10 desafios de segurança em IoT e como superá-los

A internet das coisas está ao nosso redor já há um tempo e desde o relógio no seu pulso que mede sua frequência cardíaca, ritmo de caminhada, smartphones a outros itens ao nosso dispor mais simples a outros bem mais complexos, por isso precisamos nos preocupar pela segurança em projetos de soluções baseadas em iot.

Visível ou não, a IoT está em sistemas inteligentes de gerenciamento de tráfego que otimizam o uso da iluminação pública e aliviam o congestionamento nas estradas. A IoT também está em barris de lixo que informam quando estão quase cheios para melhorar o saneamento e a eficiência dos coletores de lixo.

No local de trabalho, dispositivos e sistemas inteligentes ajudam a economizar energia ajustando o termostato e desligando as luzes em salas vazias. Na área da saúde, eles monitoram pacientes e equipamentos. Em fábricas e de IoT industrial , eles rastreiam ativos e monitoram o desgaste das máquinas para prever quando precisarão de reparos. Além de outros casos, que vocês poderão comentar abaixo como exemplos.

Apesar desses casos de uso benéficos, a IoT aumenta os riscos de segurança que empresas e consumidores enfrentam. Qualquer dispositivo que se conecte à Internet pode ser um potencial ponto de entrada para a rede maior – e para as informações confidenciais que ela contém. Esses ataques cibernéticos podem ser prejudiciais a uma empresa ou, em alguns casos, até fatais.

Antes dos desafios, algumas estatísticas Fonte gráficas: Exploding Topics

A IoT expandiu tremendamente a superfície de ataque. Antes de um projeto de implementação de IoT, é importante se preparar para os inúmeros problemas que ela pode apresentar. Abaixo estão 10 dos muitos desafios de segurança inerentes à IoT, bem como ideias para mitigá-los.

1. Descoberta e gerenciamento de dispositivos

Você não pode proteger o que não pode ver.

É um dos ditados de segurança mais antigos. Antes de pensar na segurança da rede e do dispositivo, é importante saber exatamente o que precisa ser protegido.

Varredura de portas, análise de protocolos e outras técnicas de detecção podem determinar quais dispositivos estão se conectando a redes corporativas. Ferramentas gratuitas, como Nmap, Shodan e Masscan, estão disponíveis, bem como produtos e serviços comerciais que descobrem, identificam e gerenciam dispositivos IoT.

Depois que dispositivos de IoT forem descobertos, realize uma avaliação de risco de IoT para entender o que os dispositivos podem – e devem – ter acesso e por quê. Liste os dispositivos aprovados em um registro de ativos corporativos, juntamente com os processos de gerenciamento de patches associados a cada dispositivo e as informações do ciclo de vida. Certifique-se de incluir dispositivos conectados em testes de penetração também. Estabeleça políticas e recursos para gerenciar dispositivos perdidos ou roubados, como limpeza remota e desativação da conectividade.

Dispositivos conectados vulneráveis ​​nem sempre são ameaças óbvias e geralmente se enquadram na categoria de shadow IT. Certifique-se de considerar impressoras conectadas, refrigeradores inteligentes e sensores adicionados ao maquinário.

Considere também os dispositivos de IoT do consumidor – especialmente com muitos funcionários trabalhando remotamente em meio à pandemia do COVID-19. Alto-falantes inteligentes conectados à mesma rede de um laptop corporativo podem criar um desastre de privacidade. Realize treinamento de conscientização de segurança para alertar os usuários sobre dispositivos IoT e implemente políticas para evitar que eles se tornem um problema.

2. Autenticação, autorização e controle de acesso

Os dispositivos IoT, por definição, possuem um identificador único que pode auxiliar na autenticação e autorização. Depois de descobrir quais dispositivos se conectam à rede, decida o que eles podem acessar e conversar. Com centenas ou mesmo milhares de IDs exclusivos para lidar, no entanto, essa tarefa pode parecer assustadora.

