物联网网络安全改进法案:它意味着什么,我们如何准备?
<没有脚本> 
Helium 的 Amir Haleem
最近,安全问题一直是有关物联网的主要新闻,这是有充分理由的。最近的一项调查显示,近一半使用物联网网络的美国公司都受到了安全漏洞的影响。以这种频率,难怪2017年物联网网络安全改进法案被提出。
Helium .
2017 年物联网网络安全改进法案的目标是“为联邦机构购买的互联网连接设备以及其他目的提供最低限度的网络安全操作标准。”
根据拟议的立法,供应商需要满足多项要求才能与政府机构签订合同,包括:
- 设备必须没有任何已知的漏洞和缺陷
- 设备必须能够定期接收软件更新
- 设备不得包含任何用于远程管理、更新交付或通信的固定或硬编码凭据
然而,考虑到私有物联网网络的安全和经济影响,此类法规完全有可能扩展到政府合同之外。 Ted Koppel 曾警告说,对美国电网的物联网攻击可能会导致大规模停电,当以色列的研究人员模拟攻击“智能灯泡”以控制城市街区的灯光时,这表明这不仅仅是危言耸听.
对于公司而言,此类攻击可能构成生存威胁——DNS 提供商 Dyn 经历了可能损失其 8% 业务的 DDoS 攻击。因此,虽然我们当然可以期待更多的监管和行业标准,但组织应该采取自己的主动措施来保护他们的系统。
每个公司都应该采取的步骤
应该清楚的是,保护网络的标准方法——补丁、防火墙、间谍软件检测、教育员工等——不足以阻止物联网威胁。软件基础架构和远程部署设备的结合为安全性增加了新的维度,需要以新的方式思考。
但是,公司应该采取一些步骤,以确保他们不仅能够防止攻击,而且能够遵守即将出台的立法:
- 加密每个单独设备上的密钥以更好地控制网络,因为可以监控和管理每个单独的设备(而不是控制特定区域/区域的网关)
- 仅对特定功能使用加密密钥的衍生物
- 定期轮换密钥,这样即使设备遭到破坏,黑客也只能在短时间内使用它
- 集中对系统的可见性和控制,以便您可以直接隔离和禁用可疑设备
- 利用基于硬件的安全性或由物理设备而非安装在计算机系统上的软件产生的保护,分析师 Patrick Moorhead 断言这种策略比软件更安全,因为它无法更改,并且可能防止恶意软件渗入操作系统和虚拟化层
根据 IDC ,到 2021 年,物联网投资总额预计将达到 1.4 万亿美元(1.17 万亿欧元)。物联网系统已经让大约 250 亿台设备在线 ,据 惠普 研究中,70% 到 80% 可能缺乏加密和足够的密码保护。
这些是一些可以想象的最严重的网络攻击的主要目标,公司需要立即采取行动以确保它们受到保护。然而,通过正确的方法,公司可以构建高度安全的物联网网络,确保物联网提供的巨大经济潜力得以实现。
此博客的作者是 Helium 的首席执行官 Amir Haleem
物联网技术