3 formas de se proteger das ameaças em ambiente de IoT

23/03/2015

Um estudo de 2014 encomendado pela HP indicou que 70% dos principais dispositivos vinculados ao conceito de internet das coisas possui alguma brecha de segurança, de permissão ou de criptografia. “Enquanto a IoT conectará e unificará inúmeros objetos e sistemas, o conceito também apresenta um desafio significativo devido a superfície amplificada de exposição a ataques”, ponderou Mike Armistead, vice-presidente da fabricante e um dos responsáveis pelo relatório.

Então, que desafios a empresas precisam, de fato, considerar quando avaliarem a aplicação do modelo? A seguir listamos três dos que podem ser os maiores problemas. Apresentamos, ainda, alguns passos que as organizações podem seguir para proteger dados confidenciais de aparelhos conectados à internet.

Preocupação número um: vigilância ilegal/invasão de privacidade

“A instalação de módulos conectados à internet em diversos aparelhos (por exemplo, carros, brinquedos, eletrodomésticos, etc.) pode ser classificado como vigilância ilegal”, comenta Daniel Dimov, pesquisador de segurança do instituto InfoSec. “Uma catraca usada para monitorar via web serve para identificar padrões de quando uma pessoa entre ou sai de casa”, exemplifica, para prosseguir: “Esses tipos de ameaças não são meramente especulativas”.

Vulnerabilidades foram encontradas e documentadas em diversos dispositivos conectados à web, desde carros e aparelhos médicos até brinquedos. Não podemos esquecer, também, da brecha revelada nas Smart TVs da Samsung, que reconheceu que os aparelhos podem monitorar usuários.

“Antes de comprar um dispositivo conectado, faça uma boa pesquisa”, aconselha Caroline TienSpalding, diretora de marketing da ArcSoft. “Como seus dados serão protegidos e criptografados? Onde ficarão armazenados?”, indaga.

Uma maneira de se defender contra ataques é segmentar sua rede, o que significa a criação de duas diferentes infraestruturas em sua casa. Dessa forma, é possível separar seus dispositivos em um ambiente de IoT de seu computador e dispositivos pessoais, comenta Stephen Coty, diretor de pesquisa de ameaças da provedora de segurança para nuvem Alert Logic.

“Isso ajudará a limitar sua exposição”, reforça, sinalizando que possui três diferentes redes em sua casa. “Uma para dispositivos inteligentes, uma para minha família conectar dispositivos pessoais e outra que uso para meus equipamentos de trabalho”, detalha.

Assegure, também, de “mudar a senha dos aparelhos” assim que instalar um ambiente de IoT, acrescenta Kent McMullen, diretor sênior de Internet das Coisas da Symantec. “Uma vez que a maioria dos dispositivos conectados têm endereços IP, os hackers podem encontrar uma maneira de acessá-los. Empresas e consumidores podem se proteger mudando nomes de usuário e senhas padrão imediatamente após a instalação e atualização regular essas credenciais”, completa.

A criação de senhas para aparelhos inteligentes precisa ser única e complexa (por exemplo, incluir a combinação de letras em caixa alta e baixa, números e símbolos), mesmo que esses aparelhos só peçam o uso de um código simples para autenticação.

Preocupação número dois: segurança dos dados e da rede corporativa

“As empresas devem ter cuidado com a Internet das Coisas em termos de dispositivos conectados e da segurança das suas redes”, comenta Reggie Best, diretora de produtos da Lumeta. “Qualquer dispositivo com conectividade de rede cria algum nível de risco, uma conexão backdoor que pode ser explorada para fuga de dados ou ataque DDoS”.

Como resultado, os “gestores de TI precisam estar constantemente cientes de quando novos dispositivos se conectam à rede, identificando do que se tratam e sabendo em que parte da infraestrutura eles estão localizados. “Um smartphone se juntar a uma zona sem fio da rede de convidados é um comportamento esperado. Se uma geladeira ‘inteligente’ se conecta à zona de cartões de pagamento, no entanto, a história é diferente”, ilustra.

“Dispositivos de IoT trazem muitos pontos cegos para dentro das organizações”, afirma Rehan Jalil, CEO da provedora de segurança em nuvem Elastica. “Além de perguntas sobre quê dados são armazenados nesses dispositivos, há questões mais amplas em torno de quais informações são transmitidas por esses aparelhos e para onde elas estão sendo enviadas”, comenta.

A preocupação quanto a governança das informações é um ponto essencial às empresas e internet das coisas não foge a essa regra. “Fazer investimentos multimilionários em IPS e firewalls é de pouco benefício quando os funcionários podem facilmente copiar e vazar os dados”, completa o executivo.

E, infelizmente, “políticas BYOD de mais empresas não cobrem IoT”, observa Rob Clyde, vice-presidente da associação de tecnologia da informação Isaca. Um estudo recente da entidade revela que apenas 11% das empresas tem uma política orientada a consumerização que também considera a entrada de wearables nas organizações. Em contrapartida, 81% reconhecem que esse comportamento representa um risco igual ou maior do que a entrada de smartphones e tablets.

Para limitar potenciais violações e proteger dados sensíveis, “a política da empresa deve ditar se os dispositivos portáteis são permitidos no local de trabalho, quais tipos são permitidos e que segurança se faz necessária”, aconselha Clyde, comentando que isso ajudará a criar estruturas mais adequadas para controle da questão.

Preocupação número três: ainda não há jeito totalmente eficaz de gerir todos dispositivos de IoT

“Ao olhar para o estado atual da Internet das Coisas, a indústria necessita de um fator de sucesso gritante: um conjunto de normas para interfaces de programação de aplicativos (APIs) que são creditadas como sendo os blocos de construção da IoT e são essenciais para a gestão todos esses dispositivos diferentes” avalia Lee Odess, gerente geral da Brivo Labs. “Para que haja comunicação eficiente, segura e bem gerida, as APIs precisam, essencialmente, falar a mesma linha. A criação de um padrão vai fazer toda a diferença”, julga.

Frank Yue, gerente de marketing da F5 Networks, acredita que a escala do conceito não virá pelo volume de tráfego, mas pelo tipo, frequência e cadência que esses dados serão transmitidos. “Conexões entre máquinas (M2M) não se comportam da mesma forma que dispositivos de consumo”, citando a característica de baixo consumo e intervalos diferentes dos sensores.

“Enquanto o tamanho da comunicação será pequeno, o fato de que enviam atualizações regulares constantemente ao longo do dia causa um tsunami de conexões e dados em intervalos periódicos”, ilustra. “Como, então, o provedor de serviços vai construir a infraestrutura para esses padrões?”, indaga.

A complexidade de criar e manter um sistema de IoT, que inclui sensores, controladores e protocolos de comunicação, e dispositivos provisionando processos entre si traz um desafio intenso e único”, afirma Annie Su, diretora de estratégia da empresa de design Frog. “E definir uma solução do tipo ‘browser’ para IoT não será uma tarefa fácil”, conclui.

Fonte: Computerworld.