Sem dúvidas, estamos em um momento importante no que diz respeito à segurança e à Internet das coisas (IoT). Recentemente, falhas de segurança foram expostas em produtos para o consumidor, incluindo brinquedos, babás eletrônicas, carros e marca-passos. No fim de outubro de 2016, a Dyn, fornecedora de infraestrutura de Internet, sofreu um ataque DDoS mal-intencionado que foi propagado ao disparar um malware nos dispositivos de IoT, como webcams e impressoras, que estavam conectados à rede da Dyn.
Não, a preocupação com a segurança de IoT não é recente. Na verdade, qualquer dispositivo conectado a uma rede representa uma oportunidade para atividades mal-intencionadas. Porém, o que é realmente recente é a taxa exponencial de dispositivos de IoT padrão de consumidor que agora estão conectados às redes corporativas, e isso (em grande parte) sem o conhecimento da TI. Essa tendência é, ao mesmo tempo, impressionante e alarmante: se o usuário final agora pode levar e implantar dispositivos de acordo com sua conveniência, o departamento de TI acaba ficando com um ponto cego de segurança sem precedentes. Como é possível se defender contra algo que você não sabe se é uma vulnerabilidade?
BYOD 2.0
Neste momento, a maioria de vocês deve estar vivenciando uma volta aos primórdios do BYOD, quando novos dispositivos estavam pipocando aqui e ali na rede, e mais rapidamente do que a TI era capaz de controlar. Para todos os efeitos, a IoT pode e deve ser considerada um BYOD 2.0. A frequência com que os dispositivos de IoT são conectados às redes corporativas seguras vem acelerando drasticamente, estimulada em grande parte pelo crescente interesse das empresas em aproveitar os dados e as informações coletados desses dispositivos, em conjunto com os esforços dos fornecedores para simplificar substancialmente o processo de implantação.
Seja qual for o motivo, a proliferação de dispositivos não protegidos, altamente desconhecidos e não monitorados na rede representa muitos problemas para os profissionais de TI responsáveis por gerenciar as redes e garantir a segurança da organização.
Desafios
Em primeiro lugar, há rupturas na base da tecnologia sobre a qual esses pequenos dispositivos de IoT são desenvolvidos. Os dispositivos mesmo não são caros, e a engenharia com que foram construídos está mais focada em uma experiência simples do consumidor, ao contrário de um caso de uso empresarial que demanda segurança legítima. Dessa forma, esses dispositivos reinserem novas vulnerabilidades que podem ser utilizadas contra a sua organização, seja um vetor de ataque novo ou já existente que se tornou maior.
Da mesma forma, muitos dispositivos padrão de consumidor não são projetados para atualização automática e, portanto, há uma falta de processo de patch de segurança, o que cria mais uma lacuna na postura de segurança de sua organização. Em alguns casos, redes corporativas adequadamente configuradas são capazes de identificar dispositivos não aprovados que são conectados à rede (como um funcionário que conecta um roteador Wi-Fi doméstico), fechar a porta e eliminar a possível vulnerabilidade de segurança. No entanto, esse tipo de controle de acesso à rede (NAC, network access control) normalmente exige uma equipe de segurança especializada para o gerenciamento e costuma ser visto somente em ambientes de rede de grande porte. No caso do administrador de rede médio, isso significa que é de suma importância ter um conhecimento básico e visibilidade do que acontece na rede (e do que está sendo falado) o tempo todo.
Vale a pena também observar que o simples fato de sua organização ter um dispositivo e considerá-lo seguro não significa que o repositório de dados externo seja seguro. Basicamente, a IoT se resume a um dispositivo dentro de sua rede privada que transmite algum tipo de informação para um serviço externo baseado na nuvem. Quando você não reconhece um dispositivo conectado à sua rede e não sabe ao certo para onde ele está transmitindo dados, isso é um problema.
Criando uma estratégia e saindo na frente
A empresa de pesquisa Gartner estima que haverá 21 bilhões de pontos de extremidade em uso até 2020. Esse é um número que gera muita ansiedade, e parece que o setor está se movendo muito rapidamente para as organizações reduzirem o ritmo e implementarem uma estratégia de IoT eficiente.