Opere de acordo com o princípio de privilégio mínimo para permitir que apenas os dispositivos vejam e acessem o que é necessário para que eles façam seu trabalho. Atualize qualquer dispositivo que venha com uma senha instalada de fábrica. Senhas fortes ajudam a combater os riscos da IoT. A autenticação de dois fatores ou multi fator deve ser usada sempre que possível.

De um modo geral, as raízes de confiança baseadas em hardware são consideradas a opção de segurança de IoT mais forte. Estes são construídos diretamente no hardware e incorporados em um dispositivo. Certificados digitais emitidos de uma infraestrutura de chave pública confiável (PKI) também podem ser usados, embora alguns dispositivos não tenham a capacidade de processá-los. Outros algoritmos criptográficos leves podem ser usados ​​neste caso – mais sobre isso abaixo.

Tecnologias mais recentes, como biometria e blockchain, também podem ser usadas para autenticar dispositivos IoT. Adotar uma abordagem de confiança zero também é uma opção eficaz para controlar dispositivos e direitos de acesso. As plataformas comerciais de IoT também oferecem recursos para gerenciar dispositivos e controlar quais dados, outros dispositivos e dispositivos de rede podem acessar.

3. Senhas de IoT

As senhas problemáticas estão relacionadas à autenticação, autorização e controle de acesso. A infiltração dos ataques Mirai do outono de 2016 foi rastreada até câmeras conectadas e outros dispositivos IoT que tinham senhas padrão de fábrica ou codificadas. Os cibercriminosos se infiltraram em servidores usando esses dispositivos e uma lista de credenciais conhecidas – uma lista que, segundo algumas contas, tinha apenas 60 combinações de nome de usuário/senha.

A responsabilidade aqui é dupla. As empresas e os usuários finais devem ser diligentes na atualização de senhas padrão, ter uma política de senha e usar senhas ou frases secretas fortes. Mas isso não é uma opção se as senhas forem codificadas. É aqui que os fabricantes de dispositivos devem assumir sua parte da culpa. Nenhum dispositivo deve ser criado com uma senha codificada, nunca.

4. Aplicação de patches e atualizações

A atualização e aplicação de patches em dispositivos é um componente crítico de qualquer estratégia de segurança. Um dos maiores desafios de segurança da IoT é o uso de software e firmware desatualizados, incluindo o sistema operacional, aplicativos e tecnologia de comunicação.

Os ambientes de IoT apresentam vários desafios exclusivos de correção e atualização. Primeiro, alguns dispositivos são inacessíveis. E se os sensores estiverem dispersos por centenas de acres de terras agrícolas para detectar temperatura, umidade e umidade? Ou se eles estiverem no topo de uma ponte monitorando sua vibração e o clima?

Em segundo lugar, nem todos os dispositivos podem ser colocados offline por longos períodos de tempo para realizar atualizações. Pense em equipamentos de fabricação críticos que podem custar milhões de dólares a uma organização industrial se ficar offline por uma hora ou uma rede inteligente da qual milhões de pessoas dependem para aquecimento ou eletricidade.

Em seguida, adicione o fato de que alguns dispositivos IoT não têm interface do usuário ou tela e alguns nem aceitam atualizações. Ou se um dispositivo aceitar atualizações, mas algo em uma atualização o corromper e causar falha no sistema? Como o dispositivo será revertido para um estado bom conhecido?

Os fornecedores também podem criar problemas de correção. Alguns dispositivos podem chegar ao fim da vida útil e não ser mais suportados pelo fabricante. Da mesma forma, alguns fornecedores são irresponsáveis ​​e não liberam atualizações de segurança quando uma vulnerabilidade é descoberta, deixando seus clientes abertos a possíveis violações de segurança.

Para garantir os recursos de correção de IoT, insira cada dispositivo IoT em um registro de ativos como parte do processo de descoberta ou adoção. Inclua quais versões de software e hardware cada dispositivo executa e acompanha quando as atualizações estão disponíveis e instaladas. Além disso, rastreie quando os dispositivos chegam ao fim da vida útil e devem ser desativados. O uso de dispositivos legados em ambientes ativos cria muitas vulnerabilidades.

