今年9月,美国下议院对美国物联网安全改进法案获得通过,该法案认为保护物联网(IoT)具有国家重要性,确认加速使用互联网连接设备所固有的风险,并呼吁政府,企业和学术界进行合作。
同时法案规定了保护联邦机构免受网络攻击的责任等级,从执行部门、管理和预算办公室、国土安全部部长以及各个此类机构的负责人,领导管理和预算办公室负责监督美国国家标准技术研究院(NIST)制定的物联网安全标准。要求美国联邦机构和供应商仅使用符合规定标准的设备,并将影响设备的已知漏洞通知机构。
此法案所涵盖的设备被定义为“能够与互联网或与互联网定期连接并具有处理功能,具有收集,发送或接收数据的处理能力的物理对象。
这是针对分布式拒绝服务(DDoS)攻击而制定的法案,在2016年的一次DDoS攻击,使用了Mirai恶意软件变种入侵了成千上万的IoT设备,精心策划了通过流量攻击而破坏商业服务的攻击。2017年,很多中国制造的联网安全摄像头正在使用漏洞实现DDoS攻击,这一威胁迫使政府意识到威胁,而制定的法案。
与此相关,《 2019年国防授权法》(NDAA)也进行了修改,以防止在国防部设施中使用 具有安全漏洞的相机。事实证明,遵守该法规将有巨大困难。目前尚不清楚在国防部中已经使用具有威胁的相机。
与传统的信息技术设备不同,物联网设备并非构建为组织通信基础架构的一部分,而是通过直接连接到LAN或通过蜂窝或Wi-Fi信道利用简单,无所不在的连接优势。目标是通过允许对其进行远程监视或控制来增加设备的实用性。
与安全摄像机一样,互联网连接现在是环境管理,访问控制系统和电梯等设施管理设备的共同特征。这些设备被称为“影子物联网”,它们在机构的网络内运行,但不在负责IT和安全性的人员的视线范围内。一些承包商通过将自己的连接设备带入工作场所,使问题更加复杂。
如果《物联网网络安全改进法案》最终获得通过,将为在美国网络上合理采用互联设备建立标准,并通过要求制造商对互联设备采取设计安全性方法,为私营行业树立榜样。诸如使用唯一密码和分段部署之类的简单预防措施可以使新设备更加安全。
现在已经证明该法案可以有效解决影子物联网问题。它由以下过程组成:
- 发现 所有设备。 如果IT人员无法准确判断出什么地方连接了网络,那么代理机构就不可能知道它是否符合任何法规。第一步是对组织网络进行自动设备发现。没有资产清单,将无法保护这些设备。全面了解这些设备的制造商,型号,软件版本,序列号,位置等至关重要。
- 描述 行为和风险。一旦发现,必须对设备进行概要分析以了解其行为和风险。这包括确定通信模式的基线,以便可以跟踪异常和恶意行为等见解或设备使用情况的详细信息。也可以识别存在漏洞的设备。
- 自动执行操作和执行策略。通过了解设备是什么以及设备如何运行,可以生成并应用策略以仅允许经过批准的通信或触发适当的安全策略。这是至关重要的,因为许多物联网设备的工作周期比典型的笔记本电脑和计算机长得多,在某些情况下甚至长达10年甚至更长。这意味着在通过任何法律之后,代理机构和企业需要在数年之内保护数百万个易受攻击的旧设备。为了大规模保护所有这些物联网设备,需要生成安全策略并使其自动化,以确保对新设备和旧设备的最大保护。