Ainda assim, é essencial que sua organização faça isso, e quanto antes melhor. Veja algumas práticas recomendadas que você pode seguir para criar uma resposta inicial às conexões de IoT desenfreadas em sua rede corporativa:
- Crie uma política de gerenciamento e verificação: A supervisão da segurança começa com a política. Elaborar uma política que estabeleça as diretrizes para integração e conexão de dispositivos de IoT com sua rede ajuda a simplificar o gerenciamento e supervisionar o processo não só no presente, mas também no futuro. Avalie perguntas como: “Minha organização deseja permitir esses tipos de dispositivos na rede corporativa?” Em caso afirmativo, “Qual é o processo de verificação e com quais processos de gerenciamento ele precisa ser compatível?” “Existem vulnerabilidades conhecidas associadas ao dispositivo e qual a melhor forma de remediá-las ou reduzi-las?” As respostas para essas perguntas formarão a base de todos os controles e processos de segurança futuros.
Posteriormente, se você decidir que os dispositivos podem ser adicionados, o ideal é que essa política também inclua diretrizes que envolvam vários segmentos de rede que devem ou não ser usados para conectar dispositivos que possam culminar em violação de segurança. Por exemplo, os dispositivos que exigem conexão com segmentos que tenham dados altamente protegidos ou que atendam a processos comerciais extremamente importantes devem estar de acordo com a política de governança de cada segmento, ou não poderão se conectar. Essa política de segurança deve incluir próximas etapas que descrevem detalhes além do processo de desconexão. Ela deve ser registrada e estar disponível para acesso a todos os funcionários de TI. A segurança é e sempre será uma questão de implementar e verificar políticas.
- Encontre sua linha de base de visibilidade: Usando um conjunto de ferramentas abrangentes de gerenciamento e monitoramento de rede, você deve trabalhar com todo o departamento de TI para listar tudo o que está conectado à sua rede sem fio atualmente e determinar o que não é e o que pode ser uma ameaça. Os profissionais de TI também devem tentar aproveitar as ferramentas que oferecem uma visão das pessoas e dos dispositivos que estão conectados à sua rede, além do horário e local da conexão. Essas ferramentas também oferecem aos administradores uma visão geral das portas que estão e das que não estão em uso, permitindo que você mantenha as portas não utilizadas fechadas a ameaças de segurança potenciais e evite que dispositivos sejam adicionados secretamente.
Como parte deste exercício, você deve tentar criar um conjunto suplementar de listas de permissões (listas de máquinas aprovadas em sua rede que ajudam sua equipe a identificar de modo mais fácil e rápido quando alguma coisa fora do comum é adicionada), além de expor quaisquer dispositivos existentes desconhecidos que sua equipe talvez tenha que analisar e desconectar imediatamente.
- Estabeleça uma lista de “Quem é responsável?”: Parece óbvio, mas esse é um elemento essencial de uma estratégia de gerenciamento de IoT. Ter uma lista prática de quem especificamente é responsável por qualquer dispositivo no caso de uma violação de dados ajuda a acelerar o tempo de resolução e reduzir o risco de uma perda substancial. Cada proprietário também deve ser responsável por conhecer as vulnerabilidades relatadas de seu dispositivo e garantir a aplicação regular dos próximos patches de segurança.
- Mantenha-se consciente: A melhor forma de ficar à frente da explosão de IoT é manter-se atualizado sobre tudo. No caso dos administradores de rede, é recomendável monitorar as vulnerabilidades e implementar patches pelo menos uma vez por semana. No caso dos administradores de segurança, isso deve ser feito várias vezes por dia. Sua organização também deve considerar a integração de auditorias regulares para garantir que todos os controles e processos de segurança impostos pela política estejam operando conforme especificado e orientado. Ao mesmo tempo, seu departamento de TI deve procurar hospedar algum tipo de seminário de segurança para usuários finais, em que você pode analisar o que pode ser conectado à rede corporativa e, o mais importante, o que não pode, para garantir a segurança dos dados pessoais e empresariais.
Considerações finais
A IoT chegou para ficar. Mais cedo ou mais tarde, você terá de gerenciar cada vez mais dispositivos conectados à rede, o que resultará em problemas de segurança e em um desafio monumental de armazenamento, gerenciamento e análise de montanhas de dados. Quanto mais você trabalhar sem uma estratégia de gerenciamento devidamente definida, maiores serão os riscos aos seus negócios. Lembre-se: como a maioria dos fornecedores de IoT está mais preocupada com a velocidade de colocação no mercado, a carga do gerenciamento recai sobre você como profissional de TI, que deve garantir a proteção dos dados tanto da organização quanto dos usuários finais. Seguindo as práticas recomendadas abordadas acima, você pode começar a garantir que sua organização aproveite o máximo da IoT sem se preocupar (demais) com riscos em potencial.
Kevin Sparenberg é gerente de produtos da SolarWinds