新的物联网网络安全改进法只是一个开始，而不是最终的解决方案

了解物联网网络安全改进法案如何适用

新法律要求用政府资金购买的任何物联网设备都必须符合最低安全标准。它创建了一些标准和指导方针来管理几个关键领域的网络安全风险：安全开发、身份管理、修补和配置管理。它还发布了报告和修复漏洞的指南。

问题是，这项法律只适用于政府购买物联网相关设备。它不影响私人销售，没有执行机制，也没有直接解决供应链中物联网组件的多方系统、系统集成和部署后的持续运营，这些真正的问题首先引起了企业对物联网安全实力的担忧。

随着物联网设备的多样化，增加了新的功能和价格点，制造商们感到了将设备推向市场的压力。这会产生一种为了保持利润率而偷工减料的诱惑。而且，随着供应商放弃孤立的设备平台，转而使用新的连接版本，这种情况可能会消失许多设备易受攻击.

即使对于新的物联网设备，问题也在于软件工具链、部署和应用程序的成熟度物联网市场支离破碎。物联网软件开发人员的工具不一定具有内置的安全性。当涉及到安全知识时，这些开发人员就没有那么精明了，一旦代码跨越或是在操作技术的另一边开发到it分界线，企业it通常就不参与。例如，用于企业IT应用程序开发、测试和部署的安全软件已经成熟，但大多数供应商仍在开发物联网产品。

企业开发人员更加谨慎，并与他们的安全同行进行更密切的磋商，拥有大型软件团队的大型企业通常有一个安全程序管理办公室和卓越中心。对于较小的公司或那些不在软件开发前沿的公司来说，情况并非如此。他们不认为安全漏洞是一个主要的责任，并有适当的机制进行辩护赔偿。

新法将物联网安全推向了正确的方向

《物联网网络安全改进法案》确实对为网络上的每个设备建立非通用凭据给予了一些关注。它将确保物联网开发商被迫向下游集成商和最终用户发出有关凭据和安全风险的通知。这提醒最终用户和开发人员警惕，他们可能会上钩。

一些专家表示，这可能会阻碍物联网设备通过影子it渠道进入。不过，这可能是个白日梦。IT部门所能做的最好的事情就是假设在某个时候会发生成功的违规行为，为违规行为提前做好准备并减轻影响。

一些识别和报告物联网设备安全漏洞的压力可能落在这些设备的供应商身上。这也是一项艰巨的任务。当然，物联网设备供应商应提供最低限度的合规性，通过商定的开放标准公开与安全相关的信息，并在本地存储该信息的定期摘要，以供将来在审计点或渗透后分析时参考。但是，全面的物联网安全是对特定和复杂环境的持续诊断和监控功能，在大多数情况下，设备制造商与此几乎没有关系。换句话说，脆弱性报告应该成为整个生态系统的共同负担。把负担放在一方身上可能更容易，但这只会增加违约的可能性，并产生一种错误的感觉，即你可以简单地让物联网设备制造商为一切负责。他们不会对一切负责。

该法律将确保物联网设备在连接到高优先级网络（如政府设施或关键基础设施中使用的网络）之前得到适当保护。在过去的40年里，越来越多的政府设施被私有化，盟国是我们网络的一部分。政府设施周围没有网络安全护城河。从某种意义上说，国土安全部得到了这一信息，并将关键基础设施的安全社区真正扩展到了公共、私人甚至国际网络。

最后，新的法律开创了一个先例，应该激励其他国家和组织效仿。与应对气候变化一样，应对安全漏洞，特别是物联网零日攻击，将需要全球合作。“美国优先”的政策不利于安全。

公司能做些什么来确保他们遵守新的规定？这里有一些提示。

• 找出连接了哪些设备以及它们如何与其他设备、系统和应用程序进行通信。这些连接需要遵循适当的安全协议，并对边缘物联网设备进行持续监控。
• 测试每台设备，以了解其行为和风险，以商定的行业标准格式收集消耗品信息。
• 生成策略，以便在动态、连续的监视和诊断中只允许批准的通信、最低审计和治理要求，这些监视和诊断从OT扩展到传统IT领域，如中所述NIST网络安全框架.

物联网网络安全在未来几年面临诸多挑战。许多遗留下来的文化问题需要时间来解决。新的物联网网络安全法不会一夜之间解决重大挑战，但这是一个让设备制造商、最终用户和监管机构站在同一立场的良好开端。

所有物联网议程网络贡献者对其帖子的内容和准确性负责。意见是作者的，不一定传达物联网议程的思想。