美国国家标准与技术研究院(NIST)计划修订其物联网网络安全框架,以应对人工智能、沉浸式技术新兴技术和用例带来的不断变化的风险。NIST准备修订的框架是在2020年美国首个全国性的物联网网络安全法案出台后形成的NIST IR 8259系列框架,在过去近5年的时间里,该文档被美国物联网产业界广泛采用。随着物联网应用的扩展,加上新兴技术快速发展,原有的物联网网络安全框架面临着新的挑战,需要对其进行持续修订。笔者曾在《特朗普重返白宫,回顾一下他曾经签署的美国首部物联网安全法》一文中提出,美国首个物联网安全法案实施过程中,NIST发挥了重要作用,我们今天就系统地了解一下NIST在物联网安全方面所做地工作。
NIST物联网网络安全计划
2016年至2017年,几个恶性物联网安全事件发生,包括恶意软件Mirai攻击物联网设备事件和“WannaCry”勒索病毒暴发,美国联邦政府部门意识到了物联网安全问题的严重性,开始积极探讨和研究如何应对物联网面临的安全冲击。2017年5月,时任总统特朗普签署了13800号总统行政令《加强联邦网络和关键基础设施的网络安全》,其中内容之一就是要增强美国应对僵尸网络及其他自动化和分布式威胁的能力,行政令还提出各机构应使用由NIST制定的“改善关键基础设施网络安全的框架”。
NIST为了执行13800号行政令,在此后召开了专门研讨会,探讨在物联网环境下增强网络弹性及应对僵尸网络威胁的解决方案。研讨会上,与会人员就当前加强物联网安全,降低僵尸网络威胁的标准、技术及做法,物联网设备开发,互联网用户的自我保护,物联网安全研究以及政府角色等问题进行了集中讨论。为了应对物联网网络安全问题,NIST启动了物联网网络安全计划。
NIST宣称物联网网络安全计划的使命是培养对物联网的信任,并通过标准、指南和相关工具营造一个支持全球范围创新的环境。在这一计划中,NIST重点针对3个领域形成相关标准、指南和工具,支持这3个领域物联网网络安全工作实施。其中,第一个领域是为物联网制造商和服务商提供的指南,形成NIST IR 8259系列;第二个领域是为联邦政府和企业在其系统中部署物联网设备提供指南,形成NIST SP 800-213系列;第三个领域是面向消费物联网产品的标准和技术贡献,包括消费物联网核心基线NIST IR 8425,对物联网安全标签计划形成有力支持。
目前,NIST物联网网络安全计划相关标准不仅规范美国国内企业的产品和服务,也是很多企业进入海外市场认证标准。例如,NIST IR 8259、NIST IR 8425认证得到全球多个国家认可,国内格力、美的等家电厂商的智能家电获得NIST IR 8425复合性认证,为其产品走向全球市场提供有利条件。
基于NIST IR 8259系列延伸与更新
2020年5月,NIST发布了《物联网设备制造商的基础网络安全活动》(NIST IR 8259),它描述了制造商在向客户销售其物联网设备之前应考虑执行的建议网络安全活动,这些基本的网络安全活动可以帮助制造商减少客户所需的网络安全相关工作,这反过来又可以降低物联网设备受损和使用受损设备进行攻击的普遍性和严重性。
在该文件发布后的近五年中,已经以三种语言(英语、西班牙语和葡萄牙语)版本发布,下载次数超过4万次,得到业界广泛认可和应用。为了完善该系列框架,NIST增加了两个重要条目,即《物联网设备网络安全能力核心基线》(NIST IR 8259A)和《物联网非技术支撑能力核心基线 》(NIST IR 8259B),NIST IR 8259A和NIST IR 8259B补充了NISTIR 8259中描述的活动,提供了特定的技术能力和非技术性支持活动,制造商应在其产品设计和支持计划中考虑这些活动,以帮助确保他们满足客户的网络安全需求和目标。
为了支持相关部门推进物联网安全工作,例如支持《物联网网络安全改进法案》实施和美国物联网网络安全标识计划,在NISTIR 8259系列标准的基础上,后续出台了多个标准和指南,NISTIR 8259为这些标准和指南提供了概念和背景的基础。后续出台新的标准和指南包括:
一是《联邦政府物联网设备网络安全指南》(NIST SP 800-213)。这一指南是NIST IR 8259系列标准在联邦政府的应用,将物联网产品网络安全纳入NIST的各种信息系统风险管理指南中,以使联邦机构对可能感兴趣的物联网设备的功能范围更加清晰、更加可用、更加兼容。此外,与这一指南相伴而生的《物联网设备网络安全需求目录》((NIST SP 800-213A)提供了设备及其制造商为确保这些设备安全所需的最详细的功能列表,也提供了许多超出基线的附加功能。
二是《面向消费物联网产品的物联网核心基线概况》(NIST IR 8425)。这一文件是NIST IR 8259 A和NIST IR 8259B针对消费级物联网产品的阐释。这份基线文件明确了消费物联网的概念及其扩展范畴,考虑到了物联网产品及其所有必要的组件,如移动应用程序、网关或远程后台等。
三是《消费级路由器产品的推荐网络安全要求》(NIST IR 8425A)。该文件包括消费级路由器产品的网络安全成果和路由器相关标准要求。
四是《产品开发网络安全手册:物联网产品制造商的概念和考虑》(CSWP33草案)。**该草案讨论对于为任何行业或使用案例开发和部署安全物联网产品非常重要的概念,包括物联网产品架构、部署、角色和网络安全视角。
NIST认为,随着物联网应用的扩展,新的挑战已经出现,促使NIST IR 8259需要进行修订,以更好地符合新的指南、标准的要求。对物联网安全提议的更新包括将把关注点从单个物联网设备扩大到整个产品生态系统,NIST还计划整合风险评估和威胁建模,解决物联网、OT和IT系统之间的差异,并纳入其网络安全框架的见解。
该框架的更新还将解决新出现的问题,如可修复性与安全性的关系,以及互联产品中IT和机械部件寿命之间的差异。NIST公告称,随着人工智能、沉浸式技术和其他创新的引入,物联网网络安全变得更加复杂,此次修订旨在确保制造商能够跟上这些发展,同时解决长期以来对设备安全性和支持的担忧。更新后的框架将作为制造商和政策制定者的参考,有助于降低设备接管和数据泄露等风险。
NIST IR 8259系列框架作为美国物联网网络安全底层框架,在其问世至今近5年时间不断完善。特朗普在上一任期中对物联网网络安全已形成初步政策体系,在接下来的第二任总统任期中,预计会进一步出台新的物联网网络安全政策。目前NIST对物联网网络安全框架的修订,也在为进一步的政策出台打下基础。