聯(lián)邦政府希望與物聯(lián)網(wǎng)設備和網(wǎng)絡(luò )供應商合作，在實(shí)踐中展示新的安全標準，旨在更好地保護消費者和小企業(yè)使用的連接產(chǎn)品免受僵尸網(wǎng)絡(luò )和其他六種自動(dòng)分布式威脅的侵害。

據國家網(wǎng)絡(luò )安全卓越中心的互聯(lián)網(wǎng)標準負責人蒂姆波爾克稱(chēng)，僵尸網(wǎng)絡(luò )，如2016年拍攝大部分網(wǎng)絡(luò )的Mirai DDoS攻擊，并不是新的，并不僅限于物聯(lián)網(wǎng)設備。但是因為有太多的連接設備，還有更多的設備正在開(kāi)發(fā)中，所以必須以更具可擴展性的方式實(shí)現安全性 - 并且這種方式不會(huì )讓消費者或小型企業(yè)承擔成為安全專(zhuān)家的責任。

“DDoS一直是一個(gè)問(wèn)題，但我們......并未對我們如何解決它做出重大改變，”波爾克說(shuō)。“我們必須變得更聰明，并找到以更具可擴展性的方式進(jìn)行安全性的方法，尤其是物聯(lián)網(wǎng)設備，而不僅僅是物聯(lián)網(wǎng)設備。”

有了這個(gè)目標，項目“ 減輕基于物聯(lián)網(wǎng)的分布式拒絕服務(wù)(DDoS) ”要求供應商利用標準，特別是制造商使用說(shuō)明(MUD)規范和安全最佳實(shí)踐，來(lái)證明建議的安全方法在家庭和小型企業(yè)網(wǎng)絡(luò )中部署物聯(lián)網(wǎng)設備。據Polk稱(chēng)，MUD與小型企業(yè)和獨立用戶(hù)特別相關(guān)，因為它旨在減少配置管理方面的工作量。

根據項目描述，部署將“以比當今環(huán)境中通常實(shí)現的安全性更高的方式提供安全性” 。該項目還包括諸如通過(guò)自動(dòng)化安全更新來(lái)簡(jiǎn)化修補過(guò)程以及消除設備上的硬編碼密碼等維度。

該項目的文檔是針對CEO，CISO和更多技術(shù)受眾量身定制的，將在大約年底公布。Polk表示，它將包括演示MUD協(xié)議如何工作，以及企業(yè)需要做些什么來(lái)在現實(shí)世界中利用它。該項目還將創(chuàng )建一個(gè)感興趣的在線(xiàn)社區，參與者和非參與者都可以通過(guò)該社區分享問(wèn)題等。

NCCoE是美國國家標準與技術(shù)研究院的一部分，該研究所是美國商務(wù)部的一部分。與專(zhuān)注于制定標準的NIST不同，NCCoE致力于展示該技術(shù)的實(shí)際應用。

該項目與NIST上周發(fā)布的關(guān)于僵尸網(wǎng)絡(luò )安全的報告草案相吻合，其中一部分建議采用私營(yíng)的，行業(yè)主導的連接設備認證，“安全的良好內務(wù)管理密封”，Polk表示。這兩個(gè)機構的工作部分是由于5月發(fā)布的行政命令“ 加強聯(lián)邦網(wǎng)絡(luò )和關(guān)鍵基礎設施的網(wǎng)絡(luò )安全 ”，其中一部分委托商務(wù)部和國土安全部建議采取必要的行動(dòng)。利益相關(guān)者采取措施使互聯(lián)網(wǎng)對僵尸網(wǎng)絡(luò )更具彈性。

波爾克說(shuō)，自12月27日項目宣布以來(lái)，已有二十多家公司已經(jīng)聯(lián)系了NCCoE。Polk補充說(shuō)，NCCoE正在討論為企業(yè)增加第三個(gè)用例。

Polk說(shuō)，參與供應商的優(yōu)勢在于與其他供應商建立聯(lián)系并建立關(guān)系，宣傳他們的解決方案，并有機會(huì )在他們的產(chǎn)品中嘗試最新的協(xié)議和規范。

波爾克說(shuō)：“如果他們有興趣采取他們今天正在建設的東西，并將其轉移到實(shí)現這一愿景，那么這是一個(gè)明智的地方來(lái)與我們合作。”