网络安全专家欢呼新的物联网法律

唐纳德·特朗普总统本月签署了《物联网网络安全改进法案》，将许多网络安全专家长期以来的要求编纂成文，从而为数十亿物联网设备泛滥的家庭和企业增加了安全保护。  

该法案要求美国国家标准技术研究院（NIST）和管理与预算办公室（OMB）采取特定步骤，以提高物联网（IoT）设备的网络安全性。 近年来，一系列物品和家用电器已转变为与互联网连接的设备，据一些估计，到2025年，该领域将有416亿个IoT设备，到2023年将花费超过1万亿美元。

查看：5物联网（IoT）创新（免费Pdf）（技术共和国）

物联网设备的爆炸式增长和扩展到日常生活中，伴随着破坏性攻击的增加，这些攻击利用其不安全性来造成尽可能多的破坏，最明显的是2016年的Mirai僵尸网络攻击。

ioXt联盟的首席技术官Brad Ree与政府组织，制造商和顶尖技术公司合作，为跨产品类别的连接设备创建通用安全标准。 

他在一次采访中称该法律是“该行业的一个巨大里程碑”，并说公共部门和私营部门可以团结起来并制定一套最低安全要求非常重要。 

他说：“尽管该法案是针对政府采购的，但我完全希望网络运营商，消费者生态系统和零售商遵循对消费者产品的类似要求。” 

IoT网络安全公司Nozomi Networks的联合创始人兼首席执行官Andrea Carcano和Edgard Capdevielle将法律赞誉为确保IoT设备制造商提高产品安全性的重要第一步。 

该公司最近发布了一项调查，发现在今年的前六个月中，黑客使用IoT僵尸网络和改变勒索软件的策略作为针对运营网络中IoT设备的首选武器。  

Capdevielle说：“虽然尚未完成开发设备标准的艰苦工作，但NIST的参与将有助于推动IoT设备安全标准的全球采用，我们认为这将大大改善整体工业和关键基础设施的安全性。” 

物联网设备安全法案要求创建标准和准则来管理网络安全风险：安全开发，身份管理，补丁，配置管理。它还指导NIST与美国国土安全部以及网络安全研究人员和私营部门行业专家合作，发布报告和补救漏洞的指南。 

Point3 Security战略副总裁ChloéMessdaghi说，网络安全行业对法律感到兴奋，因为它要求所有政府采购的IoT设备都需要标准，这实际上要求所有新制造的IoT设备都必须符合网络安全标准。 

该法律还强迫政府机构采购物联网设备以运行漏洞披露程序，她说CISA试图强制执行该任务。 

“漏洞披露政策是加强组织网络安全的重要工具。” 

Vdoo是一个使用AI来检测和修复IoT设备中漏洞的平台，其副总裁Yaniv Nissenboim表示，他希望联邦机构能够迅速采用新的NIST准则集并坚持使用兼容产品。

他还表示希望该法律能够产生trick滴效应，并迫使州政府效仿。反过来，这将迫使物联网设备行业将网络安全放在首位。 

Nissenboim表示：“未能证明合规性的公司可能会在某个时候将自己的物联网设备排除在利润丰厚的目标市场之外。我们预计类似的法规和标准也会在美国以外出现。” 

前CIA情报官和KnowBe4网络运营高级副总裁Rosa Smothers还指出，随着攻击面的发展，该法律要求国土安全部每五年修订一次IoT设备安全性建议。 

“我认为，HR 1668的最大潜在影响是强制要求开发或作为物联网设备供应商的政府承包商必须实施报告漏洞和补救措施的计划；因为联邦政府是美国最大的商品购买者，这一要求可能会对整个私营部门产生有益的连锁反应。” Smothers说。 

长期存在的物联网安全问题

长期以来，网络安全专家一直抱怨IoT设备制造商在保护设备上做得不够，甚至做不到任何事情，这些设备理论上可以使攻击者访问整个网络。 

Cerberus Sentinel的合规性和风险管理副总裁Lou Morentin表示，对于设备安全性几乎没有考虑过，这些设备的每次新迭代中都嵌入的技术带来了功能和易用性方面的新飞跃，但带来了成本。 

“由于许多这些物联网设备没有任何安全控制，它们有可能访问网络和数据。例如，许多这些设备也进入了国防部和医疗保健等安全环境。技术的飞跃也可能导致厂商放弃了设备，转而使用最新最好的版本；这使许多易受攻击的设备泛滥成灾。供应商并没有建立安全性的要求或理由；他们只是在销售产品。”  

“不幸的是，这为恶意行为者提供了一个途径，使恶意行为者可以损害消费者，现在也可以从政府和行业环境中窃取数据。通过要求制造商要求一定级别的安全性，这至少可以减慢速度，或者在某些情况下，可以防止恶意软件入侵。泄露机密数据。” 

他解释说，加利福尼亚等一些州正试图要求供应商开始在物联网设备中具有一些基本的安全功能。但是国家一级的法律将迫使想要在席位上坐下来的制造商在其设备中建立安全性。

Digital Shadows的威胁研究员Stefano De Blasi说，5G的兴起无疑会刺激物联网设备的爆炸式增长。但是，将这些设备连接到私有公司网络会扩大攻击面，并可能暴露敏感数据，例如病历，个人身份信息和工作场所计划。 

“目前物联网安全性的主要问题之一是，急于推向市场通常会优先考虑需要在我们的设备中内置的安全措施的优先级。这一问题使许多物联网设备对于那些希望窃取敏感信息的犯罪分子而言是轻而易举的事数据和访问裸露的网络，”他说。 

“犯罪分子可以利用其计算能力来利用易受攻击的产品，并组织大规模的物联网僵尸网络活动，以中断针对性服务的流量并传播恶意软件。该行为不仅表明了对这一关键安全问题的认识，而且还树立了一个重要的先例，即可以而且应该鼓励其他国家和组织效仿。”

WhiteHat Security全球解决方案架构主管Peter Monahan说，与传统的Web或移动应用程序相比，IoT设备同样容易受到安全漏洞的影响。

大多数物联网应用程序旨在与任何数量的API交互，这些API也可能同样容易受到安全漏洞的影响，但通常由外部第三方开发和分发。  

他说：“这在总结任何特定设备的总体安全状况方面提出了巨大的挑战，具体取决于联邦政府的预期实施方式。” 

扩展到政府机构之外？

该法案并非没有批评者。一些专家质疑为什么该法案仅限于政府拥有或控制的设备，而不是整个行业。 

Thycotic的首席信息安全官Terence Jackson说，尽管政府网络上使用的IoT设备很重要，但要求所有IoT设备的安全性的立法在提供更全面的IoT设备安全方法方面将走得更远。 

杰克逊说：“实际上，这可能会为公司带来更高的销售，因为它们可能会引入价格更高的'政府'级物联网设备。看看公司是否会因为该标准而提高其消费级产品的安全性，这将很有趣。”注意。 

Lookout安全解决方案主管Chris Hazelton表示，物联网设备功能和价格的多样性现在给制造商施加压力，要求它们将设备推向市场，导致公司经常走捷径，尤其是在网络安全方面。

他解释说，现在有成千上万的设备仅具有简单的默认管理员密码，这给部署和依赖这些连接设备的任何组织都构成了巨大的攻击面。

Hazelton指出，NIST之前已经制定了实施智能手机和平板电脑的移动安全性的准则，这些准则甚至已经被广泛采用，包括政府之外的职业体育队。 

他说，希望已经通过并签署了法律，物联网设备也会发生同样的情况。