1. Descoberta e gerenciamento de dispositivos

Você não pode proteger o que não pode ver.

É um dos ditados de segurança mais antigos. Antes de pensar na segurança da rede e do dispositivo, é importante saber exatamente o que precisa ser protegido.

Varredura de portas, análise de protocolo e outras técnicas de detecção podem determinar quais dispositivos estão se conectando a redes corporativas. Ferramentas gratuitas, como Nmap, Shodan e Masscan, estão disponíveis, bem como produtos e serviços comerciais que descobrem, identificam e gerenciar dispositivos IoT.

Uma vez Dispositivos IoT forem descobertos, faça uma avaliação de risco de IoT para entender o que os dispositivos podem – e devem – ter acesso e por quê. Liste os dispositivos aprovados em um registro de ativos corporativos, juntamente com os processos de gerenciamento de patches associados a cada dispositivo e as informações do ciclo de vida. Certifique-se de incluir dispositivos conectados em testes de penetração também. Estabeleça políticas e recursos para gerenciar dispositivos perdidos ou roubados, como limpeza remota e desativação da conectividade.

Dispositivos conectados vulneráveis ​​nem sempre são ameaças óbvias e geralmente se enquadram na categoria de shadow IT. Certifique-se de considerar impressoras conectadas, geladeiras inteligentes e sensor adicionado ao maquinário. Lembra-se da violação de dados do ponto de venda da Target? Foi causado pelo uso indevido do login de um empreiteiro no sistema HVAC conectado da empresa. Esteja ciente de qualquer dispositivo IoT oculto por meio da descoberta de dispositivos.

Considere também os dispositivos IoT do consumidor - especialmente com muitos funcionários trabalhando remotamente em meio à pandemia do COVID-19. Alto-falantes inteligentes conectados à mesma rede de um laptop corporativo podem criar um desastre de privacidade. Realize treinamento de conscientização de segurança para alertar os usuários sobre dispositivos IoT e implemente políticas para evitar que eles se tornem um problema.

2. Autenticação, autorização e controle de acesso

Os dispositivos IoT, por definição, possuem um identificador exclusivo que pode ajudar na autenticação e autorização. Depois de descobrir quais dispositivos se conectam à rede, decida o que eles podem acessar e conversar. No entanto, com centenas ou até milhares de IDs exclusivos para lidar, essa tarefa pode parecer assustadora.

Operar no princípio do menor privilégio para permitir que os dispositivos vejam e acessem apenas o que é necessário para que eles façam seu trabalho. Atualize qualquer dispositivo que venha com uma senha instalada de fábrica. Senhas fortes ajudam a combater os riscos de IoT. A autenticação de dois fatores ou multifatores deve ser usada sempre que possível.

De um modo geral, as raízes de confiança baseadas em hardware são consideradas a opção de segurança IoT mais forte. Estes são construídos diretamente no hardware e embutidos em um dispositivo. Certificados digitais emitidos de uma infraestrutura de chave pública confiável (PKI) também podem ser usados, embora alguns dispositivos não tenham a capacidade de processá-los. Outros algoritmos criptográficos leves podem ser usados ​​neste caso — mais sobre isso abaixo.

Tecnologias mais recentes, como biometria e blockchain, também podem ser usadas para autenticar dispositivos IoT. tomando um abordagem de confiança zero também é uma opção eficaz para controlar dispositivos e direitos de acesso. As plataformas IoT comerciais também oferecem recursos para gerenciar dispositivos e controlar quais dados, outros dispositivos e redes os dispositivos podem acessar.

3. Senhas de IoT

As senhas problemáticas estão relacionadas à autenticação, autorização e controle de acesso. A infiltração dos ataques Mirai no outono de 2016 foi rastreada até câmeras conectadas e outros dispositivos IoT que tinham senhas padrão de fábrica ou codificadas. Os cibercriminosos se infiltraram nos servidores usando esses dispositivos e uma lista de credenciais conhecidas – uma lista que, segundo algumas contas, tinha apenas 60 combinações de nome de usuário/senha.

A responsabilidade aqui é dupla. As empresas e os usuários finais devem ser diligentes na atualização de senhas padrão, tendo um política de senha e usando senhas fortes ou frases secretas. Mas esta não é uma opção se as senhas forem codificadas. É aqui que os fabricantes de dispositivos devem assumir sua parcela de culpa. Nenhum dispositivo deve ser criado com uma senha codificada, nunca.

[Conteúdo incorporado]

4. Aplicação de patches e atualizações

Atualizar e corrigir dispositivos é um componente crítico de qualquer estratégia de segurança. Um dos maiores desafios de segurança da IoT é o uso de software e firmware desatualizados, incluindo o sistema operacional, aplicativos e tecnologia de comunicação.

