最近朝着更严格的物联网安全要求的方向发展是令人鼓舞的,但这就足够了吗?
12月4日th, 2020年,“2020年物联网网络安全改进法案成为了法律。这项两党立法为美国政府采购的物联网设备设定了最低安全标准。在一种越来越罕见的两党合作行为中,该法案在众议院和参议院“一致通过”,表明了物联网安全的重要性。
法律规定如下:
虽然这是美国政府联邦层面向物联网设备设置最低安全标准迈出的第一步,但此前政府还采取了一系列其他行动,包括:
最近的这些动向令人鼓舞。但这些就足够了吗?答案取决于你问谁。虽然有些人会说这些指导方针已经足够了,但大多数行业专家会说,不,这些法律都不够。让我们来探索一下:
新法律要求进行身份管理。“如果你不能信任一个设备,你怎么能信任来自它的数据”——这个阶段在安全社区经常被重复,在这里非常相关。在物联网设备连接到网络之前,应该对其进行标识(身份验证)。此外,设备的身份需要在其整个生命周期内继续进行身份验证。这里的问题是身份管理将达到什么水平?一些身份管理方法包括设备制造商在设置时ping设备并执行非常基本的自检。这些自检是否能够捕捉到恶意固件插入到设计中的某个地方?身份管理需求应该走多远?这些法律似乎遗漏了供应链可追溯性——随着物联网设备威胁模型的增加,设备制造商需要意识到,不法分子可能会试图通过伪造芯片或插入流氓硬件渗透供应链。
有些人可能会说,在基本的物联网设备中真的有必要进行重大的安全部署吗?让我们来谈谈最简单的实现之一:联网灯泡。如果黑客能够侵入家庭灯泡,他们就能了解你的居住模式;不管你在家还是不在家。如果是一个高层建筑,那里的灯是连接的呢?一个黑客能够关掉一幢高楼里所有的灯,这对人类安全构成了威胁。
现在,想象一下,如果发现了一个制造商范围内的安全漏洞,让一个邪恶的团体在勒索软件攻击中关闭了该品牌在全球范围内的所有灯。这些产品的财务、品牌和安全风险都很大。这只是灯泡的例子。将这些风险推断到更重要的物联网设备上:政府敏感区域的摄像头、繁忙十字路口的红绿灯、电梯或暖通空调设备。风险是很多的,随着我们周围连接设备数量的增加,威胁模型也会变得更加极端。
政府最近的行动是伟大的第一步,但还需要更多。希望物联网设备制造商不把这些法律视为最低标准,而是一个重要的基础。
额外的资源:
白皮书:设计实现安全
网站:信任解决方案的Rambus根
|
|
|
|
|
|
|
|
|
留下回复