在DDOS攻击之后,参议员寻求IOT设备的行业主导的安全标准
上周的大规模分布式拒绝服务攻击促使紧急关注用于设备互联网的行业导航网络安全标准。
美国参议员Mark Warner(D-VA)周四表示,他在寻求某种形式的政府监管后,他有利于基于行业的方法。
“上周的攻击确实揭示了一种新的脆弱程度,我正在努力清楚的事情......这不是一个问题,即政府应该成为一个解决的第一个演员,”他在电话采访时说。
Sen.Mark Warner(D-VA)
“IOT应该是行业合作的领域,如果他们能够首先设定标准,那就好了,”华纳说。
他说,某种有些最新产业“批准印章”或比较评级系统可能是有效的,这可能是有效的。
“如果行业可以提出安全标准,因为我们从2020年从120亿到340亿个IoT设备移动,这是非常重要的,”华纳说。
今天,IoT设备制造商的经济激励并未添加安全保护。“安全增加了成本,但如果没有经济效益,[制造商] P,为什么要这样做?”他说。
拥有一系列具有批准或评级系统的行业标准将鼓励公司和消费者购买更安全的设备,从而创造了所需的经济激励,华纳推出。
华纳表示,他的办公室工作人员一直在与长期安全的Guru Peiter Zatko谈话,也称为黑客泥格,关于物联网设备的比较评级的潜力。
Zatko星期五通过推特留言,他与华纳办公室有关评级概念,并发现华纳“非常支持”。Zatko的非营利组织网络独立测试实验室为软件提供了消费者报告式评级,包括IOT。
“华纳特别喜欢[我们的评级]代替简单的”批准标签“,这可能会激励供应商不超过最低限度,并且不允许评估可能所有人或缺乏的多种产品的实际风险和安全性Zatko说,不透明的印章。
专家们提出了一些制造商需要提供的基本安全要求。它们包括每个IOT设备的唯一用户名和密码。目前,黑客可以轻松找到默认用户名和密码来利用设备。另一个建议是构建IOT设备,以便自动接收软件更新,包括安全修补程序。
上周五的攻击使用广泛可用的Mirai Botnet攻击估计的100,000个IOT设备,例如互联网连接的摄像机。然后将这些设备用于DNS提供商DYN的洪泛服务器,以分布式拒绝服务攻击(DDOS),导致互联网用户试图访问主要站点的中断。
曾在20世纪80年代参与风险投资的前弗吉尼亚州长的前弗吉尼亚州长,表示,缺乏对IOT安全的关注几十年来。
“我们凭借如何获得覆盖和弹性的想法进入互联网,但我认为我们没有想到的是安全。“在设计标准上,安全性并不高,”华纳说。
“我们如何使IoT冰箱安全,所以如果可能的DDOS攻击是可能的,它可以说可以买更多的牛奶?我们有这种巨大的潜在挑战,建立在一系列其他挑战中,如被盗的知识产权和国家安全问题。“
由于攻击的性质,一些专家猜测,业余爱好者可以在上周五的袭击中发起,这在某些方面可能比如果涉及外国政府的复杂的罪犯或黑客。
“它是一个州或一群十几岁的黑客,它确实揭示了一个新的脆弱性水平,”华纳说。
华纳一直在解决不安全的物联网设备,包括6月份给联邦贸易委员会的信。周二,他向FTC攻击发信,以及国土安全部和联邦通信委员会。
在给FCC的信中,华纳向九个问题提出了九个问题,包括FCC是否已要求国家标准和技术研究所确定安全标准。“制造商应该遵守最低的技术安全标准吗?”这封信问道。
来自华纳到FCC的另一个问题构成了互联网服务提供商可能否认Intecure IoT设备访问其网络的想法。在采访中,华纳说:“我并不建议我们违反了网络中立的原则,[但] ......我们需要领先于此。”
华纳说,他对FCC和其他人的问题只是为了学习Bolster IoT安全的最佳方法。“我还在努力了解这一点,”他说。“得出结论,还为时过早。”
他显然有利的一种方法是关于网络安全的更好的公民教育。“我认为有一个清晰的适当网络卫生技术钻入每个消费者都很好。如果行业可以给予消费者应该如何行动的想法,那将是伟大的。“
他说,它也有意义,他说,为“美国接受了这一点,而是为了确保我们不会在劣势中造成施加美国产品的问题。”
关于物联网安全的政府设定标准的一个问题使标准灵活足够灵活,以满足未来的需求。“如果我们要设置一些政府标准,那么这款标准是否可以保持灵活,因此由于黑客的复杂性,标准可以在下个月变化?”华纳问道。
一个安全专家表示,一种可能性是美国的销售额。“禁止在美国销售可怕的设备的规定可能会导致供应商对具有全球影响的每个人来说,由于制造商希望能够销售到美国的每个人,因此,厂商希望能够进入美国安全提供商最终的威胁研究和对手预防。
然而,Dufreesne表示,华纳认为ISP阻止设备对互联网的访问是不切实际的。
“脆弱的设备都在全球范围内,”他说。“即使我们摆脱了美国的所有人,那么它就真的没关系。僵尸网络巨大,仍然可以瞄准美国系统。ISP可能无法充满信心地识别下游设备,并且可能会错过一些误解一些。“