Os ambientes de IoT apresentam vários desafios exclusivos de correção e atualização. Primeiro, alguns dispositivos são inacessíveis. E se os sensores estão dispersos em centenas de hectares de terras agrícolas para detectar temperatura, umidade e umidade? Ou se eles estiverem no topo de uma ponte monitorando sua vibração e o clima?

Em segundo lugar, nem todos os dispositivos podem ficar offline por longos períodos de tempo para realizar atualizações. Pense em equipamentos de fabricação críticos que podem custar milhões de dólares a uma organização industrial se ficarem off-line por uma hora ou uma smart grid de que milhões de pessoas dependem para aquecimento ou eletricidade.

Em seguida, adicione o fato de que alguns dispositivos IoT não têm interface do usuário ou tela e alguns nem aceitam atualizações. Ou se um dispositivo aceita atualizações, mas algo em uma atualização o corrompe e causa falha no sistema? Como o dispositivo será revertido para um estado bom conhecido?

Os fornecedores também podem criar problemas de correção. Alguns dispositivos podem chegar ao fim de sua vida útil e não serem mais suportados pelo fabricante. Da mesma forma, alguns fornecedores são irresponsáveis ​​e não liberam atualizações de segurança quando uma vulnerabilidade é descoberta, deixando seus clientes abertos a possíveis violações de segurança.

Para garantir os recursos de correção de IoT, insira cada dispositivo IoT em um registro de ativos como parte da descoberta do dispositivo ou processo de adoção. Inclua quais versões de software e hardware cada dispositivo executa e acompanhe quando as atualizações estão disponíveis e instaladas. Além disso, rastreie quando os dispositivos chegam ao fim de sua vida útil e devem ser retirados. O uso de dispositivos legados em ambientes ativos cria muitas vulnerabilidades.

Se possível, considere aplicar patches e atualizar os processos antes das implantações de IoT. Tenha certeza atualizações sem fio estão disponíveis e são seguros. Além disso, decida entre atualizações automáticas ou uma programação periódica; cada um tem seu próprio conjunto de vantagens e desvantagens.

Escolha uma plataforma IoT com sabedoria. Muitos contêm recursos para facilitar os processos de correção e atualização, como automação, e podem gerenciar dispositivos que precisam de reversões ou redefinições. Fique de olho no Atualizações de software da Força-Tarefa de Engenharia da Internet para o grupo de trabalho da Internet das Coisas, que está desenvolvendo um padrão para atualizações de firmware IoT.

5. Ataques de IoT

Os ambientes de IoT estão sujeitos a muitas das mesmas ameaças como outros ambientes cibernéticos, incluindo ataques DDoS, botnets, malware e ransomware.

Para entender completamente a gravidade de um ataque IoT DDoS, basta olhar para os ataques Mirai de 2016. Embora os ataques tenham inicialmente como alvo um host de servidor Minecraft, o malware acabou atingindo primeiro o site do jornalista de segurança Brian Krebs e o host francês OVH. Um mês depois, o botnet foi usado para atingir o provedor de serviços DNS Dyn, resultando em tempo de inatividade para vários sites de alto perfil, incluindo Amazon, Netflix e Twitter.

Infelizmente, é quase impossível impedir um ataque DDoS. As organizações podem tomar medidas para impedir que alguém tenha sucesso, no entanto. Use sistemas de detecção/prevenção de intrusão (IPSes/IDSes) com recursos DDoS ou faça parceria com um ISP que possa detectar e filtrar pacotes DDoS antes que cheguem à rede. Siga outro básico higiene cibernética práticas, incluindo o uso de firewalls, antimalware, plataformas de segurança de endpoint, detecção e resposta de endpoint (EDR) e detecção estendida e software de resposta.

Para evitar botnet, ransomware e outros ataques de IoT, mantenha o software do dispositivo atualizado, altere as senhas padrão e monitore o tráfego de rede. Segmente quais dados e redes os dispositivos IoT podem acessar e use firewalls para impedir invasões. Além disso, desative todos os recursos desnecessários nos dispositivos e faça backup regularmente dos dados dos dispositivos e redes. Uma avaliação de risco de IoT também pode ajudar a determinar possíveis ameaças e seu impacto.

6. Segurança física

Os dispositivos IoT devem ser protegidos não apenas contra ameaças de segurança cibernética, mas também ameaças de segurança física. Como o hardware IoT – incluindo sensores IoT, wearables e dispositivos de ponta – é mais facilmente acessível do que outras partes de uma rede, é sujeito a ameaças físicas além de senhas codificadas, como danos físicos, adulteração e roubo.

