NIST最新安全布局,物联网安全困局或将开解

  由于美国立法者希望2017年的物联网《网盾法案》获得批准,美国国家标准与技术研究院(简称NIST)最近向联邦机构和私营部门提供了一个更好的未来物联网(IoT)安全问题的解决方案报告。

  这份物联网安全方案报告内容简介

  在2018年2月14号的物联网网络标准的跨部门报告中,NIST 警告称,由于没有一套统一的网络安全标准,多数物联网的设备(例如美国总务管理局总部大楼里,从智能汽车到能效传感器等设备)可能受到网络攻击。

物联网

  过去几年 IoT 已在许多电子产品中盛行起来,但 NIST 警告称,IoT 技术的日益普及将为不法之徒提供更多的机会。

  NIST在这份报告中写道:“IoT 有望在未来变得更具革命性和普遍性。与此同时,IoT 普及带来的网络安全风险将对国家构成重大威胁。”

  这份报告提供了用于分析 IoT 网络安全标准现状的五大IoT技术应用领域:

  联网汽车IoT;

  消费者IoT;

  医疗保健IoT;

  智能建筑IoT;

  智能制造IoT。

  这份报告还分析了 IoT 的网络安全目标、风险和威胁。

  在 IoT 的安全实施方面,这份报告指出,传统的 IT 系统通常优先考虑保密性,然后是完整性和可用性。然而,报告强调, IoT 设备拥有一系列功能,应用在不同的领域,对于某些设备而言,优先级排序可能会不同 。由于要保护的系统数量庞大,对于不同 IoT 设备的要求是一大挑战。由此可见,IoT服务的多样性加大了制定一致性网络安全标准的挑战难度。

  尽管如此,NIST 这份报告总结称,基于标准的网络安全风险管理将继续成为 IoT 应用可信度的主要因素,NIST 通过对上述五大应用领域的分析指出,IoT 网络安全将需要调整现有标准,并制定新标准解决弹出式网络连接,共享系统组件等。美国对私营机构的依赖程度大,美国政府要有效参与制定网络安全标准,就需要与私营部门协调与合作。

  区块链或彻底改变物联网安全

  谈到以技术为基础的解决方案,NIST 认为,区块链有助于与联网设备一起填补一些安全方面的空白,NIST 在报告中表示“区块链是一个不断发展的技术,它可以彻底改变物联网安全。区块链模型有利于设备之间的端到端数据互联,因此是一种去中心化的安全。”

  美国 IoT《网盾法案》要求

  美国国会参议员 Ed Markey(马萨诸塞州)、众议员Ted Lieu(加州)鼓励立法者落实《网盾法案》,该法案将为 IoT 设备创建一个自愿性质的网络安全认证方案。2018年1月29日美国“关键基础设施技术的冬季峰会”期间,Markey 表示,“如果保障措施不到位,物联网时代也是‘危联网’时代”。

  2017,据 Gartner 估计,目前有超过 84 亿的 IoT 设备在使用中。到2020年,IoT 设备将会超过 200 亿台。

  美国《网盾法案》一旦被通过,将由来自学术界,业内和消费者倡导小组的人士组建一个网安专家咨询委员会,以创建 IoT 的网络安全标准。美国商务部长将任命咨询委员会的成员,而商务部监察长也将对监管机构进行监督。

  IoT 设备安全等级划分

  按美国《网盾法案》的要求,设备制造商应 自愿提交其产品进行评估 。满足美国咨询委员会网络安全标准的产品会被打上网盾标记。Markey 表示,“之所以把详细信息摆出来,目的是让用户清楚自己所用设备的安全处于哪个等级。(这可能类似于空调的能耗等级标识)”

  2018年2月14日,在布鲁金斯学会(Brookings Institution)网络安全小组讨论期间,美国联邦通信委员会(FCC)前主席 Tom Wheeler 表示,FCC 或许会在认证网络最佳实例中扮演某个角色,就像它现在评估无线电产品一样,明确产品类型,告知无线电抗干扰程度,这样的产品认证体系也应该用于物联网产品。

  有助于规范 IoT 设备“生产”流程

  Wheeler 认为,虽然 FCC 的测试可能标志着管理 IoT 设备厂商的重大变革,但私企在规范网安产品方面做得确实还不够。生产出来的芯片,可能要用于摄像头,然后摄像头交由电商售卖,最后到达消费者手中,在这个供应链中,很少有人担心过网络安全问题,更多的时候关心的只是价格问题。

  为了掌握安全风险的情况,NIST 援引了 2016年10月 Dyn 公司遭遇的那次网络攻击 ,Dyn 公司专门对互联网数据传输进行监控和路径引导。不法之徒通过恶意软件感染联网设备,令 Dyn 公司的系统在 DoS 攻击中崩溃,而且还让很多主要网页无法打开。