Se possível, considere aplicar patches e atualizar os processos antes das implantações de IoT. Certifique-se que as atualizações over-the-air estejam disponíveis e seguras. Além disso, decida entre atualizações automáticas ou um agendamento periódico; cada um tem seu próprio conjunto de vantagens e desvantagens.

Escolha uma plataforma de IoT com sabedoria. Muitos contêm recursos para facilitar os processos de correção e atualização, como automação, e podem gerenciar dispositivos que precisam de reversões ou redefinições. 

5. Ataques de IoT 

Os ambientes de IoT estão sujeitos a muitas das mesmas ameaças que outros ambientes cibernéticos, incluindo ataques DDoS, botnets, malware e ransomware.

Para entender completamente a gravidade de um ataque DDoS de IoT, não procure mais do que os ataques Mirai de 2016. Enquanto os ataques inicialmente visavam um host de servidor Minecraft, o malware acabou atingindo primeiro o site do jornalista de segurança Brian Krebs e o host francês OVH. Um mês depois, o botnet foi usado para atingir o provedor de serviços DNS Dyn, resultando em tempo de inatividade para vários sites de alto perfil, incluindo Amazon, Netflix e Twitter.

Infelizmente, é quase impossível evitar um ataque DDoS.as organizações podem tomar medidas para impedir que uma seja bem-sucedida. Use sistemas de prevenção/detecção de intrusão (IPSes/IDSes) com recursos DDoS ou faça parceria com um ISP que possa detectar e filtrar pacotes DDoS antes que eles cheguem à rede. Siga outras práticas básicas de higiene cibernética , incluindo o uso de firewalls, antimalware, plataformas de segurança de endpoint, detecção e resposta de endpoint (EDR) e software estendido de detecção e resposta.

Para evitar botnet, ransomware e outros ataques de IoT, mantenha o software do dispositivo atualizado, altere as senhas padrão e monitore o tráfego de rede. Segmente quais dados e redes os dispositivos IoT podem acessar e use firewalls para impedir invasões. Além disso, desative quaisquer recursos desnecessários nos dispositivos e faça backup regularmente dos dados de dispositivos e redes. Uma avaliação de risco de IoT também pode ajudar a determinar ameaças potenciais e seu impacto.

6. Segurança física

Os dispositivos IoT devem ser protegidos não apenas contra ameaças de segurança cibernética, mas também contra ameaças de segurança física. Como o hardware IoT – incluindo sensores IoT, wearables e dispositivos de borda – é mais facilmente acessível do que outras partes de uma rede, ele está sujeito a ameaças físicas além de senhas codificadas, como danos físicos, adulteração e roubo.

Dispositivos inseguros, se fisicamente invadidos, podem ter suas portas conectadas a um dispositivo que filtra dados. Mecanismos de armazenamento também podem ser removidos e dados roubados. Esse acesso físico pode ser um ponto de entrada para a rede maior.

Para evitar riscos de segurança física, os dispositivos IoT devem ser reforçados. Incorpore a segurança no dispositivo, garanta o controle de acesso adequado, redefina as senhas padrão, criptografe dados e conexões e remova ou desative portas não utilizadas. Além disso, certifique-se de que os dispositivos IoT não possam ser facilmente desmontados ou ter qualquer um de seus componentes removidos. Em alguns cenários, é necessário colocar os dispositivos em um estojo resistente a adulterações ou inutilizá-los após adulteração física.

7. Criptografia e segurança dos dados

A criptografia é considerada a forma mais eficaz de proteger os dados. A criptografia é um mecanismo fundamental para evitar riscos de privacidade e proteger a integridade dos dados de IoT em repouso e em trânsito entre o usuário, empresa, cliente e outras pessoas ou dispositivos. Ele também ajuda a garantir a privacidade da IoT e cria confiança entre empresas e usuários – especialmente quando informações de identificação pessoal e dados confidenciais entram em jogo, como dispositivos médicos integrados e conectados. A criptografia também impede que invasores manipulem ou falsifiquem dados.