Dispositivos não seguros, se invadidos fisicamente, podem ter suas portas conectadas a um dispositivo que exfiltra dados. Os mecanismos de armazenamento também podem ser removidos e os dados roubados. Esse acesso físico pode ser um ponto de entrada para uma rede maior.

Para evitar riscos de segurança física, os dispositivos IoT devem ser protegidos. Incorporar segurança no dispositivo, garanta o controle de acesso adequado, redefina senhas padrão, criptografe dados e conexões e remova ou desative portas não utilizadas. Além disso, certifique-se de que os dispositivos IoT não possam ser facilmente desmontados ou que nenhum de seus componentes seja removido. Em alguns cenários, é necessário colocar os dispositivos em uma caixa inviolável ou tornar o dispositivo inutilizável após adulteração física.

7. Criptografia e segurança de dados

A criptografia é considerada a maneira mais eficaz de proteger os dados. A criptografia é um mecanismo fundamental para evitar riscos à privacidade e proteger a integridade dos dados IoT em repouso e em trânsito entre o usuário, empresa, cliente e outras pessoas ou dispositivos. Ele também ajuda a garantir a privacidade da IoT e cria confiança entre empresas e usuários, especialmente quando informações de identificação pessoal e dados confidenciais entram em jogo, como dispositivos médicos integrados e conectados. A criptografia também impede que invasores manipulem ou falsifiquem dados.

O problema é que muitos dispositivos conectados - pense em pequenos sensores que coletam dados de temperatura, umidade ou umidade - causam as maiores preocupações de segurança da IoT porque não têm os recursos de energia, processamento ou memória necessários para executar algoritmos de criptografia tradicionais, como o Advanced Encryption Standard (AES). Esses dispositivos devem usar um algoritmo com alta segurança, mas baixa computação — um algoritmo que considere o tamanho, o consumo de energia e as capacidades de processamento de dispositivos com recursos limitados.

É aqui que entram as cifras criptográficas leves. Criptografia de curva elíptica, por exemplo, fornece o equivalente em segurança do Rivest-Shamir-Adleman, mas com tamanhos de chave menores e operações que requerem menos processamento, tornando-o uma opção ideal para dispositivos com menor espaço de armazenamento, poder de processamento e duração da bateria. Outras cifras leves incluem Clefia, um AES leve; Enocoro, uma cifra de fluxo orientada por hardware; e Cisco, uma cifra add-rotate-xor.

Os especialistas também recomendam o uso de protocolos de segurança confiáveis, como Transport Layer Security ou Datagram TLS.

PKI é outro opção de segurança testada e comprovada. Ele pode ser incorporado em dispositivos no nível de manufatura ou empresarial. A PKI oferece suporte à distribuição e identificação de chaves de criptografia públicas, permitindo que usuários e dispositivos troquem dados com segurança. Emite identidades únicas e certificados digitais para dispositivos.

Além da criptografia, defina os processos adequados de gerenciamento do ciclo de vida da chave de criptografia.

8. Segurança de rede

Embora seja importante proteger os dispositivos IoT e os dados que eles coletam, é igualmente importante garantir que as redes que esses dispositivos se conectam permaneçam protegidas contra acesso e ataques não autorizados. Use IPSes/IDSes, antimalware, firewalls e detecção e resposta de rede ou EDR.

Outra prática recomendada de segurança de IoT é segmentar o ambiente IoT do resto da rede. Um dos principais problemas de segurança da IoT hoje é que as redes de tecnologia operacional (OT) conectadas às redes de TI geralmente nunca foram consideradas uma ameaça no passado. As redes OT não se conectavam à Internet e, embora às vezes sujeitas a hacks, não representavam uma ameaça iminente às redes de TI. Os sistemas OT legados - com algumas décadas - geralmente executam seus próprios sistemas proprietários, o que significa que os mecanismos de segurança comuns podem ignorar seus problemas durante as verificações de rotina. Como os dispositivos e máquinas OT não podem ser substituídos de maneira fácil ou econômica, as organizações devem atualizá-los, corrigi-los e protegê-los. Com muitos tão antigos que não são mais corrigidos, isso pode se tornar uma tarefa crescente para as equipes de segurança.

Através da segmentação de rede, as organizações podem colocar diferentes redes ou partes de redes em diferentes zonas para criar sub-redes. Por exemplo, usando uma zona para vendas, finanças, operações e assim por diante. Cada zona tem suas próprias políticas de segurança personalizadas com base em seus usuários, dispositivos e dados.

