新闻快讯
< >

NIST最新安全布局,物联网安全困局或将开解

E安全2月26日讯 由于美国立法者希望2017年的物联网《网盾法案》获得批准,美国国家标准与技术研究院(简称NIST)最近向联邦机构和私营部门提供了一个更好的未来物联网(IoT)安全问题的解决方案报告。

这份物联网安全方案报告内容简介

在2018年2月14号的物联网网络标准的跨部门报告中,NIST 警告称,由于没有一套统一的网络安全标准,多数物联网的设备(例如美国总务管理局总部大楼里,从智能汽车到能效传感器等设备)可能受到网络攻击。

1.jpg

过去几年 IoT 已在许多电子产品中盛行起来,但 NIST 警告称,IoT 技术的日益普及将为不法之徒提供更多的机会。 

NIST在这份报告中写道:“IoT 有望在未来变得更具革命性和普遍性。与此同时,IoT 普及带来的网络安全风险将对国家构成重大威胁。”

这份报告提供了用于分析 IoT 网络安全标准现状的五大IoT技术应用领域:

  • 联网汽车IoT;

  • 消费者IoT;

  • 医疗保健IoT;

  • 智能建筑IoT;

  • 智能制造IoT。

这份报告还分析了 IoT 的网络安全目标、风险和威胁。

在 IoT 的安全实施方面,这份报告指出,传统的 IT 系统通常优先考虑保密性,然后是完整性和可用性。然而,报告强调,IoT 设备拥有一系列功能,应用在不同的领域,对于某些设备而言,优先级排序可能会不同。由于要保护的系统数量庞大,对于不同 IoT 设备的要求是一大挑战。由此可见,IoT服务的多样性加大了制定一致性网络安全标准的挑战难度。

尽管如此,NIST 这份报告总结称,基于标准的网络安全风险管理将继续成为 IoT 应用可信度的主要因素,NIST 通过对上述五大应用领域的分析指出,IoT 网络安全将需要调整现有标准,并制定新标准解决弹出式网络连接,共享系统组件等。美国对私营机构的依赖程度大,美国政府要有效参与制定网络安全标准,就需要与私营部门协调与合作。

区块链或彻底改变物联网安全

谈到以技术为基础的解决方案,NIST 认为,区块链有助于与联网设备一起填补一些安全方面的空白,NIST 在报告中表示“区块链是一个不断发展的技术,它可以彻底改变物联网安全。区块链模型有利于设备之间的端到端数据互联,因此是一种去中心化的安全。”

美国 IoT《网盾法案》要求

美国国会参议员 Ed Markey(马萨诸塞州)、众议员Ted Lieu(加州)鼓励立法者落实《网盾法案》,该法案将为 IoT 设备创建一个自愿性质的网络安全认证方案。2018年1月29日美国“关键基础设施技术的冬季峰会”期间,Markey 表示,“如果保障措施不到位,物联网时代也是‘危联网’时代”。

2017,据 Gartner 估计,目前有超过84亿的 IoT 设备在使用中。到2020年,IoT 设备将会超过200亿台。

美国《网盾法案》一旦被通过,将由来自学术界,业内和消费者倡导小组的人士组建一个网安专家咨询委员会,以创建 IoT 的网络安全标准。美国商务部长将任命咨询委员会的成员,而商务部监察长也将对监管机构进行监督。

IoT 设备安全等级划分

按美国《网盾法案》的要求,设备制造商应自愿提交其产品进行评估。满足美国咨询委员会网络安全标准的产品会被打上网盾标记。Markey 表示,“之所以把详细信息摆出来,目的是让用户清楚自己所用设备的安全处于哪个等级。(这可能类似于空调的能耗等级标识)”

2018年2月14日,在布鲁金斯学会(Brookings Institution)网络安全小组讨论期间,美国联邦通信委员会(FCC)前主席 Tom Wheeler 表示,FCC 或许会在认证网络最佳实例中扮演某个角色,就像它现在评估无线电产品一样,明确产品类型,告知无线电抗干扰程度,这样的产品认证体系也应该用于物联网产品。

有助于规范 IoT 设备“生产”流程

Wheeler 认为,虽然 FCC 的测试可能标志着管理 IoT 设备厂商的重大变革,但私企在规范网安产品方面做得确实还不够。生产出来的芯片,可能要用于摄像头,然后摄像头交由电商售卖,最后到达消费者手中,在这个供应链中,很少有人担心过网络安全问题,更多的时候关心的只是价格问题。

为了掌握安全风险的情况,NIST 援引了2016年10月 Dyn 公司遭遇的那次网络攻击,Dyn 公司专门对互联网数据传输进行监控和路径引导。不法之徒通过恶意软件感染联网设备,令 Dyn 公司的系统在 DoS 攻击中崩溃,而且还让很多主要网页无法打开。

1.jpg

NIST 的报告中称,Dyn 系统以及相关互联网服务的中断表明,恶意软件会利用物联网组件的安全漏洞展开恶意活动,最后引发严重的、系统性的损害。

NIST公开征求对这份报告草稿的评价,截止时间2018年4月18日。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。