日前,美国参议院提出的一项新法案,将要求美国政府部门更加严格地监督所使用的物联网设备的安全性和可管理性。这项法案由一个由两党组成的参议员小组提出,旨在解决这些连接设备中存在的一些明显的安全漏洞。
根据该法案,向政府提供物联网产品的供应商必须提供一份书面认证,以证明他们的设备符合以下标准:
·不得包含国家漏洞数据库或政府跟踪的任何其他数据库中的任何已知漏洞或缺陷。
·必须具有可更新或打补丁的软件。
·必须使用不被废弃的行业标准协议进行通信,加密和互连。
·不得有任何固定或硬编码的凭证。
该法案本身由四名参议员提出,他们分别是民主党人Mark Warner和Ron Wyden,以及共和党人Cory Gardner和Steve Daines。该法案的官方目的是“为美国联邦机构购买的互联网连接设备提供最低限度的网络安全操作标准。”
虽然这个规定是严格的,但并不难做到。只要其他预防措施到位,用户就可以申请购买不符合规则的设备。
该法案也对某些白帽黑客产生了影响,并指出安全研究人员如果在“善意”中寻找漏洞,将不会承担责任。希望这项工作的鼓励有助于修补以前未知的漏洞。
研究机构Gartner公司预测,到2020年底,大约有200亿个物联网设备将投入使用,但仍然存在巨大的安全威胁。在2016年年底,发现DynDDoS攻击(其占用了众多知名网络媒体资源)是由一个名为Mirai的僵尸网络提供支持,这个僵尸网络针对的是物联网设备。像Mirari这样的僵尸网络和许多其他威胁主要针对物联网部署,特别是企业中每天的部署以及适当的安全标准对于连接的工作场所的未来至关重要。
这个法案的三大要点:
(1)美国参议员新提出的法案将要求政府部门使用的物联网设备符合某些安全标准和补丁标准。
(2)通过白帽黑客和其他手段,安全研究人员将以“善意”的方式获得更多的自由来探索物联网设备的漏洞。
(3)这些规则并不严格,因为如果其他安全协议到位,用户可以申请放弃。