O problema é que muitos dispositivos conectados – pense em pequenos sensores que coletam dados de temperatura, umidade ou umidade – causam as maiores preocupações de segurança da IoT porque não têm os recursos de energia, processamento ou memória necessários para executar algoritmos de criptografia tradicionais, como Advanced Padrão de criptografia (AES). Esses dispositivos devem usar um algoritmo com alta segurança, mas baixa computação – que considere o tamanho, o consumo de energia e as capacidades de processamento de dispositivos com recursos limitados.

É aqui que entram as cifras criptográficas leves. curva elíptica, por exemplo, fornece o equivalente de segurança de Rivest-Shamir-Adleman, mas com tamanhos de chave menores e operações que exigem menos processamento, tornando-a uma opção ideal para dispositivos com menor espaço de armazenamento, poder de processamento e vida útil da bateria. Outras cifras leves incluem Clefia, um AES leve; Enocoro, uma cifra de fluxo orientada a hardware; e Speck, uma cifra add-rotate-xor.

Os especialistas também recomendam o uso de protocolos de segurança confiáveis, como Transport Layer Security ou Datagram TLS.

PKI é outra opção de segurança comprovada. Ele pode ser incorporado em dispositivos no nível de fabricação ou empresarial. A PKI oferece suporte à distribuição e identificação de chaves de criptografia públicas, permitindo que usuários e dispositivos troquem dados com segurança. Ele emite identidades exclusivas e certificados digitais para dispositivos.

Além da criptografia, defina os processos adequados de gerenciamento do ciclo de vida da chave de criptografia.

8. Segurança da rede

Embora proteger os dispositivos IoT e os dados que eles coletam seja importante, é igualmente importante garantir que as redes que esses dispositivos conectam permaneçam protegidas contra acesso e ataques não autorizados. Use IPSes/IDSes, antimalware, firewalls e detecção e resposta de rede ou EDR.

Outra prática recomendada de segurança de IoT é segmentar o ambiente de IoT do restante da rede. Um dos principais problemas de segurança da IoT hoje é que as redes de tecnologia operacional (OT) conectadas às redes de TI geralmente nunca foram consideradas uma ameaça no passado. As redes OT não se conectavam à Internet e, embora às vezes sujeitas a hacks, não representavam uma ameaça iminente às redes de TI. Os sistemas OT legados – com algumas décadas de idade – geralmente executam seus próprios sistemas proprietários, o que significa que os mecanismos de segurança comuns podem ignorar seus problemas durante as verificações de rotina. Como os dispositivos e máquinas OT não podem ser substituídos de maneira fácil ou econômica, as organizações devem atualizá-los, corrigi-los e protegê-los. Com muitos tão antigos que não são mais corrigidos, isso pode se tornar uma tarefa crescente para as equipes de segurança.

Por meio da segmentação de rede, as organizações podem colocar diferentes redes ou partes de redes em diferentes zonas para criar sub-redes. Por exemplo, usando uma zona cada para vendas, finanças, operações e assim por diante. Cada zona tem suas próprias políticas de segurança personalizadas com base em seus usuários, dispositivos e dados.

Uma queixa comum com a segmentação de rede é que ela impede a eficiência e a conectividade.uso de um gateway IoT pode atenuar esses problemas. Atuando como intermediário entre o dispositivo e a rede, um gateway de segurança tem mais poder de processamento, memória e recursos de computação do que os dispositivos IoT que se conectam a ele. Ele pode, portanto, implementar medidas de segurança mais fortes, como firewalls e antimalware, mais perto dos dispositivos, evitando que ameaças de segurança passem para a rede.

Além de antimalware, firewalls, IPSes/IDSes e segmentação de rede, combata os riscos de IoT garantindo a segurança das portas, desabilitando o encaminhamento de portas e nunca abrindo portas quando não for necessário. Além disso, bloqueie endereços IP não autorizados.

