NIST Draft Puts IoT Cybersecurity Into the Risk Management Process

NIST has released a draft update to SP 800-213 Rev. 1, expanding IoT cybersecurity guidance for federal agencies by shifting focus from individual devices to full 'IoT products' — encompassing hardware, software, cloud services, firmware, and vendor dependencies. The draft integrates IoT risk into the broader organizational risk management process, requiring agencies to assess connected products before purchase and deployment. Key recommendations include establishing clear intake processes, assigning ownership (business, technical, and risk owners), maintaining audit-ready documentation, and treating IoT risk as ongoing rather than a one-time evaluation. While aimed at federal agencies, the guidance is expected to influence enterprise procurement standards and vendor expectations more broadly.

Nguồn: https://securityboulevard.com/2026/06/nist-draft-puts-iot-cybersecurity-into-the-risk-management-process. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

Lobsters14 phút44 phút trướcAI

Ignore DNSSEC if you like MITM attacks

Bài viết lập luận ủng hộ việc kích hoạt và xác thực DNSSEC theo mặc định, cảnh báo nguy cơ tấn công MITM (Man-in-the-Middle) khi bỏ qua DNSSEC, như trường hợp xưa chống lại HTTPS. Nếu không xác thực DNSSEC, kẻ tấn công có thể giả mạo phản hồi DNS để chuyển hướng email (qua SRV/MX records) hay Matrix federation tới máy chủ do chúng kiểm soát, trong khi TLS vẫn hoạt động bình thường khiến người dùng không phát hiện. Tác giả chỉ trích các hệ điều hành vì không bật xác thực DNSSEC cục bộ, khuyến nghị dùng resolver xác thực tại chỗ như unbound hoặc unwind thay vì phụ thuộc bên thứ ba.

Là lập trình viên phát triển ứng dụng giao tiếp mạng (email, chat, federation), bạn nên đọc bài này để hiểu cách bảo vệ hệ thống khỏi các cuộc tấn công DNS spoofing nhờ DNSSEC, tránh bị lừa phê chuẩn TLS mà thực chất đã bị middleman tấn công.

#security