9月,美国众议院通过了美国物联网安全改进法案,该法案认为保护物联网(IoT)具有国家重要性,承认加速使用互联网连接设备所固有的风险,并呼吁政府、企业和学术界之间进行合作。同时,该法案规定了保护联邦机构免受网络攻击的责任级别,从行政部门、管理和预算办公室、国土安全部部长和各种此类机构的负责人,领导管理办公室和预算来监督国家标准与技术研究所(NIST)物联网安全标准。要求美国联邦机构和供应商仅使用符合特定标准的设备,并通知机构影响设备的已知漏洞。该法案所涵盖的设备被定义为“能够与互联网通信或定期连接到互联网并具有处理能力,能够收集、发送或接收数据的物理对象。这是为分布式拒绝服务(DDoS)攻击而设计的A2016年的DDoS攻击使用Mirai恶意软件的变种来破坏数千台物联网设备,精心策划了一次通过流量攻击中断业务服务的攻击。2017年,许多中国制造的联网安全摄像头与DDoS攻击有关,被利用使用漏洞,迫使政府意识到这一威胁的威胁,《 2019年国防授权法》(NDAA)也已被修改,以防止在国防部设施中使用具有安全漏洞的摄像头。事实证明,遵守这一规定是非常困难。不知道国防部已经在使用威胁相机。与传统信息技术不同技术设备,IoT设备不是作为组织通信基础设施的一部分构建的,而是通过直接连接到LAN或通过蜂窝或Wi-Fi通道利用简单、无处不在的连接。目标是通过远程监控或控制设备来提高设备的实用性。与安全摄像头一样,互联网连接现在是一种环境管理,是门禁系统和电梯等设施管理设备的共同特征。这些设备被称为“影子物联网”,在机构的网络内运行,但不在负责IT和安全的人员的视线范围内。一些承包商通过将您自己的连接设备带入工作场所使问题更加复杂。如果《物联网网络安全改进法案》最终获得通过,它将为在美国网络上正确采用连接设备建立标准,并通过要求制造商对连接设备采取安全设计方法,为私营行业树立榜样。使用唯一密码和分段部署等简单的预防措施可以使新设备更加安全。该法案现已被证明可有效解决影子物联网问题。它由以下过程组成:发现所有设备。如果IT人员无法准确判断网络连接的位置,该机构就不可能知道它是否符合任何法规。第一步是在组织网络上自动发现设备。没有资产清单,就无法保护这些设备。充分了解这些设备的制造商、型号、软件版本、序列号、位置等信息至关重要。描述行为和风险。一旦被发现,就必须对设备进行分析以了解其行为和风险。这包括建立通信模式的基线,以便可以跟踪异常和恶意行为或设备使用细节等见解。还可以识别易受攻击的设备。自动执行操作并执行策略。通过了解设备是什么及其运行方式,可以生成并应用策略以仅允许批准的通信或触发适当的安全策略。这一点至关重要,因为许多物联网设备的运行时间比典型的笔记本电脑和计算机要长得多,在某些情况下可达10年或更长时间。这意味着机构和企业需要在任何法律通过后的数年内保护数百万易受攻击的遗留设备。为了大规模保护所有这些物联网设备,需要生成安全策略并使其自动化,以确保为新旧设备提供最大程度的保护。