A largura de banda é outro desafio comum da IoT. À medida que as redes IoT são dimensionadas e mais dispositivos conectados se conectam a uma rede, surgem desafios de continuidade de negócios (BC). Se os aplicativos críticos não receberem a largura de banda necessária, a produtividade e a eficiência serão afetadas. Para garantir alta disponibilidade de aplicativos e serviços, considere adicionar largura de banda e aumentar o gerenciamento e monitoramento de tráfego. Isso não apenas mitiga os desafios do BC, mas também evita possíveis perdas. Do ponto de vista do planejamento do projeto, faça o planejamento da capacidade e observe a taxa de crescimento da rede para que o aumento da demanda de largura de banda no futuro possa ser atendido.

Outra consideração com a segurança da rede é quais protocolos de comunicação de IoT usar. Nem todos os protocolos são criados iguais, especialmente quando se trata de recursos de segurança. De Bluetooth e Bluetooth Low Energy a celular, MQTT, Wi-Fi, Zigbee, Z-Wave, considere o ambiente IoT e suas necessidades de segurança antes de usar um protocolo. Comunicações inseguras podem levar a espionagem e ataques man-in-the-middle.

9. Falta de padronização

Um padrão é um conjunto de especificações, regras ou processos geralmente acordados por uma indústria e academia. Os padrões globais ajudam a garantir consistência e compatibilidade entre produtos e aplicativos – uma necessidade para que os ambientes de IoT funcionem sem problemas.

O setor de IoT foi atormentado pela falta de padronização desde o início, tanto em termos de segurança quanto em outros. As coisas estão mudando, no entanto; governos e órgãos de padronização começaram a publicar legislação e regulamentos para garantir que a segurança seja incorporada aos dispositivos.

Aprovado em 2018, o SB-327 da Califórnia, “Privacidade de informações: dispositivos conectados”, exige que os fabricantes equipem os dispositivos com recursos de segurança “razoáveis”, incluindo uma senha exclusiva pré-programada para cada dispositivo e uma configuração que exige que uma nova senha seja criada no primeiro uso . Além disso, em 2018, o Reino Unido publicou “Código de Prática para Segurança de IoT do Consumidor”, que foi seguido pela Especificação Técnica 103 645 do Instituto Europeu de Padrões de Telecomunicações, um padrão para regular a segurança de dispositivos de consumo, em 2019. A Melhoria de segurança cibernética IoT de 2020, lei exigia que o NIST e o Escritório de Gerenciamento e Orçamento dos EUA desenvolvessem diretrizes e padrões sobre medidas de segurança em dispositivos IoT usados ​​pelo governo federal.

As empresas devem manter-se a par de quaisquer novos padrões – governamentais, consumidores ou outros. Isso influenciará os padrões de fabricação e segurança de dispositivos IoT no futuro.

10. Lacuna de habilidades em IoT

A lacuna de habilidades afetou todos os setores, e a IoT não é diferente. Uma coisa que diferencia a IoT de outras indústrias é que ela é uma disciplina tão nova. É também uma convergência de TI e TO, o que significa que indivíduos fluentes em TO provavelmente não são bem versados ​​em TI e vice-versa. Além disso, a IoT não é uma disciplina única. Muitas habilidades são necessárias para ser um profissional de IoT bem-sucedido, desde segurança cibernética e design de UX até aprendizado de máquina e conhecimento de IA até o desenvolvimento de aplicativos.

certificações e treinamentos específicos de IoT, incluindo vários específicos de segurança de IoT, que fornecem um conhecimento básico de ambientes conectados.

Fechar a lacuna de habilidades é um desafio em qualquer setor. Investir em treinamentos e certificações para funcionários internos é uma opção. Contratar terceiros e consultores para projetos específicos de IoT é outra opção, embora possa sair caro dependendo do número de projetos que precisam ser trabalhados. Os projetos também podem ser totalmente terceirizados.

Também é importante educar os usuários finais sobre o uso seguro da IoT. Muitos usuários podem não perceber as ameaças de segurança que os dispositivos domésticos inteligentes, como TVs inteligentes, alto-falantes e babás eletrônicas, representam para si mesmos e para o local de trabalho.

Comentem mais sobre outras dúvidas!