今年9月，美國下議院對美國物聯(lián)網(wǎng)安全改進(jìn)法案獲得通過，該法案認(rèn)為保護(hù)物聯(lián)網(wǎng)(IoT)具有國家重要性，確認(rèn)加速使用互聯(lián)網(wǎng)連接設(shè)備所固有的風(fēng)險，并呼吁政府，企業(yè)和學(xué)術(shù)界進(jìn)行合作。

同時法案規(guī)定了保護(hù)聯(lián)邦機(jī)構(gòu)免受網(wǎng)絡(luò)攻擊的責(zé)任等級，從執(zhí)行部門、管理和預(yù)算辦公室、國土安全部部長以及各個此類機(jī)構(gòu)的負(fù)責(zé)人，領(lǐng)導(dǎo)管理和預(yù)算辦公室負(fù)責(zé)監(jiān)督美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)制定的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)。要求美國聯(lián)邦機(jī)構(gòu)和供應(yīng)商僅使用符合規(guī)定標(biāo)準(zhǔn)的設(shè)備，并將影響設(shè)備的已知漏洞通知機(jī)構(gòu)。

[[351993]]

此法案所涵蓋的設(shè)備被定義為“能夠與互聯(lián)網(wǎng)或與互聯(lián)網(wǎng)定期連接并具有處理功能，具有收集，發(fā)送或接收數(shù)據(jù)的處理能力的物理對象。

這是針對分布式拒絕服務(wù)(DDoS)攻擊而制定的法案，在2016年的一次DDoS攻擊，使用了Mirai惡意軟件變種入侵了成千上萬的IoT設(shè)備，精心策劃了通過流量攻擊而破壞商業(yè)服務(wù)的攻擊。2017年，很多中國制造的聯(lián)網(wǎng)安全攝像頭正在使用漏洞實現(xiàn)DDoS攻擊，這一威脅迫使政府意識到威脅，而制定的法案。

與此相關(guān)，《 2019年國防授權(quán)法》(NDAA)也進(jìn)行了修改，以防止在國防部設(shè)施中使用 具有安全漏洞的相機(jī)。事實證明，遵守該法規(guī)將有巨大困難。目前尚不清楚在國防部中已經(jīng)使用具有威脅的相機(jī)。

與傳統(tǒng)的信息技術(shù)設(shè)備不同，物聯(lián)網(wǎng)設(shè)備并非構(gòu)建為組織通信基礎(chǔ)架構(gòu)的一部分，而是通過直接連接到LAN或通過蜂窩或Wi-Fi信道利用簡單，無所不在的連接優(yōu)勢。目標(biāo)是通過允許對其進(jìn)行遠(yuǎn)程監(jiān)視或控制來增加設(shè)備的實用性。

與安全攝像機(jī)一樣，互聯(lián)網(wǎng)連接現(xiàn)在是環(huán)境管理，訪問控制系統(tǒng)和電梯等設(shè)施管理設(shè)備的共同特征。這些設(shè)備被稱為“影子物聯(lián)網(wǎng)”，它們在機(jī)構(gòu)的網(wǎng)絡(luò)內(nèi)運行，但不在負(fù)責(zé)IT和安全性的人員的視線范圍內(nèi)。一些承包商通過將自己的連接設(shè)備帶入工作場所，使問題更加復(fù)雜。

如果《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》最終獲得通過，將為在美國網(wǎng)絡(luò)上合理采用互聯(lián)設(shè)備建立標(biāo)準(zhǔn)，并通過要求制造商對互聯(lián)設(shè)備采取設(shè)計安全性方法，為私營行業(yè)樹立榜樣。諸如使用唯一密碼和分段部署之類的簡單預(yù)防措施可以使新設(shè)備更加安全。

現(xiàn)在已經(jīng)證明該法案可以有效解決影子物聯(lián)網(wǎng)問題。它由以下過程組成：

• 發(fā)現(xiàn) 所有設(shè)備。 如果IT人員無法準(zhǔn)確判斷出什么地方連接了網(wǎng)絡(luò)，那么代理機(jī)構(gòu)就不可能知道它是否符合任何法規(guī)。第一步是對組織網(wǎng)絡(luò)進(jìn)行自動設(shè)備發(fā)現(xiàn)。沒有資產(chǎn)清單，將無法保護(hù)這些設(shè)備。全面了解這些設(shè)備的制造商，型號，軟件版本，序列號，位置等至關(guān)重要。

• 描述 行為和風(fēng)險。一旦發(fā)現(xiàn)，必須對設(shè)備進(jìn)行概要分析以了解其行為和風(fēng)險。這包括確定通信模式的基線，以便可以跟蹤異常和惡意行為等見解或設(shè)備使用情況的詳細(xì)信息。也可以識別存在漏洞的設(shè)備。

• 自動執(zhí)行操作和執(zhí)行策略。通過了解設(shè)備是什么以及設(shè)備如何運行，可以生成并應(yīng)用策略以僅允許經(jīng)過批準(zhǔn)的通信或觸發(fā)適當(dāng)?shù)陌踩呗?。這是至關(guān)重要的，因為許多物聯(lián)網(wǎng)設(shè)備的工作周期比典型的筆記本電腦和計算機(jī)長得多，在某些情況下甚至長達(dá)10年甚至更長。這意味著在通過任何法律之后，代理機(jī)構(gòu)和企業(yè)需要在數(shù)年之內(nèi)保護(hù)數(shù)百萬個易受攻擊的舊設(shè)備。為了大規(guī)模保護(hù)所有這些物聯(lián)網(wǎng)設(shè)備，需要生成安全策略并使其自動化，以確保對新設(shè)備和舊設(shè)備的最大保護(hù)。