由 dawei
物联网(IoT)的迅猛发展产生了令人瞠目结舌的统计数据。
例如,国际数据公司(International Data Corporation)总裁弗农·特纳(Vernon Turner)预测,到2025年,将有800亿台设备连接到互联网——这意味着每分钟将有152200台物联网设备连接。
ASP站长网但强大的力量带来巨大的责任。随着潜在的攻击面呈指数级扩大,从政府到公司再到个人,每个人的风险都会成倍增加。例如,安全情报报告称,Mozi僵尸网络最近导致物联网攻击增加了500%。
为了在这个刚刚起步的行业中对抗和控制这些风险,美国联邦政府推出了物联网网络安全立法,这将对 2021 年及以后的物联网产品团队产生深远的影响。
事实上,它创建了一个每个人都必须满足的事实上的基线网络安全标准。
新的物联网网络安全标准:产品经理需要知道什么
在这篇令人大开眼界的博文中,您会发现:
新的网络安全标准是什么
它如何影响你
你能做些什么
值得注意的国际网络安全标准
假设您参与了任何 IoT 设备的设计、制造和营销。在这种情况下,无论是针对公共部门组织还是针对个人——合规性对于证明您的产品的可行性至关重要。
这篇博文揭示了您现在需要知道的一切。
它是什么?
以下是新的物联网网络安全标准的细分:
2020 年物联网网络安全改进法案要求联邦政府拥有的物联网设备机构提供更强大的网络安全。
尽管其范围似乎有限,但该法案的条款包括指导美国国家标准与技术研究院 (NIST) 制定补充安全标准和指南,以适当使用和管理所有相关的物联网设备——包括建立管理风险的最低网络安全要求。
从表面上看,这项立法只涉及物联网设备承包商在 2022 年 12 月遵守 NIST 指南成为强制性要求时供应或竞标政府合同。但由于美国政府是世界上最大的消费者之一,其最低标准将级联整个行业,并为所有连接的设备创建新的安全和标签事实上的标准。简而言之,所有物联网设备制造商都应注意 NIST 物联网网络标准——即使您只专注于私人消费市场。
它会影响谁?
合规性将渗透到专注于工业和家庭物联网产品的产品团队。但是,如果您是一家向联邦政府提供产品和服务的物联网制造商(或正在考虑这样做),那么您现在就需要注意了。
澄清一下,如果您参与开发以下产品,这可能意味着您:
美国农业部 (USDA) 可能正在使用的智能农业物联网设备,例如无人机、运动探测器、光探测器、智能灌溉系统以及用于作物和牲畜管理的基于云的数据分析工具。
属于环境保护署 (EPA) 职权范围内的水质物联网设备——例如浮标上的传感器,用于监测水质并监测对海洋生物和人类有害的物质的存在。
对运输安全管理局 (TSA) 有用的安全物联网乘客处理、安全和监控产品,例如智能安全摄像头、面部识别设备和自动检查站。
它如何影响我?
简而言之,物联网网络安全改进法案 (2020) 和随后的 NIST 标准要求网络安全是物联网产品整个生命周期中的重中之重。
这些关键组件阐明了您的物联网产品团队可能需要如何适应:
物联网设备的 NIST 标准和指南将涵盖安全开发、修补和配置管理以及身份管理。这将制定一项新的国家标准,以解决(除其他问题外)因无效设置安全设备密码而造成的长期漏洞。
NIST 关于物联网设备漏洞披露的指导方针意味着将有严格的指导方针来报告联邦机构拥有或控制的任何物联网设备中的所有网络安全漏洞。报告的内容应包括每个漏洞的披露以及解决方案。该要求适用于承包商和分包商
承包商遵守 NIST 标准和指南意味着到 2022 年 12 月,禁止所有联邦机构采购或续签合同,以获取首席信息官 (CIO) 认为不合规的任何物联网设备。
这些是物联网法案的主要含义。但是,如果您还没有注意到它,那么现在是时候阅读 NIST 的物联网设备网络安全指南草案,以获得详细的细分。