Uma reclamação comum com a segmentação de rede é que ela impede a eficiência e a conectividade. Usando um Gateway IoT pode atenuar esses problemas. Atuando como um intermediário entre o dispositivo e a rede, um gateway de segurança tem mais poder de processamento, memória e recursos de computação do que os dispositivos IoT conectados a ele. Pode, assim, implementar medidas de segurança mais fortes, como firewalls e antimalware, mais próximas dos dispositivos, evitando que ameaças de segurança passem para a rede.

[Conteúdo incorporado]

Além de antimalware, firewalls, IPSes/IDSes e segmentação de rede, combate os riscos de IoT garantindo a segurança das portas, desativando o encaminhamento de portas e nunca abrindo portas quando não forem necessárias. Além disso, bloqueie endereços IP não autorizados.

A largura de banda é outro desafio comum da IoT. À medida que as redes IoT escalam e mais dispositivos conectados se conectam a uma rede, surgem desafios de continuidade de negócios (BC). Se os aplicativos críticos não receberem a largura de banda necessária, a produtividade e a eficiência serão prejudicadas. Para garantir alta disponibilidade de aplicativos e serviços, considere adicionar largura de banda e aumentar o gerenciamento e o monitoramento do tráfego. Isso não apenas atenua os desafios de BC, mas também evita possíveis perdas. Do ponto de vista do planejamento do projeto, faça o planejamento da capacidade e observe a taxa de crescimento da rede para que o aumento da demanda de largura de banda no futuro possa ser atendido.

Outra consideração com a segurança da rede é qual protocolos de comunicação IoT usar. Nem todos os protocolos são criados iguais, especialmente quando se trata de recursos de segurança. De Bluetooth e Bluetooth Low Energy a celular, MQTT, Wi-Fi, Zigbee, Z-Wave, considere o ambiente IoT e suas necessidades de segurança antes de usar um protocolo. Comunicações inseguras podem levar a espionagem e ataques man-in-the-middle.

9. Falta de padronização

Um padrão é um conjunto de especificações, regras ou processos geralmente acordados por uma indústria e academia. Os padrões globais ajudam a garantir consistência e compatibilidade entre produtos e aplicativos — uma necessidade para que os ambientes de IoT funcionem sem problemas.

A indústria de IoT tem sido atormentada pela falta de padronização desde o início, tanto em termos de segurança quanto em outros. As coisas estão mudando, no entanto; governos e órgãos de padronização começaram a publicar legislação e regulamentos para garantir que a segurança seja incorporada aos dispositivos.

Aprovado em 2018, Califórnia SB-327, "Privacidade da informação: dispositivos conectados", exige que os fabricantes equipem os dispositivos com recursos de segurança "razoáveis", incluindo uma senha exclusiva pré-programada para cada dispositivo e uma configuração que exige a criação de uma nova senha no primeiro uso. Também em 2018, o Reino Unido publicado “Code of Practice for Consumer IoT Security”, que foi seguido por Especificação Técnica do Instituto Europeu de Padrões de Telecomunicações 103 645, um padrão para regular a segurança de dispositivos de consumo, em 2019. Os EUA Lei de Melhoria da Cibersegurança IoT de 2020 exigiu que o NIST e o US Office of Management and Budget desenvolvessem diretrizes e padrões sobre medidas de segurança em dispositivos IoT usados ​​pelo governo federal.

As empresas devem manter-se a par de quaisquer novos padrões — governamentais, consumidores ou outros. Isso influenciará a fabricação de dispositivos IoT e os padrões de segurança no futuro.

10. Lacuna de habilidades em IoT

A lacuna de habilidades afetou todos os setores, e a IoT não é diferente. Uma coisa que diferencia a IoT de outras indústrias é que é uma disciplina tão nova. também é um convergência de TI e OT, o que significa que indivíduos fluentes em OT provavelmente não são versados ​​em TI e vice-versa. Além disso, a IoT não é uma disciplina única. Muitas habilidades são necessárias para ser um profissional de IoT bem-sucedido, desde segurança cibernética e design UX até aprendizado de máquina e conhecimento de IA para desenvolvimento de aplicativos.

Certificações específicas para IoT e surgiram treinamentos, incluindo vários específicos para segurança de IoT, que fornecem um conhecimento básico de ambientes conectados.

Fechar a lacuna de habilidades é um desafio em qualquer setor. Investir em treinamentos e certificações para funcionários internos é uma opção. A contratação de terceiros e consultores para projetos específicos de IoT é outra opção, embora possa ser dispendiosa dependendo do número de projetos que precisam ser trabalhados. Os projetos também podem ser totalmente terceirizados.

Também é importante educar os usuários finais sobre o uso seguro da IoT. Muitos usuários podem não perceber as ameaças à segurança que os dispositivos domésticos inteligentes, como smart TVs, alto-falantes e babás eletrônicas, representam para eles mesmos e seu local de trabalho.