maksim kabakou - 股票.adobe.com
了解IOT网络安全改进法案,现在法律
联邦行动通过IOT网络安全改进法旨在在美国政府的物联网基础设施中创造更多的安全性,但它可以促进所有部门的安全性。
物联网设备的安全挑战已经引起了联邦审查,国会议员最近采取了两党行动,要求设备制造商包括更多的产品安全功能。
他们的举动:物联网网络安全改进法案12月4日正式签署成为法律。
法律确保政府仅购买安全的设备并关闭现有的漏洞,表示,伊利诺伊州(伊利诺伊州)(伊利诺伊州)民主党人和家庭技术问责制的联合主席介绍了房子的账单。立法主要影响美国政府申请,供应商合作伙伴,设备制造商和利益攸关方,这些申请与联邦政府处理联系。
国会的目标是让美国政府的物联网基础设施更加安全,但该法律可能产生的涟漪效应远远超出政府的范围,私营行业和消费者可能会从新的联网设备标准中受益。
“该法案将提升物联网安全考虑因素,为供应商创建更负责任的角度,以及用于设备和系统安全的更透明的审计跟踪。邻接效果越过消费者价值链的邻近效果很高,沿着该过程改造了消费者物联网设备以及其他IOT市场,升高了整个连接的景观,“ABI研究的行业分析师Dimitrios Pavlakis说。
法律细节
美国房屋一致批准了9月17日12月17日一致通过了IOT网络安全改进法案;法律确定了政府购买的互联网连接设备的基线安全标准。
法律本身并没有设置安全标准,而是指示国家标准和技术研究所(NIST)解决任务。它还为政府机构提出了几个其他关键行动,所有这些都是旨在的提升设备安全贯穿设备生命周期。
唐纳德·施塞德Digi International的信息安全官员Donald Schleede表示:“政府最终希望就如何处理物联网设备以及这些具体的安全基线要求制定一项战略。”
首先,法律要求NIST为联邦政府购买或使用的连接设备制定最低安全标准。它还具有机构为政府拥有或使用的所有物联网设备的使用和管理制定标准和指南。
它还需要NIST来解决安全的开发,身份管理,修补和配置管理作为其安全标准的一部分。它禁止联邦实体购买或使用决定与NIST标准不符合不容的任何IOT设备。
立法要求国土安全部每五年审查此类措施,以确定任何必要的修订。这确保了所连接设备的联邦要求保持当前作为技术,标准和攻击方案进化。
Schleede表示,联邦法律为连通设备提供了与过去的行业导管的企图和立法措施提供了更多特定的物联网安全标准。新法律旨在提供一种特异性加利福尼亚州2018年IOT安全法缺乏,在2020年生效。
此外,专家表示,他们希望NIST制定更全面的标准,这些标准更适用于行业和商业用途而不是过去的努力。
罗布林加州的SB-327和俄勒冈州的HB2395等现行法律关注的是消费电子产品,而不是政府机构。它们只实现基本的技术控制,比如没有默认密码,并且主要是一个回应Mirai Botnet罗布尔木材,在安全咨询咨询小组的硬件和嵌入式安全服务副总裁兼实践副总裁。
“它仍有待观察到哪种技术要求NIST将对这一[法律]实施;希望他们走得更远,”伍德说。
标准可能会影响政府以外的物联网安全
尽管实际标准尚未确定,但安全负责人表示,他们预计NIST的行动将在联邦政府之外对物联网产生重要影响。NIST是一个具有高度影响力的实体,其标准、指导文件和建议经常被私营行业和非政府组织采用。
连接设备的NIST标准为安全领导者,IOT专家和企业高管之间产生了相同数量的兴趣。物联网网络安全改进法 - 其需要新的设备制造商标准 - 推动供应商为所有客户提供更安全的设备,而不仅仅是联邦政府。
Trevor Rudolph.“利用其购买力,联邦政府可以激励更广泛的物联盟生态系统,以确保其设备的强大网络安全以及施耐德电气全球数字政策和监管副总裁Trevor Rudolph表示,这是Trevor Rudolph表示。
物联网安全挑战不断上升
法律在制定后90天提供NIST开发和发布所连接设备的标准和指南。NIST已经在标准上工作了一段时间,专家表示,他们希望该组织应该没有问题会议截止日期。
NIST正在进行的工作表明网络安全对政府官员和企业领导人的重要性,他们都面临安全蓬勃发展的结缔组织的挑战。
Abi Research预测2026年,所有主要的物联网市场将超过230亿,并面临不断,不断发展的网络疗效。这些威胁强制实施者和IOT供应商拥有新的数字安全选项,并在安全设备认证服务中推动投资,该市场预计将达到2026年的收入为84亿美元。
与此同时,诺基亚“2020威胁情报报告“发现,IOT负责移动网络中观察到的所有感染的32.72%,从2019年的16.17%起。
凯文麦克克纳维“在2020年,我们看到了100%的受损机器设备增加。如果2020年趋势持续,2021将看到对物联网设备的攻击显着增加,”威胁情报实验室的前负责人凯文·麦克克纳(现在,诺基亚的安全产品经理。
McNamee说,最容易受到攻击的设备是那些在互联网上可见的设备,攻击者可以在几分钟内攻破这些设备的漏洞。
设备包括家庭路由器,住宅设备可见通过家庭路由器可见,具有公共IP地址的移动设备设备和具有公共IP地址的任何关键基础架构。任何具有已知漏洞的IOT设备,攻击者妥协的自动化工具将它们添加到扩展的IOT Botnet社区。
物联网生态系统的影响仍然不明确
物联网网络安全改善法将无法实现抵消所有这些威胁;现在问题是它是否可以帮助,如果是的话,那么
柯蒂斯辛普森“这是美国物联网安全的重要第一步,但不要搞错,我们仍有很大的提高空间。物联网设备制造商——无论是服务于政府还是私营部门——都需要了解披露流程,(以及)补丁开发和部署,”安全解决方案公司Armis的首席信息安全官柯蒂斯•辛普森表示。
他说,他支持额外的行动:“这[立法]应该非常被视为正确的方向上的积极步骤,但它真的是 - 一个迈出的一步 - 接下来是所有公司,公共或私人的全面立法。让我们不要忘记在他们家中越来越多的这些设备的消费者。“
其他专家采取了类似的。
鲁道夫说:“这项(法律)是否会产生真正的效果还有待观察。”“值得注意的是,这部(法律)没有涉及非政府、商业交易和物联网设备的销售,也没有国际适用性。更广泛的商业物联网生态系统是否决定采用NIST推荐的实践还有待确定。
“在国际面前,制造商正在处理众多,有时不一致,有时不一致的物联网安全要求。为了真正推进IOT设备的网络安全,制造商需要一套通用的可互操作规则,因此它们可以在整个全球市场中销售设备,“鲁道夫说。
