*Por André Bitencourt
IoT (Internet das coisas) é um conceito que se refere à interconexão digital de objetos cotidianos com a internet, conexão dos objetos mais do que das pessoas. Dessa forma, a internet das coisas nada mais é, que uma rede de objetos físicos capaz de reunir e de transmitir dados.
Trazer segurança em ambientes IoT vem tornando-se um grande desafio com o mundo cada vez mais tecnologicamente conectado. Muitos riscos surgem a todo momento, o que traz grandes preocupações para os desenvolvedores de IoT.
Para ter um entendimento melhor de como está sendo tratado esse tema, abaixo foram listados 10 dos maiores desafios para manter a IoT com segurança:
1- Proteger dispositivos restritos
Existem grandes variedades de dispositivos que fazem o uso de IoT, alguns tem limitações de armazenamento e processamento. Com isso, protocolos de criptografia mais fortes são inviáveis, por não serem capazes de realizarem esses processos de modo rápido. Então, utilizam criptografias mais leves e de várias camadas de defesas como: separar os dispositivos em redes distintas e fazer o uso de firewalls. Assim compensam as limitações presentes nestes tipos de dispositivos.
2- Autorizar e autenticar dispositivos
Autenticação e autorização são de extrema importância já que tantos dispositivos podem ter acesso a um sistema de IoT. Alguns como Smartwacth, máquinas de cartões, tabletes e outros, necessitam de identificadores antes de acessar os serviços e aplicativos, porém muitos desses apresentam problemas referentes a autenticação. É o caso de senhas fracas ou senhas com padrões inalterados.
Então, para auxiliar a mitigar essas deficiências de autenticação, uma plataforma de IoT que forneça segurança por padrão deve ser aderida. Pois ela fornece a autenticação de 2 fatores (2FA), impondo senhas e critérios fortes. Além disso, as plataformas de IoT fornecerem serviços de autorização, controlando quais serviços, aplicativos ou recursos podem ser acessados.
3- Gerenciar atualizações de dispositivos
Aplicar atualizações incluindo patches de segurança nos softwares e firmwares em dispositivos de IoT e gateways apresentam grandes desafios. É importante verificar quais atualizações estão disponíveis e aplicá-las de forma síncrona em ambientes heterogêneos (ambientes que contam com diferentes tipos de sistemas e dispositivos). Com esse cenário, é importante também criar uma estratégia de reversão em casos de falhas nas atualizações.
Muitos dispositivos já não são mais compatíveis com todas as atualizações, por serem antigos ou por não receberem mais suporte do fabricante. Além disso, podem existir dispositivos que não conseguem ser atualizados de forma over-the-air (pelo ar) ou atualizações sem tempo de inatividade. Nesses casos, os dispositivos devem ser acessados fisicamente ou tirados de produção para as atualizações.
As atualizações são de opção e responsabilidade do proprietário, porém é de suma importância manter o gerenciamento dos dispositivos. Muitas vezes, os sistemas gerenciadores mandam as atualizações automaticamente (podendo optar apenas por atualizações legítimas), além de, gerenciar em casos de reversões por falhas de atualizações.
4- Proteger a comunicação
Além de proteger os dispositivos, um dos grandes desafios é proteger toda a rede de comunicação entre os serviços de nuvem e aplicativos.
Um gerenciamento deve ser implementado, já que nem todos os dispositivos criptografam mensagens antes de transmitirem pela rede, com isso, uma criptografia de transporte se faz necessária. Outras medidas como restringir acesso físico e a desativação de recursos desnecessários de sistemas operacionais, torna-se uma boa prática para manter a segurança. O uso de redes separadas também ajuda na confidencialidade das informações transmitidas.
5- Garantir a privacidade e a integridade dos dados
Para garantir que os dados mantenham sua privacidade e integridade, um ponto importante é serem processados e armazenados de forma segura. A privacidade dos dados inclui qualquer tipo de edição ou anonimização dos dados sensíveis antes de serem armazenados ou compartilhados. Os dados que não são mais necessários, devem ser descartados de forma segura e caso haja a necessidade em manter estes dados, a conformidade jurídica e regulamentares devem ser pautadas.
Para garantir a integridade dos dados, o uso do Blockchain (sistema de registro que contém todas as transações processadas na aplicação) utilizado como um “livro-razão” distribuído e descentralizado para dados de IoT, oferece uma abordagem de como os dados devem ser tratados. Além disso, os responsáveis devem fazer uso de somas de verificação para assegurar que os dados não foram modificados.
6- Proteger aplicativos da web, móveis e em nuvem
Os aplicativos da web, móveis e de nuvem são usados para acessar, gerenciar e processar dispositivos e dados de IoT. Todas as práticas para a proteção dos aplicativos móveis e de web devem ser seguidas. Além de fazer o uso de proteção em várias camadas para manter a segurança.
