美国计划IOT安全立法,但英国不太可能遵循
为什么特斯拉模型的'自动驾驶仪'名称需要更改......现在
政府立法为全纤维宽带税假假期
戴姆勒和博世展示了自动代客停车
在COUP尝试期间,土耳其总统通过FaceTime出现在直播电视
CIF GEAR UP瞄准公共部门云
RIO奥运网络安全成功的重点
纽卡斯尔将千兆宽带在理事会属性中
AT&T喜欢“白盒网络”并希望您也希望
英国科技最具影响力的女性:2017年的Longlist.
随着股东愤怒的股票大小,杂乱地拉动私募股权交易的消息
Apple报告了第二直季度的iPhone销售额下降
黑莓经典的死亡打击; Android可以保存公司吗?
Oracle问题有史以来,修复了276张安全漏洞的最大补丁捆绑包
Palo Alto Networks设置为推动安全创新的新时代
数字游牧民券在没有无线合同的旅行博客中
澳大利亚的威斯皮尔拨入全球市场
Tegile推出Intelliflash分层与NVME一起闪光灯阵列
防病毒合并:Avast为AVG提供13亿美元
英国呼吁美国科技巨头加强对抗极端主义
执行面试:布莱恩凯利,首席安全官,Rackspace
Senent Health CCIO说,分享健康数据对患者护理至关重要
Infosec17:IOT安全监管来了,警告布鲁斯施奈尔
IAG首席执行官说,英国航空公司IT毛刺由人类错误引起的
这是智能手机每年可以节省125,000个美国生活方式
合作是打击网络犯罪的关键
伦敦科技部门吸引了记录投资
新的Windows 10 Beta Build 14388将在“快”戒指上爬行到Windows内部内部
英国公司储存Bitcoins用于赎金软件攻击
达拉斯PD转动机器人进入狙击手
Apple的延迟爱尔兰数据传播促使呼吁改革国家的规划系统
微软用混合现实展示震动Computex
属性开发人员A2FOMION选择高光宽带服务
亚马逊表示,这个鼎盛的日子是公司最大的销售日
英国公司将员工视为GDPR合规性的最高风险
新的Satana Ransomware加密用户文件和主引导记录
提名开放:2017年英国技术最具影响力的妇女
Ovh在南伦敦开设了第一个英国数据中心
英国航空公司确认正在进入银行假日数据中心失败的调查
自由获得挑战Snoopers的宪章
VPN提供商在扣押服务器后削减到俄罗斯的服务
由于Brexit预测,它消费将缩小全球范围
Infosec17:Wannacry可能是勒索软件的消亡
思科为聊天机器人带来了一些(真实的)朋友
Red Hat推出开源超级融合基础架构
这不是月亮,这是一个亚马逊主要空气送货无人机
分析师表示,金融机构需要重新考虑安全性
一个提供便宜的攻击服务器的在线市场回归
网络安全培训必须反映真正的风险,警告IISP
蒂姆厨师终于确认苹果公司已经增强了现实计划
您的位置:首页 >产品 > 人工智能 >

美国计划IOT安全立法,但英国不太可能遵循

2021-07-13 15:43:59 [来源]:

美国正在考虑立法来规范组成的设备的安全性(物联网),这可能会促使其他各国政府进入以下诉讼。

该举动今年早些时候由安全技术专家布鲁斯·施奈尔早些时候出现。“监管即将到来,进一步走强,”他敦促伦敦的欧洲安全行业敦促安全行业拥抱事实并参与避免征收穷国立法。

“选择不属于监管,没有规定。选择是在智能规范和愚蠢的规范之间,“他说。

安全研究人员渴望由IOT设备提出的迫在眉睫的安全风险警告,但在2016年10月10月的DNS服务提供商Dynin的Themirai Botnet攻击之后,该主题受到影响,这些组织包括亚马逊Web服务,Github,Netflix,PayPal,包括亚马逊网络服务,reddit,spotify和twitter。

Cyber​​ Security改进机构的提议内部旨在禁止生产不允许软件安全更新和更改密码的IOT设备。

该法案还将要求IOT设备符合行业安全标准,并没有任何已知的安全漏洞。

根据撰帖根据撰帖,根据撰帖根据撰帖根据撰帖,撰写于大西洋理事会和哈佛大学的技术专家的意见,赞助了从技术专家和哈佛大学的投入提出立法。

华纳表示,立法试图采取“尽可能最轻的触感”,但旨在纠正“明显的市场衰竭”,为设备制造商提供了很少的动机,可以使产品安全。

IOT安全公司Rubicon Labs的首席产品官员Rod Schultz表示,释放具有安全漏洞的数字产品远太容易了,因为没有时间测试和修复。“搅动扭转产品通过时间迅速推动到市场和利润要求。

“许多证券所需的IOT设备的安全失败在规模和范围内快速,具有主要影响基础设施。如果没有由供应商适当讨论的IoT安全,则不应该令人意外地提出立法填补那种空虚,“他说。

