Maksim Kabakou - stock.adobe.com
了解IOT网络安全改进法案,现在法律
联邦行动通过IOT网络安全改进法旨在在美国政府的物联网基础设施中创造更多的安全性,但它可以促进所有部门的安全性。
IOT设备安全挑战绘制联邦审查,最近带来了双胞外立法者,以便双层行动有设备制造商包括更多产品安全功能。
他们的行动:物联网网络安全改进法案12月4日正式签署法律。
伊利诺伊州民主党众议员、众议院技术问责核心小组(House Tech Accountability Caucus)联席主席凯利(Robin Kelly)说,该法案确保政府只购买安全设备,并关闭现有的漏洞。凯利是众议院提出该法案的人。这项立法主要影响美国政府申请、供应商合作伙伴、设备制造商和与联邦政府打交道的利益相关者。
国会的目标是让美国政府的物联网基础设施更加安全,但法律可能会产生超越政府,私营企业和消费者可能受益于新的联系设备标准的涟漪效应。
“该法案将提升物联网安全考虑因素,为供应商创建更负责任的角度,以及用于设备和系统安全的更透明的审计跟踪。邻接效果越过消费者价值链的邻近效果很高,沿着该过程改造了消费者物联网设备以及其他IOT市场,升高了整个连接的景观,“ABI研究的行业分析师Dimitrios Pavlakis说。
法律详情
美国房屋一致批准了9月17日12月17日一致通过了IOT网络安全改进法案;法律确定了政府购买的互联网连接设备的基线安全标准。
法律本身并没有制定安全标准,而是指示美国国家标准与技术研究所(NIST)解决这个问题。它还列出了政府机构要采取的其他几个关键行动,所有这些行动的目的都是为了提升设备安全整个设备生命周期。
唐纳德Schleede“最终,政府希望将战略汇总如何处理IOT设备以及那些特定的安全基准要求应该是什么,”Digi International的信息安全官员说。
首先,法律要求NIST为联邦政府购买或使用的连接设备制定最低安全标准。它还具有机构为政府拥有或使用的所有物联网设备的使用和管理制定标准和指南。
它进一步要求NIST将安全开发、身份管理、补丁和配置管理作为其安全标准的一部分。它禁止联邦实体购买或使用任何被认定不符合NIST标准的物联网设备。
该法案要求国土安全部每五年对这些措施进行一次审查,以决定是否进行必要的修订。这确保了联邦政府对联网设备的要求随着技术、标准和攻击场景的发展而保持不变。
Schleede表示,联邦法律为连通设备提供了与过去的行业导管的企图和立法措施提供了更多特定的物联网安全标准。新法律旨在提供一种特异性加利福尼亚州2018年IOT安全法缺乏,在2020年生效。
此外,专家表示,他们希望NIST制定更全面的标准,这些标准更适用于行业和商业用途而不是过去的努力。
罗伯·伍德现有立法,如加州SB-327和俄勒冈HB2395法律,重点关注消费电子,而不是政府机构。它们仅实现基线技术控制,例如没有默认密码,并且主要是一个回应Mirai Botnet罗布尔木材,在安全咨询咨询小组的硬件和嵌入式安全服务副总裁兼实践副总裁。
“它仍有待观察到哪种技术要求NIST将对这一[法律]实施;希望他们走得更远,”伍德说。
标准可能会影响政府超越的IOT安全性
虽然实际标准尚未确定,但安全领导人表示,他们希望NIST的行动对联邦政府超越联邦政府的IOT重要影响。NIST是一种高度影响力的实体,私营行业和非政府组织经常采用标准,指导文件和建议。
NIST关于联网设备的标准在安全领袖、物联网专家和企业高管中引起了同样的兴趣。《物联网网络安全改进法》(IoT Cybersecurity Improvement law)要求设备制造商采用新的NIST标准,推动供应商向所有客户提供更安全的设备,而不仅仅是联邦政府。
特雷福鲁道夫施耐德电气(Schneider Electric)全球数字政策和监管副总裁特雷弗·鲁道夫(Trevor Rudolph)表示:“利用其购买力,联邦政府可以激励更广泛的物联网生态系统,以确保其设备的强大网络安全,并负责、协调地披露漏洞信息。”
IOT安全挑战上升
法律给予NIST 90天的时间来制定和发布其连接设备的标准和指南。NIST制定标准已经有一段时间了,专家们说,他们预计该组织在截止日期前应该不会有问题。
NIST正在进行的工作表明了网络安全对政府官员和企业领导人的重要性,他们都面临着保护迅速发展的连接生态系统的挑战。
ABI研究公司预测2026年,所有主要的物联网市场将超过230亿,并面临不断,不断发展的网络疗效。这些威胁强制实施者和IOT供应商拥有新的数字安全选项,并在安全设备认证服务中推动投资,该市场预计将达到2026年的收入为84亿美元。
与此同时,诺基亚的“2020年威胁情报报告“发现,IOT负责移动网络中观察到的所有感染的32.72%,从2019年的16.17%起。
凯文麦克克纳维“2020年,我们发现受损物联网设备的数量增加了100%。如果2020年的趋势继续下去,2021年对物联网设备的攻击将显著增加,”威胁情报实验室前负责人、现为诺基亚安全产品经理的凯文•麦克纳米表示。
McNamee表示,最脆弱的设备是在互联网上可见的,攻击者可以在Mere Imper Mere Inters中妥协这些设备漏洞。
设备包括家庭路由器、通过家庭路由器可见的住宅设备、具有公共IP地址的移动物联网设备以及具有公共IP地址的任何关键基础设施。任何已知有漏洞的物联网设备,都将被攻击者利用自动化工具攻击,并将其添加到不断扩大的物联网僵尸网络社区中。
物联网生态系统的影响仍然不明确
物联网网络安全改进法将无法做到这一点对抗所有这些威胁;现在问题是它是否可以帮助,如果是的话,那么
柯蒂斯辛普森“这是美国物联网安全迈出的重要的第一步,但毫无疑问,我们仍有很大的改进空间。物联网设备制造商——无论是为政府服务的还是私营部门——都需要了解披露流程,(以及)补丁开发和部署,”安全解决方案公司Armis的首席信息安全官Curtis Simpson说。
他表示,他支持进一步的行动:“这项(立法)在很大程度上应该被视为朝着正确方向迈出的积极一步,但它确实是朝着正确方向迈出的一步,下一步是针对所有公司,无论是公共公司还是私人公司,全面立法。”我们也不要忘记那些家里拥有越来越多此类设备的消费者。”
其他专家也有类似的看法。
“鲁道夫说:”这是一个[法律]是否会产生真正的区别。““备注,[法律]没有进入非政府,商业交易和物联网设备的销售,它没有国际适用性。更广泛的商业物联网生态系统是否决定采用NIST建议的做法尚未确定。
“在国际面前,制造商正在处理众多,有时不一致,有时不一致的物联网安全要求。为了真正推进IOT设备的网络安全,制造商需要一套通用的可互操作规则,因此它们可以在整个全球市场中销售设备,“鲁道夫说。