Na etapa de desenvolvimento dos aplicativos, é de extrema importância usar uma engenharia segura para evitar problemas referente a segurança. Se fazem importantes as implementações de sistemas como MFA (Multi fator de autenticação) nos acessos aos aplicativos e sistema de recuperação de senhas de forma segura. Assim, o resultado traz mais segurança para os usuários e os aplicativos.
7- Garantir uma alta disponibilidade
A cada dia que passa, dependemos mais de IoT, com isso um dos maiores desafios no desenvolvimento é como manter a alta disponibilidade dos dados de IoT.
Existem diversas formas da disponibilidade ser de alguma forma interrompida, exemplos: falhas de conectividade ou ataques de negação de serviço. Uma interrupção dessa disponibilidade traria das mais diversas consequências aos usuários, desde a perda de receita, como a perda da própria vida. Por este motivo, existe um trabalho rigoroso na proteção dessa disponibilidade, já que serviços como controle de tráfego e hospitalar muitas vezes são dependentes dos dados de IoT. Pontos como defesa em ataques cibernéticos e adulterações físicas, devem ser prioridade no tratamento para manter a alta disponibilidade dos dispositivos. Os sistemas devem ser concebidos a tolerância de falhas, para que possam se adaptar e corrigir problemas, além de garantir uma redundância em combate a pontos únicos de falhas.
8- Prevenir incidentes por meio da detecção de vulnerabilidades
Apesar de existirem muitos trabalhos para prevenir incidentes e detectar vulnerabilidades, os serviços nunca estarão totalmente protegidos. Como em sistemas de IoT engloba muitos serviços, dispositivos, aplicativos e protocolos de comunicação, isso leva a existir uma complexidade na detecção de vulnerabilidades. Dessa forma, é indicado um monitoramento de comunicação de redes e logs de atividades, além de ter uma equipe de pentest para o realizar os ataques nos sistemas para identificarem possíveis vulnerabilidades e assim, aplicar as correções adequadas e implementar um sistema de detecção e notificação de incidentes.
9- Gerenciar vulnerabilidades
É um grande desafio gerenciar como uma vulnerabilidade pode ser repercutida e como uma violação pode ser impactada devido as complexidades dos sistemas de IoT. Antes de qualquer coisa, é necessário que sejam identificados quais usuários e dispositivos foram afetados, quais serviços foram acessados ou comprometidos e após esta análise, realizar ações mitigatórias imediatas. Os dispositivos podem ser desativados ou isolados temporariamente pelo “gerenciamento de dispositivos” até que o problema seja sanado. Esse recurso é indicado em caso de dispositivos essenciais de gateway, assim limitando potenciais danos ou interrupções de serviços. Podendo também ser aplicado automaticamente um mecanismo de regras com regras baseadas em políticas de gerenciamento de vulnerabilidades.
10- Prever e evitar problemas de segurança
Em IoT aplicar uma inteligência de segurança eficaz, torna-se um grande desafio, pois essa inteligência não só auxilia na detecção e mitigação de problemas, mas também é utilizada para prever e proteger de forma proativa as ameaças de segurança. O que demonstra ser uma ferramenta bastante eficaz no combate a violações de sistemas.
Outras abordagens também são usadas, como ferramentas de:
- Monitoramento – que através delas é possível identificar as ações que estão ocorrendo dentro dos sistemas de IoT em tempo real e;
- Análise – que pode auxiliar os gestores nas tomadas de decisões estratégicas. O objetivo destas abordagens é manter o menor contato humano possível e fazer o uso de algoritmos para adequá-lo. Uma vez que manter serviços manuais de forma contínua e controlada, torna-se uma tarefa muito difícil.
Conclui-se que manter a segurança de sistemas de IoT pode gerar alguns desafios, mas aplicar abordagens que auxiliam a manter o ambiente seguro é de extrema importância no combate a vulnerabilidades, riscos, violações e incidentes. Além disso, não poderá ter espaço para negligências referente a segurança, deverá ser analisada como fator prioritário, visando criar uma estrutura e processos para garantir que os riscos sejam corrigidos e mitigados previamente a sua materialização. Por este motivo torna-se essencial ter um gerenciamento com uma estratégia alinhada, fazer o uso das boas práticas e manter os sistemas em conformidade, pois auxiliará na efetividade dos serviços seguros e no controle em manter a alta disponibilidade.
Lembre-se, os desafios não param, muitas novidades virão e com elas muitos outros esforços.
— André Bitenourt é Trainee GRC na [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio.
Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
A SAFEWAY pode ajudar sua organização através do SAFEWAY SECURITY TOWER uma cadeia de serviços completa para que suas operações continuem a serem monitoradas e protegidas por um time altamente especializado. Nosso SOC funciona em regime 24×7, contando com uma equipe técnica de alta performance e ferramentas para auxiliar a sua organização na identificação e resposta a incidentes de forma preditiva e reativa, mantendo o seu negócio seguro e monitorado em todos os momentos.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
