加州新物联网安全法:缓缓走向更安全的未来

SB 327间接地为未来奠定了基础

政府干预物联网安全并不令人意外，特别是考虑到隐私和安全的风险如此之高。某人327年(信息隐私:连接设备)，定于2020年1月1日生效，规定任何物联网或智能设备的制造商都应确保设备具有“合理的”安全特性，“保护设备及其包含的任何信息不受未经授权的访问、破坏、使用、修改或披露。”

这些术语的模糊性最终使法律有可能得到重要的解释，但这种开放性可以被视为一种积极的态度。毕竟，在一个像物联网发展一样迅速的行业中，政府很难在法律生效前就规定可能过时的特定技术。相反，SB 327建立了一个安全专家可以操作的框架，为公司迅速将下一代安全和认证工具推向市场创造了机会。

物联网安全的需要

尽管无法推荐特定的技术，但政府敏锐地意识到物联网安全很重要的原因。事实上，SB 327要求的“合理措施”之一是，每个物联网设备的默认密码必须是唯一的——这显然是对Mirai僵尸网络的引用，这是一种能够感染广泛物联网设备的恶意软件。

Mirai是突显物联网网络最普遍的漏洞之一的一个极好的例子:尽管数据泄露会使消费者的个人信息处于风险之中，但糟糕的物联网安全可能会使设备暴露于其他类型的攻击。Mirai僵尸网络能够控制物联网设备使用出厂默认的用户名和密码，然后可以用作大规模分布式拒绝服务攻击的一部分。因为这些默认设置可能对整个产品线都是通用的，这使得数量惊人的物联网设备面临这种类型的漏洞。

尽管Mirai现在已为网络安全专家所熟知，但它所利用的漏洞非常简单，很难完全根除。对Mirai的引用不仅强调了特定僵尸网络的危险，而且强调了即使是物联网安全方面最小的失误也会使整个产品线变得脆弱。

当然，像Mirai这样的僵尸网络并不是唯一的威胁，即使是处于技术前沿的公司也会发现惊人的物联网漏洞。今年早些时候,特斯拉汽车公司发现该公司Model S车型的关键芯片很容易被克隆，为精通技术的偷车贼提供了一个很容易利用的漏洞。尽管监管问题已经得到解决，但这一发现清醒地提醒人们，使用物联网技术的人都不能幸免。对于许多公司来说，必须进行基础性的安全改进。

为安全的未来采取的具体步骤

SB 327要求“与信息性质相适应的安全程序和实践”。这意味着，规定的安全措施可能会根据所使用的技术和面临风险的信息而有所不同，这使得安全专家处于一个理想的位置，以建议公司采取最有效和适当的安全措施。尽管法律拒绝给出具体的建议步骤为开发人员对于物联网设备，有很多方法可以在法律生效前开始改善您的物联网安全:

• 与你信任的安全合作伙伴一起工作。物联网安全形势复杂，但有可靠的专家随时待命提供帮助。
• 停止使用静态凭据进行身份验证。用户名、密码和弱对称令牌可能会使安全数据不必要地受到攻击。
• 使用基于更新(不是静态的)且难以窃取的数字身份的强身份验证。这应该会增加供应链内部和整个生态系统(包括供应商和客户)的信任和信心。

随着消费者变得越来越有见识和鉴别力，物联网开发者将需要认真对待安全问题。加州的法律在一年多后才会生效，但几乎可以肯定的是，它是众多法律中的第一部，将努力确保消费者有合理的保护预期。了解物联网固有的脆弱性和可以采取的措施，是走向更安全未来的关键第一步。

所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的，不一定传达物联网议程的想法。