物联网安全:参议院法案为政府的互联网连接设备提出保障

物联网安全:参议院法案为政府的互联网连接设备提出保障

物联网安全:参议院法案为政府的互联网连接设备提出保障

Internet of Things graphic
两党法案要求向政府出售物联网供应商的新安全做法。 照片:geralt /

两党的两名美国参议员周二提出 ,将为构成物联网的互联网设备引入更多安全措施。 该法案旨在解决目前在美国和世界其他地方的家庭和企业中存在的大量互联网连接设备所带来的一些重大安全漏洞。 但安全专家特拉维斯史密斯告诉国际商业时报,立法需要进一步强制要求用户行为。

这项被称为“ 由Sens.Mark Warner,D-Va赞助。 Steve Daines,R-Mont。; Cory Gardner,R-Colo。 和D-Ore的Ron Wyden。

阅读:

根据拟议的立法,联邦政府购买的物联网设备将受到许多要求的限制,包括需要设备满足最低安全标准。 代理商还需要对他们运营的每台连接互联网的设备进行编目。

该法案还将要求管理和预算办公室为此类设备制定安全标准,并为国家安全局制定协议,以便安全研究人员与政府承包商联系,以披露其产品中发现的安全漏洞。

在某种程度上,该法案将禁止供应商向政府出售具有不可更改的管理密码的设备,或者不提供安装安全补丁以修复已知缺陷的能力。

阅读:

这样的提议可能需要调整版权法,以允许研究人员进行安全检查并披露他们的发现。 目前,“数字千年版权法案”(DMCA)阻止任何人(包括安全研究人员)规避版权保护 - 即使是出于不违反版权的原因。

这种保护措施阻止了安全研究人员搜索已申请版权以保护其设备编码的互联网连接设备中的缺陷 - 尽管某些设备(包括投票机)已免除严格的保护。

“虽然我对物联网设备所带来的创新和生产力感到非常兴奋,但我一直担心有太多的互联网连接设备在没有适当的保护和保护措施的情况下被出售,”参议员沃纳说。在一份声明中。

“这项立法将为联邦政府采购连接设备制定全面而灵活的指导方针,”华纳参议员补充说。

该法案获得了安全研究人员和隐私权倡导者的一些支持,其中包括哈佛大学的Jonathan Zittrain和Bruce Schneier以及赛门铁克安全公司和倡导组织民主与技术中心等行业高管。

但是,有些人认为该法案还远远不足以确保物联网设备符合适当的安全标准。 Tripwire的首席安全研究员史密斯告诉IBT,这项法案将解决互联网连接设备的一些已知问题,但不足以解决仍需要用户采取行动的问题。

他说,自动检测和安装安全补丁的物联网设备应该由所有物联网供应商“争取”,但表示该法案可能只会要求可选补丁。 “可选补丁的两个问题是首先让用户了解补丁,然后让他们实际安装补丁。 对于普通用户来说,这两项任务都是非常困难的,“他说。

史密斯还指出,虽然该法案可能要求用户可以更改密码,但许多用户不会采取这一步骤。 他建议用户应该更改默认密码,并说每个设备的默认密码应该是唯一的。

2016年,一个名为Mirai的僵尸网络能够使用大量被黑客入侵的物联网设备对一些主要网站和服务发起拒绝服务攻击。 该攻击是成功的,因为许多设备使用相同的默认密码,用户不会更改它们。

史密斯说:“为了使这项法案获得成功,需要激励供应商将其设备置于安全状态。” “发布没有安全漏洞的设备既费时又费钱。 由于许多这些设备都是商品,延迟上市时间或收取更高的成本可能不符合他们目前的商业模式。“


载入中...