物联网设备制造商和建造商现在需要开始保护设备,因为更广泛的建造商社区预计将采用《物联网网络安全法案》的指导。
《物联网网络安全法案》是物联网专业人员在设备上实施更多安全功能的良好开端。然而,通过主动措施(包括漏洞评估和披露计划)保护资产是可以支持更广泛的建筑商社区打击不良行为者的选择。
于 2020 年 XNUMX 月签署成为法律, 两党立法 强制任何用政府资金购买的物联网 (IoT) 设备 满足最低安全标准.
虽然法律意味着政府可以期待更安全的物联网设备,但建筑商和设备制造商有责任加强设备安全性。
建筑商需要立即采取行动来保护设备
尽管由于缺乏严格、通用的安全标准,更广泛的物联网景观有时被描述为狂野的西部,但对于那些向政府提供服务的人来说,实施安全措施变得更加重要。
然而,物联网安全软件公司 BG Networks 的创始人兼首席执行官 Colin Duggan 强调,尽管如此,设备制造商现在实施网络安全措施至关重要。他警告说,物联网设备是恶意活动的主要目标。
他说,毫无疑问,现在和未来,犯罪分子和敌对民族国家正在寻找并暴露联网物联网设备的弱点,就像他们目前暴露 IT 系统的弱点一样。
杜根表示,恶意行为者不断测试其目标的极限。 Verkada安全摄像头黑客攻击s 强调这些行为者背后不需要明确的动机,因为所谓的意识形态观点推动了渗透设备的愿望。
美国国家标准与技术研究院 (NIST) 制定了 网络安全框架,但这并不是一种放之四海而皆准的方法。
杜根说,建筑商和设备制造商应该注意,某些设备需要比其他设备更安全——要么它们包含的数据更敏感,要么违规可能会导致潜在的安全或操作问题,因为许多物联网设备控制着物理事物和行为。
Vdoo 业务开发副总裁 Yaniv Nissenboim 回应了 Duggan 的观点,表示设备制造商应该“立即开始制定这些准则”,以便在新法规真正形成后,他们可以准备好采取行动并缓解这些准则。
物联网网络安全法案的长期影响
短期内,物联网设备网络安全将不再被视为事后的想法,私人市场将成为榜样。
然而,该法案的长期影响使设备制造商有更大的责任认真考虑安全实施。
CyberArk 业务开发总监 Brian Carpenter 强调,设备制造商和构建商应考虑如何执行这些悬而未决的法规,以及客户如何管理和保护物联网设备的连接。
“客户……不想要更多孤立的安全解决方案来管理部分风险——他们需要单一的风险视图来正确管理风险,”卡彭特说。
他表示,物联网建设者如果能够创建具有更多有效措施(例如安全固件更新、补丁和身份管理)的设备,将能够适应客户的风险缓解策略并获得竞争优势。
在美国两党政治家做出了大量旨在遏制流氓国家干扰该国技术基础设施的监管改革之后,建筑商和设备制造商并不是这项立法的重点。尽管这个问题随着时间的推移而日益严重,但多项立法旨在遏制此类问题造成的破坏 俄罗斯, 中国, 伊朗及 北朝鲜,从长远来看,这一特殊的变化肯定会对建筑商有所帮助。
卡彭特表示,通过提供关于什么构成强大安全性的指南,制造商将需要最终满足客户的需求,而 NIST 的指南可能会转变为联邦或州一级的新立法。
宽泛的定义就是好的定义
杜根表示,该立法对物联网设备的定义“很好,因为具有网络接口的设备可能会给网络增加漏洞”。
物联网网络安全法案 物联网设备的构成定义 规定:一台设备必须“至少有一个传感器(传感器或执行器)用于与物理世界直接交互,至少有一个网络接口。”
杜根表示,这意味着该法律将撒下一张广泛的网,同时也明确指出,智能手机或笔记本电脑不包括在内,因为“网络安全功能的实施已经得到充分理解”。
然而,他指出的限制是缺乏具体的授权,迫使政府机构为设备增加网络安全。
杜根提到了联合国欧洲经济委员会 (UNECE) WP.29汽车法规,其中规定到 2024 年 XNUMX 月所有新生产的车辆 必须包括基于安全设计方法的网络安全 并能够进行软件更新。
他形容物联网网络安全法案“不如 UNECE 的要求那么严格”,在提高安全性方面,匹配 UNECE 正在做的事情将是一个很好的步骤。 “[UNECE] 法规正在迫使汽车行业进行变革,以在汽车中广泛实施所需的网络安全,”他补充道。
至于对设备制造商和制造商的其他限制,尼森博伊姆提醒说,该法律仅适用于向联邦政府销售物联网设备的公司。尽管如此,他承认州政府和私营企业也将寻求采用其原则和指导方针。
他表示:“此外,越来越多的国际物联网网络安全标准和法规正在制定中。”他补充说,这些法规将有助于提高各个行业每年生产的数十亿联网设备的安全水平。
物联网网络安全法案仍有待解决的问题
尽管法规受到了观察人士的赞扬,但设备制造商和制造商仍然面临问题,尤其是那些不向美国政府销售产品的设备制造商和制造商。
建筑商需要退后一步来评估该法案的滚动影响。虽然法律并没有强迫他们对设备进行安全评估,但随着攻击数量的猛增,可能需要指导来避免违规行为。
尼森博伊姆表示,此类分析和监控必须实现自动化,并由产品安全和工程利益相关者进行管理,他们必须承担这些重要的流程。
CyberArk 的 Carpenter 警告说,物联网设备的远程连接在固件更新、凭证管理和维护方面仍然面临重大挑战。
卡彭特表示希望在最终指南中看到一些与目前不受监管的问题相关的内容; “特别是随着劳动力不断激增,”他补充道。
- 优点
- 致力
- 办公室文员:
- 自动化
- 汽车
- 汽车行业
- 两党
- 身体
- 违规
- 建设者
- 商业
- 汽车
- 原因
- 造成
- CEO
- 挑战
- 更改
- 佣金
- 相当常见
- 社体的一部分
- 公司
- 公司
- 代表大会
- 连接的设备
- 连接
- 继续
- 罪犯
- 合作伙伴
- 网络安全
- data
- 研发支持
- 设备
- 副总经理
- 经济
- 有效
- 工程师
- 欧洲
- 特征
- 联邦
- 联邦政府
- 适合
- 专注焦点
- 遵循
- 创办人
- 未来
- 非常好
- 政府
- 各国政府
- 成长
- 方针
- 近期亮点
- 创新中心
- HTTPS
- 身分
- 身份管理
- 影响力故事
- 包含
- 行业中的应用:
- 基础设施
- 意图
- 国际
- 网络
- 物联网
- 物联网
- 物联网设备
- 物联网设备
- 问题
- IT
- 七月
- 笔记本电脑
- 法律
- 立法
- Level
- 光
- 主要
- 颠覆性技术
- 市场
- 钱
- 监控
- 净
- 网络
- 网络
- 新立法
- 数字
- 提供
- 附加选项
- 其他名称
- 其它
- 补丁
- 私立
- 生成
- 产品
- 训练课程
- 税法法规
- 法规
- 岗位要求
- 风险
- 风险缓解
- 实现安全
- 行业
- 保安
- 安全软件
- 短
- 智能手机
- So
- 软件
- 解决方案
- 标准
- 开始
- 州/领地
- 州
- 产品
- 专业技术
- test
- 未来
- 次
- 我们
- 美国政府
- 联合的
- 联合国
- 最新动态
- 车辆
- 查看
- 漏洞
- 漏洞
- 西部
- WHO
- 劳动力
- 世界
- 年