Descompactando a IoT, uma série:O desafio da segurança e o que você pode fazer a respeito

Os engenheiros de rede enfrentam vários desafios ao implantar iniciativas de Internet das Coisas (IoT). Volte para o blog da Cisco IoT nas próximas semanas, enquanto mergulhamos nos três principais desafios da IoT e nas melhores práticas para vencê-los.

Em primeiro lugar, o maior desafio em IoT de longe: segurança .

As ameaças à segurança da IoT diferem significativamente das ameaças à segurança em ambientes de TI tradicionais:em TI tradicional, as preocupações com segurança se concentram principalmente na proteção de dados. Os invasores podem roubar dados, comprometer dados e mantê-los como resgate. Recentemente, eles estão igualmente interessados ​​em roubar o poder de computação para atividades maliciosas de criptominação.

Embora essas preocupações de segurança existam na IoT, elas também vão além, estendendo-se além dos dados e para o mundo físico. No mínimo, um incidente de segurança de IoT pode incomodar as pessoas ou interromper as operações, causando milhões de dólares em danos em poucas horas. Na pior das hipóteses, esses ataques podem danificar os sistemas que controlam um processo físico e até mesmo colocar vidas em risco. Considere os seguintes exemplos:

• O infame ataque Stuxnet em 2010 aproveitou várias falhas de dia zero no software Microsoft Windows. O objetivo era detectar e corromper PLCs executando o software Step7 de Siemen, de modo a reprogramá-los com malware para fazer com que as centrífugas nucleares de rotação rápida sob seu controle literalmente se separassem. O resultado final deste ataque causou a destruição de um quinto das centrífugas nucleares do Irã.
• Vimos o primeiro ataque cibernético bem-sucedido a uma rede elétrica em 2015, quando os ciberataques ganharam o controle de várias usinas de energia ucranianas, resultando na perda de eletricidade para mais de 225.000 residentes por períodos de até seis horas. Este ataque complexo e multifásico não só ganhou o controle dos sistemas SCADA, permitindo que atores estrangeiros desligassem remotamente as subestações, mas também incluiu um ataque DoS ao call center para que os consumidores não pudessem ligar para relatar problemas ou receber atualizações de o status do blecaute.
• Em 2017, um invasor implantou malware ICS, apelidado de Triton, projetado para manipular sistemas de segurança industrial de modo a causar interrupção operacional de infraestrutura crítica. A segmentação específica do invasor dos Sistemas Instrumentados de Segurança (SIS) sugere um interesse em causar um ataque de alto impacto com consequências físicas (um objetivo de ataque normalmente não visto em grupos de crimes cibernéticos). A análise do incidente levou os investigadores a acreditar que era obra de um estado-nação que se preparava para um ataque mais amplo.
• Em 2019, um ataque de ransomware à Norsk Hydro, um dos maiores fabricantes mundiais de alumínio, forçou a empresa a mudar para operações manuais em uma tentativa de conter a violação. O ataque custou à empresa US $ 52 milhões e resultou em um aumento mundial do preço do alumínio.

Esses incidentes mostram o quão crítica - e desafiadora - a segurança pode ser em cenários de IoT.

Prevenção e contenção de ameaças à segurança de IoT

Nos exemplos acima, as violações de segurança poderiam ter sido evitadas totalmente - ou, pelo menos, significativamente contidas - usando uma prática recomendada de segurança de rede:segmentação. A segmentação é um dos princípios de design de rede mais eficazes para implantar para segurança. É um axioma de rede universalmente aceito - mas se sim, por que as organizações não segmentam totalmente suas redes?

A resposta:é complicado.

Para reduzir custos, as organizações convergiram suas redes de dados, voz e vídeo em uma infraestrutura física compartilhada. Mais recentemente, os dispositivos IoT também foram adicionados à mesma rede IP. No entanto, é necessário manter uma separação lógica entre esses serviços para fins de segurança e gerenciamento. Para fazer isso, os engenheiros de rede normalmente segmentam a rede usando VLANs. Esse processo requer várias etapas, pontos de contato, políticas e interfaces de usuário. Em um nível superior, os engenheiros de rede devem criar grupos no Active Directory, definir políticas, executar VLANs / sub-redes e implementar a política.