拟议的立法将扩大为“诚信”工作的安全研究人员来说,以探讨漏洞的IOT设备,以帮助设备制造商提高安全性。

但是,如果在适当的其他控件,如网络分割,则允许联邦机构允许联邦机构要求购买不合规设备的管理和预算办公室,例如网络分割。

虽然安全研究人员欢迎朝着正确的方向作为积极步骤的举措,但有些人敦促立法者确保立法是用对该技术的理解写的。

Tripwire的安全研究员Craig Young Shipporated Company Carmoced Compandments应该踩到并禁止销售互联网连接设备,以硬编码或默认密码。“我认为立法者应通过授权参与公正和授权参加公正的互联网透明Bug赏金计划。“

年轻人已经完成了对智能家居和各种消费物联网设备的广泛研究,也欢迎拟议的研究人员保护。“有时供应商应对赏金支付和感激之情,而其他时候他们已经回应了威胁性法律语言,”他说。

年轻人说,一些错误赏金计划也为供应商提供太多的余地来忽视有效的安全研究,同时使用服务条款来防止研究人员披露问题,即使没有支付赏金,即使没有支付赏金。

Travis Smith也是Tripwire的主要安全工程师表示,拟议的立法将有助于解决一些已知的问题,这是每天被黑客攻击的许多IOT设备。

但是,他表示,该法案在修补和密码时,该账单将无助于IoT设备的整体安全性,因为当留给用户时,更改密码和安装修补程序不是优先级。

“在修补时,我将IoT设备放入三个桶中。最佳存储桶具有自动检测新更新的设备,并在没有任何用户参与的情况下安装它们。这是所有IOT供应商中应该竞争的策略。

“第二个,是可选补丁,这是本条例草案最有可能的授权。但第一个问题是让用户了解补丁,然后让它们实际安装它。这两个任务对于您的普通用户来说是众所周知的。

“最后,有没有收到任何补丁的设备;故意与否,“他说。

关于密码,史密斯说,Mirai如此成功的原因不是因为用户无法改变他们的密码,而是因为他们选择了在安装设备时不再选择。

“我会敦促这项账单添加,如果设备强制用户更改默认密码,则默认密码也应该是每个设备的唯一。“甚至是使用MAC地址的简单,虽然不安全,但这比使用我们已成为惯常的默认管理员/管理员凭据更好的一步,”他说。

史密斯说,为了成功,他认为供应商需要激励,让他们的设备到安全的状态。

“释放免于安全性错误的设备是耗时和昂贵的。许多这些设备是一种商品,将时间推迟到市场或收取更高的成本可能不适合其当前的商业模式,“他说。

Mark Noctor,欧洲副总统德国技术说,欧洲的副总统技术说,比例说明供应商解释其系统中的漏洞,并解释为什么他们的设备仍被认为是安全的,备注立法将强迫开发人员认真对待安全。

“满足这种需求将有助于保证设备通过设计安全,而不是将安全规定作为事后的要求 - 在今天的快节奏市场中都太常见了,”他说。

虽然专注于密码管理等基本措施是一个很好的起点,但Noctor表示将来的立法应该建立在这方面,需要更先进的安全措施,例如使用代码硬化来保护连接的设备的软件被闯入和反向设计恶意目的。

“希望这项法案将成为世界各地政府的一个例子,以保护自己的市场,”他说。“虽然来自亚洲萨这样的机构的地区有很有用的工作,但似乎是一个法律行为是让供应商确保安全的最佳方式。”

但是,即使政府倾向于将立法视为最后的手段,特别是在新的和新兴技术方面,立法不太可能在英国。

虽然物联网安全是目前的网络安全中心(NCSC)的关键领域,但目前的方法是在每个部门的领导政府部门提高对IOT相关的安全问题的认识,并鼓励风险管理和软件等领域的最佳实践安全更新。

由于IOT在工厂,办公室,房屋和汽车中的各种内容中涵盖了各种嵌入式设备,因此对每个环境的风险程度不同,并且需要不同的方法来减轻风险。

NCSC的首要任务是确保控制对英国影响很高的工业控制系统的安全性,但NCSC也与工业和消费水平的设备制造商和用户一起工作,以承担IoT设备的重要性软件更新机制。

NCSC还在寻求突出安全性和商业优势,确保IoT设备和系统默认保证并通过设计安全。

英国政府更有可能支持制造商能够签署良好实践标准的准则的自愿计划,而不是立法。

这将需要设备制造商提交基本的安全措施,例如要求用户在设备运行并提交以修复出现的任何安全漏洞 - 以及支持产品的安全漏洞以及设置的安全更新年。

2017年5月,ENISA发布了血症论文,确定了欧洲委员会确定的关键挑战和建议:

定义确保连接设备的最小安全要求的策略框架。正在开发可靠的安全流程和服务的案例,以支持行业在其产品中实施安全功能。环境中强制上演要求的开发,包括IOT中的安全和隐私的安全性和隐私一些最小的要求。用于网络安全的级别竞争字段,并调查类似于数字安全奖励的激励措施,以奖励使用良好的安全实践。

ENISA的执行董事UDO Helmbrecht表示,有信任的解决方案和普通定义的级别的连接和智能设备的安全和隐私都建议并需要允许欧洲获得这些技术的好处。

“标准化和认证已被确定为优先权,以加快整个行业的水平竞争环境,并反映关联环境中公民,消费者和企业的信任,”他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。