今年9月，美國下議院對美國物聯網安全改進法案獲得通過，該法案認為保護物聯網(IoT)具有國家重要性，確認加速使用互聯網連接設備所固有的風險，并呼吁政府，企業和學術界進行合作。

同時法案規定了保護聯邦機構免受網絡攻擊的責任等級，從執行部門、管理和預算辦公室、國土安全部部長以及各個此類機構的負責人，領導管理和預算辦公室負責監督美國國家標準技術研究院(NIST)制定的物聯網安全標準。要求美國聯邦機構和供應商僅使用符合規定標準的設備，并將影響設備的已知漏洞通知機構。

[[351993]]

此法案所涵蓋的設備被定義為“能夠與互聯網或與互聯網定期連接并具有處理功能，具有收集，發送或接收數據的處理能力的物理對象。

這是針對分布式拒絕服務(DDoS)攻擊而制定的法案，在2016年的一次DDoS攻擊，使用了Mirai惡意軟件變種入侵了成千上萬的IoT設備，精心策劃了通過流量攻擊而破壞商業服務的攻擊。2017年，很多中國制造的聯網安全攝像頭正在使用漏洞實現DDoS攻擊，這一威脅迫使政府意識到威脅，而制定的法案。

與此相關，《 2019年國防授權法》(NDAA)也進行了修改，以防止在國防部設施中使用 具有安全漏洞的相機。事實證明，遵守該法規將有巨大困難。目前尚不清楚在國防部中已經使用具有威脅的相機。

與傳統的信息技術設備不同，物聯網設備并非構建為組織通信基礎架構的一部分，而是通過直接連接到LAN或通過蜂窩或Wi-Fi信道利用簡單，無所不在的連接優勢。目標是通過允許對其進行遠程監視或控制來增加設備的實用性。

與安全攝像機一樣，互聯網連接現在是環境管理，訪問控制系統和電梯等設施管理設備的共同特征。這些設備被稱為“影子物聯網”，它們在機構的網絡內運行，但不在負責IT和安全性的人員的視線范圍內。一些承包商通過將自己的連接設備帶入工作場所，使問題更加復雜。

如果《物聯網網絡安全改進法案》最終獲得通過，將為在美國網絡上合理采用互聯設備建立標準，并通過要求制造商對互聯設備采取設計安全性方法，為私營行業樹立榜樣。諸如使用唯一密碼和分段部署之類的簡單預防措施可以使新設備更加安全。

現在已經證明該法案可以有效解決影子物聯網問題。它由以下過程組成：

• 發現 所有設備。 如果IT人員無法準確判斷出什么地方連接了網絡，那么代理機構就不可能知道它是否符合任何法規。第一步是對組織網絡進行自動設備發現。沒有資產清單，將無法保護這些設備。全面了解這些設備的制造商，型號，軟件版本，序列號，位置等至關重要。

• 描述 行為和風險。一旦發現，必須對設備進行概要分析以了解其行為和風險。這包括確定通信模式的基線，以便可以跟蹤異常和惡意行為等見解或設備使用情況的詳細信息。也可以識別存在漏洞的設備。

• 自動執行操作和執行策略。通過了解設備是什么以及設備如何運行，可以生成并應用策略以僅允許經過批準的通信或觸發適當的安全策略。這是至關重要的，因為許多物聯網設備的工作周期比典型的筆記本電腦和計算機長得多，在某些情況下甚至長達10年甚至更長。這意味著在通過任何法律之后，代理機構和企業需要在數年之內保護數百萬個易受攻擊的舊設備。為了大規模保護所有這些物聯網設備，需要生成安全策略并使其自動化，以確保對新設備和舊設備的最大保護。