A natureza complexa da segmentação não apenas torna a tarefa tediosa, mas também aumenta o risco de erro humano. Por exemplo, as listas de controle de acesso (ACLs) em dispositivos de rede costumam ter dezenas de milhares de linhas. Eles são difíceis de gerenciar e compreender devido a motivos mal documentados para cada linha da entrada. Se houver uma discrepância para ACLs de um dispositivo para outro, há uma vulnerabilidade potencial e um vetor de ataque que pode ser explorado.

Trazendo Cisco Security para IoT

Dado o papel fundamental que a segmentação de rede desempenha na proteção de ativos de rede, é fundamental que os administradores de rede possam segmentar a rede de forma eficiente e eficaz. Na Cisco, simplificamos a segmentação aplicando rede baseada em intenção à rede corporativa. Esta expressão específica de rede baseada em intenção é chamada de Acesso Definido por Software (SDA).

O Acesso definido por software elimina a necessidade de os administradores de rede falarem o idioma das listas de controle de acesso ou políticas de grupo para identificar quais dispositivos de rede podem se comunicar. Com alguns cliques simples e arrastar e soltar do mouse, os administradores de rede podem estabelecer redes virtuais separadas para voz, dados, acesso sem fio de convidado, BYOD, IoT e muito mais. Este ano, estendemos essas capacidades até a borda da IoT - de modo que estacionamentos, centros de distribuição, instalações de manufatura, aeroportos, portos, etc. possam ser gerenciados a partir do mesmo painel de vidro que a empresa acarpetada, ou seja, Cisco DNA Center.

Usando o Cisco DNA Center, um painel de gerenciamento centralizado, os administradores de rede podem provisionar redes em toda a empresa e garantir que os dispositivos atribuídos a uma rede virtual não possam se comunicar com os dispositivos de outra rede virtual. Na verdade, os dispositivos em uma rede virtual nem conseguem ver as outras redes virtuais. Para eles, a rede virtual à qual estão conectados é a única rede que existe ou que já existiu. Isso significa que os dispositivos IoT atribuídos a uma rede virtual IoT só podem se comunicar com outros dispositivos atribuídos à mesma rede virtual e nada (e ninguém) mais. Essa separação lógica é chamada de macro-segmentação.

No entanto, o SDA oferece uma opção de política ainda mais granular para administradores de rede.

Na segmentação macro, qualquer dispositivo em uma rede virtual pode, por padrão, falar com qualquer outro dispositivo na mesma rede virtual. Portanto, se câmeras de vídeo, sensores de temperatura e leitores de crachá forem atribuídos a uma única “Rede Virtual IoT”, esses dispositivos - por padrão - seriam capazes de se comunicar uns com os outros. Essa comunicação pode representar um problema de segurança - se um único dispositivo for comprometido, os invasores usarão esse dispositivo para fazer a varredura na rede em busca de outros dispositivos que possam fornecer uma base adicional para a organização (veja como isso é feito). É aí que entra a microssegmentação.

No Cisco DNA Center, os administradores de rede podem criar facilmente políticas de microssegmentação que definem quais dispositivos podem se comunicar com outros dispositivos na mesma rede virtual . (Assista à demonstração, Cisco Extended Enterprise com DNA-C.) Os administradores também podem configurar a política para enviar um alerta se esses dispositivos tentarem se comunicar com dispositivos não autorizados, o que pode ser um indicativo de um possível ataque à segurança. Em nosso exemplo acima, as câmeras de vídeo podem ser configuradas para falar apenas com outras câmeras de vídeo e, se elas tentarem falar com os sensores de temperatura ou leitores de crachá, um alerta será emitido.

A capacidade de segmentar a rede em nível macro e micro com SDA é uma ótima solução para prevenir e conter uma violação de segurança. Ele pode ser facilmente dimensionado para atender às necessidades da rede corporativa e agora os clientes da Cisco podem aplicar esses mesmos conceitos às suas redes IoT. Além disso, eles podem fazer isso com eficiência e eficácia usando a mesma interface de gerenciamento que usam para a rede corporativa. Quer saber mais? Confira nosso webinar sob demanda, Cisco IoT:Drive Transformation nos Setores de Segurança Pública, Petróleo e Gás e Fabricação. E não se esqueça de verificar novamente o blog Cisco IoT para os outros principais desafios enfrentados pela IoT corporativa.