新闻风向标美国物联网安全标准和指南框架即将更新,以反映比较新技术与物联
美国标准与技术研究院(NIST)计划修订其物联络安全框架,以应对人工智能、沉浸式技术新兴技术和用例带来的不断变化的风险。NIST准备修订的框架是在2022年美国首个全国性的物联络安全法案出台后形成的NIST IR 8259系列框架,在过去近5年的时间里,该文档被美国物联产业界广泛采用。随着物联应用的扩展,加上新兴技术快速发展,原有的物联络安全框架面临着新的挑战,需要对其进行持续修订。笔者曾在《特朗普重返白宫,回顾一下他曾经签署的美国首部物联安全法》一文中提出,美国首个物联安全法案施过程中,NIST发挥了重要作用,我们今天就系统地了解一下NIST在物联安全方面所做地工作。SIP Trunk的相关问题可以到网站了解下,我们是业内领域专业的平台,您如果有需要可以咨询,相信可以帮到您,值得您的信赖!https://www.siptrunk.cn/https://www.siptrunk.cn/uploads/img/case_getchinasip_twotype.png
NIST物联络安全计划
2022年至2022年,几个恶性物联安全事件发生,包括恶意软件M攻击物联设备事件和“WC”勒索病暴发,美国联邦部门意识到了物联安全问题的严重性,开始积极探讨和研究如何应对物联面临的安全冲击。2022年5月,时任总统特朗普签署了13800号总统行政令《加强联邦络和关键基础设施的络安全》,其中内容之一就是要增强美国应对僵尸络及其他自动化和分布式威胁的能力,行政令还提出各机构应使用由NIST制定的“改善关键基础设施络安全的框架”。
NIST为了执行13800号行政令,在此后召开了专门研讨会,探讨在物联环境下增强络弹性及应对僵尸络威胁的解决方案。研讨会上,与会人员就当前加强物联安全,降低僵尸络威胁的标准、技术及做法,物联设备开发,互联用户的自我保护,物联安全研究以及角色等问题进行了集中讨论。为了应对物联络安全问题,NIST启动了物联络安全计划。
NIST宣称物联络安全计划的使命是培养对物联的信任,并通过标准、指南和相关工具营造一个支持全球范围创新的环境。在这一计划中,NIST重点针对3个领域形成相关标准、指南和工具,支持这3个领域物联络安全工作施。其中,首个领域是为物联制造商和服务商提供的指南,形成NIST IR 8259系列;第二个领域是为联邦和企业在其系统中部署物联设备提供指南,形成NIST SP 800-213系列;第个领域是面向消费物联产品的标准和技术贡献,包括消费物联核心基线NIST IR 8425,对物联安全标签计划形成有力支持。
目前,NIST物联络安全计划相关标准不仅规范美国国内企业的产品和服务,也是很多企业进入海外市场认证标准。例如,NIST IR 8259、NIST IR 8425认证得到全球多个认可,国内格力、美的等家电厂商的智能家电获得NIST IR 8425复合性认证,为其产品走向全球市场提供有利条件。
基于NIST IR 8259系列延伸与更新
2022年5月,NIST发布了《物联设备制造商的基础络安全活动》(NIST IR 8259),它描述了制造商在向客户销售其物联设备之前应考虑执行的建议络安全活动,这些基本的络安全活动可以帮助制造商减少客户所需的络安全相关工作,这反过来又可以降低物联设备受损和使用受损设备进行攻击的普遍性和严重性。
在该文件发布后的近五年中,已经以种语言(英语、西班牙语和葡萄牙语)版本发布,下载次数超过4万次,得到业界广泛认可和应用。为了完善该系列框架,NIST增加了两个重要条目,即《物联设备络安全能力核心基线》(NIST IR 8259A)和《物联非技术支撑能力核心基线 》(NIST IR 8259B),NIST IR 8259A和NIST IR 8259B补充了NISTIR 8259中描述的活动,提供了特定的技术能力和非技术性支持活动,制造商应在其产品设计和支持计划中考虑这些活动,以帮助确保他们满足客户的络安全需求和目标。
为了支持相关部门推进物联安全工作,例如支持《物联络安全改进法案》施和美国物联络安全标识计划,在NISTIR 8259系列标准的基础上,后续出台了多个标准和指南,NISTIR 8259为这些标准和指南提供了概念和背景的基础。后续出台新的标准和指南包括:
一是《联邦物联设备络安全指南》(NIST SP 800-213)。这一指南是NIST IR 8259系列标准在联邦的应用,将物联产品络安全纳入NIST的各种信息系统风险管理指南中,以使联邦机构对可能感兴趣的物联设备的功能范围更加清晰、更加可用、更加兼容。此外,与这一指南相伴而生的《物联设备络安全需求目录》((NIST SP 800-213A)提供了设备及其制造商为确保这些设备安全所需的比较详细的功能列表,也提供了许多超出基线的附加功能。
二是《面向消费物联产品的物联核心基线概况》(NIST IR 8425)。这一文件是NIST IR 8259 A和NIST IR 8259B针对消费级物联产品的阐释。这份基线文件明确了消费物联的概念及其扩展范畴,考虑到了物联产品及其所有必要的组件,如移动应用程序、关或远程后台等。
是《消费级路由器产品的推荐络安全要求》(NIST IR 8425A)。该文件包括消费级路由器产品的络安全成果和路由器相关标准要求。
四是《产品开发络安全手册:物联产品制造商的概念和考虑》(CSWP33草案)。**该草案讨论对于为任何行业或使用案例开发和部署安全物联产品非常重要的概念,包括物联产品架构、部署、角色和络安全视角。
NIST认为,随着物联应用的扩展,新的挑战已经出现,促使NIST IR 8259需要进行修订,以更好地符合新的指南、标准的要求。对物联安全提议的更新包括将把关注点从单个物联设备扩大到整个产品生态系统,NIST还计划整合风险评估和威胁建模,解决物联、OT和IT系统之间的差异,并纳入其络安全框架的见解。
该框架的更新还将解决新出现的问题,如可修复性与安全性的关系,以及互联产品中IT和机械部件寿命之间的差异。NIST公告称,随着人工智能、沉浸式技术和其他创新的引入,物联络安全变得更加复杂,此次修订旨在确保制造商能够跟上这些发展,同时解决长期以来对设备安全性和支持的担忧。更新后的框架将作为制造商和政策制定者的参考,有助于降低设备接管和数据露等风险。
NIST IR 8259系列框架作为美国物联络安全底层框架,在其问世至今近5年时间不断完善。特朗普在上一任期中对物联络安全已形成初步政策体系,在接下来的第二任总统任期中,预计会进一步出台新的物联络安全政策。目前NIST对物联络安全框架的修订,也在为进一步的政策出台打下基础。
页:
[1]