300亿IoT设备将至，2027年监管落地前企业网络安全谁担责？

连接设备监管的道路漫长而曲折，但仍有很长的路要走。在美国，联邦通信委员会(FCC)于2025年9月对负责该项目审核的私营公司展开调查后，“网络信任标志”(Cyber Trust Mark)计划陷入停滞。相比之下，欧洲在物联网保护方面进展更快，《网络弹性法案》(Cyber Resilience Act，简称CRA)已接近实施，但全面执行要到‌2027年底‌才能完成。ic5esmc

与此同时，设备后门和漏洞的出现速度持续超过这些法规的应对能力，尤其在勒索软件和人工智能驱动的威胁行为者日益猖獗的背景下，这一趋势尤其令人担忧。ic5esmc

如今，设备基准即将出台。但在此之前，企业仍需自行保障安全。这也意味着，企业管理员不应坐等数年后才出台的监管保障，而应立即解决终端安全与运营漏洞问题。ic5esmc

监管措施即将出台

多年来，我们一直知道，来自世界各地的廉价设备通常配备通用密码、有限的软件支持和薄弱的数据保护。但随着全球设备数量到本十年末(截至2030年)预计达到300亿台，约为2022年数据的三倍，各国政府已经意识到需要加强生产环节的安全保障。ic5esmc

而欧洲的提案堪称是迄今为止最全面的举措。欧盟在2024年年底通过的《网络弹性法案》(CRA)，要求制造商和零售商确保产品在规划、设计、开发及维护全过程中的网络安全。当然，这并非仅是一项简单的提议，而是任何含数字组件的产品都必须提供全生命周期支持，否则将面临巨额罚款和市场准入限制。ic5esmc

此外，一些关键产品在进入欧盟市场前需通过第三方评估。不过，主要义务条款将于2027年12月才正式生效并开始执行。ic5esmc

另一方面，美国正选择采用一种面向‌消费者的认证标识‌。该认证标识与食品营养标签或能源之星标识类似，“‌网络信任标志”‌将表明这些设备符合由联邦通信委员会(FCC)和国家标准与技术研究院(NIST)设定的某些安全标准(例如，面向消费者的‌安全控制措施‌和‌自动更新功能‌)。ic5esmc

这一计划的意图是双重的：消费者可以区分市场上值得信赖的产品，而制造商则有动力提升设备安全性。尽管计划在2025年推出，但由于FCC正在对该项目的主导公司及其与中国潜在关联展开新调查，这一时间表现在变得不确定。与此同时，大西洋两岸的设备安全风险都在加速上升。ic5esmc

威胁形势日益严峻

遗憾的是，无论企业规模大小，设备安全风险依然普遍存在。2025年10月发布的一份报告分析了1,800个企业网络，发现约三分之一的设备处于IT部门的管控之外。这些设备包括智能电视、恒温器，以及个人手机和笔记本电脑。考虑到平均每家公司拥有35,000台设备，涵盖80种不同类型，对这些终端设备的可视性和控制力不足无疑是一个危险信号。ic5esmc

实际上，问题远不止于此。该报告还发现，约有一半的物联网设备与企业IT系统的链接，均来自已知存在漏洞的资产。更严峻的是，多数网络采用“扁平化”架构，意味着低安全设备与高价值服务器之间几乎没有隔离分区。ic5esmc

这一切之所以重要，是因为黑客的效率已达到前所未有的高度。他们更频繁地利用自动化漏洞检测技术发现薄弱的终端设备，并将其转化为网络入侵的入口。例如，仅在2025年的第一季度，工业领域的勒索软件攻击就激增了50%，这表明黑客们早已准备好随时发动攻击。ic5esmc

管理员必须提供安全补救措施

好消息是，企业无需等待更严格的法规即可实现更强的设备安全性。相反，多种安全策略可快速弥补漏洞。ic5esmc

首先，应制定更严格的设备权限政策。统一终端管理平台可通过多种方式实现此类管控：在个人设备上采用容器化工作配置文件隔离企业数据，或将企业设备锁定为特定功能。康泰纳仕(Condé Nast)集团采用后一种方法，为现场维护团队部署了信息亭式锁定设备。通过中央控制台，他们既能远程推送关键应用程序和更新，又能阻止未经授权的软件安装。ic5esmc

此外，这些平台支持一键打补丁并自动更新软件，确保零日威胁能尽快得到修复。配合提供实时威胁检测的‌扩展检测与响应(XDR)‌解决方案，其效果更佳。目前，每10台企业设备中就有4台未启用‌端点检测与响应(EDR)‌或‌XDR‌，这形成巨大安全漏洞，攻击者可能在此潜伏数周而不被察觉。ic5esmc

若实施得当，XDR可利用威胁情报分配严重性评分，帮助管理员更快响应。依托人工智能驱动的优先修复建议，还能有效缓解警报疲劳问题。ic5esmc

最后，采用零信任架构消除扁平化网络至关重要。通过“永不信任、始终验证”的访问策略，即使发生入侵，攻击者的横向移动也将变得极其困难。ic5esmc

立法者认真对待这种威胁令人鼓舞，但在此期间，黑客将继续利用过时的终端设备进行攻击。管理员别无选择，只能抓住时机，采取相应措施。攻击者不会等待合规截止日期的到来，企业同样也不应坐以待毙。ic5esmc

本文翻译自国际电子商情姊妹平台EETimes，原文标题：It’s Up to Enterprises to Fill the IoT Regulatory Voidic5esmc