在DDOS攻击之后，参议员寻求业界主导的物联网设备安全标准

上周的大规模分布式拒绝服务攻击促使人们迫切关注物联网设备的行业主导网络安全标准的必要性。

美国弗吉尼亚州民主党参议员马克·华纳(Mark Warner)周四表示，在寻求某种形式的政府对物联网安全的监管之前，他倾向于基于行业的方法。

“上周的攻击确实揭示了一个新的漏洞级别，我试图澄清这一点……政府不应该首先解决这个问题。”他在电话采访中说。

华纳表示:“物联网应该是一个行业合作的领域，如果他们能先制定标准，那就很好。”

他说，关于物联网设备的安全准备情况，某种最新的行业“批准印章”或比较评级系统可能是有效的。

华纳表示:“到2020年，物联网设备将从120亿台增加到340亿台，如果业界能够制定出安全标准，那就非常重要。”

他补充说，如今，物联网设备制造商增加安全保护的经济动机并不大。“安全会增加成本，但如果没有经济效益，(制造商)为什么要这么做?””他说。

华纳认为，拥有某种具有认可或评级系统的行业标准，将鼓励公司和消费者购买更安全的设备，从而创造所需的经济激励。

华纳表示，他的办公室工作人员一直在与资深安全专家彼得·扎特科(Peiter Zatko)，也就是黑客马吉(Mudge)，讨论对物联网设备进行比较评级的可能性。

扎特科周五在推特上表示，他一直在与华纳办公室就收视率概念进行联系，发现华纳“非常支持”。旧识的非营利组织网络独立测试实验室提供了《消费者报告》风格的评级软件，包括物联网。

Zatko说:“华纳特别喜欢用我们的评级代替简单的‘认可标签’，因为它可以激励供应商只做最低限度的工作，不允许对多种产品的实际风险和安全性进行评估，这些产品可能都有或没有这种不透明的密封。”

专家们提出了一些制造商需要提供的基本安全要求。它们包括每个物联网设备的唯一用户名和密码。目前，黑客可以很容易地找到默认用户名和密码来利用设备。另一项建议是建造物联网设备，以便它们能够自动接收软件更新，包括安全补丁。

上周五的攻击使用了广泛可用的Mirai僵尸网络，攻击了约10万台物联网设备，如联网摄像头。在分布式拒绝服务攻击(DDoS)中，这些设备被用来淹没DNS提供商Dyn的服务器，导致试图访问主要网站的互联网用户中断。

沃纳曾在上世纪80年代参与电信行业风险投资，他表示，对物联网安全缺乏关注已经成为几十年来的普遍现象。

“我们带着如何获得覆盖和弹性的想法进入互联网，但我认为我们没有考虑到的是安全。安全性在设计标准上并不高，”华纳说。

“如果僵尸网络的DDoS攻击成为可能，我们如何确保物联网冰箱的安全，让它能够购买更多的牛奶?”我们面临的这个巨大的潜在挑战是建立在一系列其他挑战的基础上的，比如知识产权被盗和国家安全问题。”

由于攻击的性质，一些专家猜测，上周五的攻击可能是业余人士发起的，从某种程度上说，这可能比涉及外国政府的老练的犯罪分子或黑客更令人不安。

“无论是一个国家还是一群青少年黑客，这确实揭示了一个新的脆弱性，”华纳说。

一段时间以来，华纳一直在解决不安全的物联网设备问题，包括今年6月致信美国联邦贸易委员会(Federal Trade Commission)。周二,他发送信件针对联邦贸易委员会、国土安全部和联邦通信委员会的攻击。

在给FCC的信中，华纳问了9个问题，包括FCC是否要求国家标准与技术协会制定安全标准。“制造商应该遵守最低技术安全标准吗?”信中问道。

华纳向FCC提出的另一个问题是，互联网服务提供商可能会拒绝不安全的物联网设备接入他们的网络。在采访中，华纳表示:“我并不是说我们违反了网络中立性的原则，(但是)……我们需要走在前面。”

华纳表示，他向FCC和其他机构提出的问题只是为了了解加强物联网安全的最佳方法。“我还在努力学习，”他说。"现在下结论还为时过早。"

他显然支持的一种方法是对公民进行更好的网络安全教育。“我确实认为，向每位消费者灌输一套清晰而适当的网络卫生技术是件好事。如果工业界能够提供消费者应该如何行动的理念，那就太好了。”

他说，“美国在这方面发挥带头作用，但也要确保我们不会制造让美国产品处于不利地位的问题。”

政府设定物联网安全标准的一个问题是使标准足够灵活，以满足未来的需求。“如果我们要设立一些政府标准，如何保持灵活性，以便下个月因黑客的复杂性而改变标准?”华纳问道。

一位安全专家表示，一种可能性是美国禁止销售最不安全的设备。“规定禁止出售非常安全设备在美国可能会导致供应商从根本上改善他们的设备的安全对每个人来说都具有全球影响,因为制造商希望能够卖到美国,”马克·杜说,主任研究和对手预防安全的威胁提供者结局。

然而，Dufresne说华纳建议ISP阻止设备访问互联网是不切实际的。

“易受攻击的设备遍布全球，”他说。“即使我们在美国摆脱所有这些人，也真的没有关系。僵尸网络规模巨大，仍然可以攻击美国的系统。isp可能无法自信地识别下游设备，可能会错过一些，而错误地关闭一些。”

这篇文章，“DDOS攻击后，参议员寻求行业主导的物联网设备安全标准”，最初是由《计算机世界》 ．