美国政府正致力于建立物联网安全准则，一个关于特定物联网设备的非常公开的争议证明了它们的必要性。

到2021年，您的网络上的连接设备将比以往任何时候都多，尤其是在医疗保健、零售或物流行业，这些行业都是物联网（IoT）的早期采用者。你的网络边缘、总部、车辆、机器、商店、员工家和公共财产上都有设备。

而且很有可能这些物联网设备中有一些或许多内置的安全漏洞会危及您的网络。为了充分利用全球对互联商业设备的巨大需求，许多物联网制造商和开发商正在铲掉企业物联网设备，我们可以说，它们对安全的重视程度各不相同。

如果根据《物联网网络安全改进法案》（IoT Cybersecurity Improvement Act）制定新的互联设备强制性最低安全标准，美国的企业专业人士在不久的将来可能会有所帮助，该法案于2020年12月4日由特朗普总统签署成为法律。

该法案指示国家标准与技术研究所（NIST）为政府机构购买的任何设备创建并系统地更新物联网安全标准。对政府以外的企业专业人士可能有帮助的原因是，这些标准有望影响私营企业。尽管如此，对于已经连接到网络或等待购买的数十亿老式物联网设备，或从现在起到制定标准、制造商和开发商开始遵守标准时将要生产的设备，法律还是无济于事。

那么，企业专业人士该怎么做呢？

就其自身而言，NIST已经着手于物联网安全，并准备了四份文件草案，称“将有助于应对物联网网络安全改进法案中提出的挑战”。其中三个是为制造商编写的，建议他们在设计和构建安全的物联网设备时可能遵循的指导原则。第四个问题是可能购买这些设备的组织在购买这些设备时应该要求什么。NIST在公布这四份文件时说：“该文件提供了背景和建议，以帮助机构考虑物联网设备需要具备哪些安全功能，以便机构将其集成。”。

尽管是草稿，但目前形式的文件可以提供有价值的指导。

• 弗雷斯特波™ 端点检测与响应，2020年第1季度报告

弗雷斯特波™ 端点检测与响应，2020年第1季度报告

• Sunburst按需攻击仿真

Sunburst按需攻击仿真

• 勒索软件解码

勒索软件解码

另一个好的步骤是：熟悉物联网（一个倡导安全标准和合规性的行业联盟）创建的物联网设备的八项关键安全原则：

• 没有通用密码

• 安全接口

• 经验证的密码学

• 默认安全性

• 已验证软件

• 自动安全更新

• 漏洞报告程序

• 证券到期日

如果您正在考虑为自己的网络使用的物联网设备未能满足上述一个或多个原则，您可能应该寻找更安全的替代方案，即使这意味着一无所获。至少你不会因为不安全的物联网设备而危及你的网络。

如果你有时间和资源，另一个选择是自己测试设备以评估它们的可信度，正如SignIPS的联合创始人、共同所有者和首席开发人员Laurens Leemans所做的那样，他的经验是一个警示。

早在二月份，Leemans在一个名为“InfosecFailThread”的tweet帖子中描述说，他对公司正在考虑向客户提供的物联网设备进行了快速评估。该设备是一个计数器系统，用于跟踪建筑物或公共场所中的人数。

首先，利曼明确表示，他是谨慎的。他写道：“和往常一样，我通常会在向客户提供产品之前对产品进行一些基本的安全/健康检查。”。然后是对“最佳实践”的叙述。

“所以，我们打开了电源，按照指示进行设置。它通过以太网供电，但也有Wi-Fi来计算通过它的设备数量。

“首先引起我们注意的是，它建立了一个网络，有一个广播SSID和一个默认密码。有点奇怪，因为它也通过以太网连接，但很好。无论什么。例外：您不能更改SSID或密码！”

事情很快就水落石出，以至于SignIPS和设备制造商在公开场合发生了激烈的争吵，其中包括勒索指控、警方报告、报纸文章，以及布鲁诺·马尔斯的音乐。

你不必像利曼那样公开你的物联网尽职调查。但他提供了一个很好的例子，说明IT专业人士可以而且应该如何在连接设备的运行过程中运行它，深入到引擎盖下，真正地对它进行检查，而不是因为你乐观和信任，就把它插进网络并抱着最好的希望。