今年9月，美國下議院對美國物聯(lián)網(wǎng)安全改進法案獲得通過，該法案認為保護物聯(lián)網(wǎng)(IoT)具有國家重要性，確認加速使用互聯(lián)網(wǎng)連接設備所固有的風險，并呼吁政府，企業(yè)和學術界進行合作。

同時法案規(guī)定了保護聯(lián)邦機構免受網(wǎng)絡攻擊的責任等級，從執(zhí)行部門、管理和預算辦公室、國土安全部部長以及各個此類機構的負責人，領導管理和預算辦公室負責監(jiān)督美國國家標準技術研究院(NIST)制定的物聯(lián)網(wǎng)安全標準。要求美國聯(lián)邦機構和供應商僅使用符合規(guī)定標準的設備，并將影響設備的已知漏洞通知機構。

[[351993]]

此法案所涵蓋的設備被定義為“能夠與互聯(lián)網(wǎng)或與互聯(lián)網(wǎng)定期連接并具有處理功能，具有收集，發(fā)送或接收數(shù)據(jù)的處理能力的物理對象。

這是針對分布式拒絕服務(DDoS)攻擊而制定的法案，在2016年的一次DDoS攻擊，使用了Mirai惡意軟件變種入侵了成千上萬的IoT設備，精心策劃了通過流量攻擊而破壞商業(yè)服務的攻擊。2017年，很多中國制造的聯(lián)網(wǎng)安全攝像頭正在使用漏洞實現(xiàn)DDoS攻擊，這一威脅迫使政府意識到威脅，而制定的法案。

與此相關，《 2019年國防授權法》(NDAA)也進行了修改，以防止在國防部設施中使用 具有安全漏洞的相機。事實證明，遵守該法規(guī)將有巨大困難。目前尚不清楚在國防部中已經(jīng)使用具有威脅的相機。

與傳統(tǒng)的信息技術設備不同，物聯(lián)網(wǎng)設備并非構建為組織通信基礎架構的一部分，而是通過直接連接到LAN或通過蜂窩或Wi-Fi信道利用簡單，無所不在的連接優(yōu)勢。目標是通過允許對其進行遠程監(jiān)視或控制來增加設備的實用性。

與安全攝像機一樣，互聯(lián)網(wǎng)連接現(xiàn)在是環(huán)境管理，訪問控制系統(tǒng)和電梯等設施管理設備的共同特征。這些設備被稱為“影子物聯(lián)網(wǎng)”，它們在機構的網(wǎng)絡內(nèi)運行，但不在負責IT和安全性的人員的視線范圍內(nèi)。一些承包商通過將自己的連接設備帶入工作場所，使問題更加復雜。

如果《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》最終獲得通過，將為在美國網(wǎng)絡上合理采用互聯(lián)設備建立標準，并通過要求制造商對互聯(lián)設備采取設計安全性方法，為私營行業(yè)樹立榜樣。諸如使用唯一密碼和分段部署之類的簡單預防措施可以使新設備更加安全。

現(xiàn)在已經(jīng)證明該法案可以有效解決影子物聯(lián)網(wǎng)問題。它由以下過程組成：

• 發(fā)現(xiàn) 所有設備。 如果IT人員無法準確判斷出什么地方連接了網(wǎng)絡，那么代理機構就不可能知道它是否符合任何法規(guī)。第一步是對組織網(wǎng)絡進行自動設備發(fā)現(xiàn)。沒有資產(chǎn)清單，將無法保護這些設備。全面了解這些設備的制造商，型號，軟件版本，序列號，位置等至關重要。

• 描述 行為和風險。一旦發(fā)現(xiàn)，必須對設備進行概要分析以了解其行為和風險。這包括確定通信模式的基線，以便可以跟蹤異常和惡意行為等見解或設備使用情況的詳細信息。也可以識別存在漏洞的設備。

• 自動執(zhí)行操作和執(zhí)行策略。通過了解設備是什么以及設備如何運行，可以生成并應用策略以僅允許經(jīng)過批準的通信或觸發(fā)適當?shù)陌踩呗?。這是至關重要的，因為許多物聯(lián)網(wǎng)設備的工作周期比典型的筆記本電腦和計算機長得多，在某些情況下甚至長達10年甚至更長。這意味著在通過任何法律之后，代理機構和企業(yè)需要在數(shù)年之內(nèi)保護數(shù)百萬個易受攻擊的舊設備。為了大規(guī)模保護所有這些物聯(lián)網(wǎng)設備，需要生成安全策略并使其自動化，以確保對新設備和舊設備的最大保護。