是一个艰巨的任务。当然，物联网设备供应商应通过同意的开放标准以及本地存储该信息的定期提要，以在审计点或浸润后分析中以未来的参考来提供最小的合规性。但是，全面的物联网安全是连续诊断和监视特定和复杂环境的函数，在大多数情况下，该设备制造商与该环境无关。换句话说，脆弱性报告应该是整个生态系统的共同负担。将负担放在单个方上可能会更容易，但是这只会增加违规的可能性，并且您可以简单地将IoT设备制造商负责所有负责一切的可能性。他们不会对一切负责。

该法律将确保物联网设备在连接高优先级网络之前得到适当的保护，例如政府设施或关键基础设施。在过去的40年中，越来越多的政府设施被私有化，盟友是我们网络的一部分。政府设施周围没有网络安全护城河。从某种意义上说，国土安全部传达了这一信息，并真正将安全界的关键基础设施扩展到公共，私人甚至国际网络。

最后，新法律设定了一个先例，应激发其他国家和组织遵循。与气候变化一样，处理安全漏洞，特别是对物联网的零日攻击，将需要成为全球合作伙伴关系。“美国第一”政策对安全性不起作用。

公司可以做些什么来确保他们遵守新法规？这里有一些提示。

• 找出连接了哪些设备以及他们如何与其他设备，系统和应用程序进行通信。这些连接需要遵循适当的安全协议并连续监视到边缘物联网设备。
• 测试每个设备以了解行为和风险，以商定的行业标准格式收集可消耗性信息。
• 制定政策以在动态，连续的监视和诊断方面仅允许批准的通信，最低审计和治理要求，从而从OT延伸到传统IT域，如在传统的IT域中NIST网络安全框架。

在未来几年中，IoT网络安全面临许多挑战。仍然存在的许多文化问题将需要时间才能解决。新的物联网网络安全法不能在一夜之间解决主要挑战，但这是在同一页面上获得设备制造商，最终用户和监管机构的良好开始。

所有的物联网议程网络贡献者都负责其帖子的内容和准确性。意见是作家的，不一定会传达物联网议程的思想。