O que a nova publicação IoT do NIST (NISTIR 8228) significa para seus dispositivos

Recentemente, o Instituto Nacional de Padrões e Tecnologia (NIST) lançou uma publicação preliminar, Relatório Interno do NIST (NISTIR) 8228, Considerações para Gerenciar Internet das Coisas (IoT) Cibersegurança e Riscos de Privacidade. O objetivo é servir como base para uma série de publicações sobre como gerenciar os riscos de segurança cibernética e privacidade associados a dispositivos IoT.

NISTIR 8228 é direcionado a agências federais e organizações privadas e identifica três vulnerabilidades de segurança graves de dispositivos IoT. O NISTIR 8228 também define três objetivos para a mitigação de riscos.

NISTIR 8228 ― Detalhando vulnerabilidades de segurança de dispositivos IoT

Os dispositivos IoT interagem com o mundo físico de maneiras que os dispositivos tradicionais de TI não fazem. Ao contrário de computadores, tablets ou smartphones, os dispositivos IoT não funcionam nos sistemas operacionais Windows ou Mac OS. Mesmo assim, muitos desses dispositivos estão conectados à Internet, permitindo pontos de entrada para redes de computador seguras de outra forma.

Os dispositivos IoT geralmente operam em sistemas operacionais proprietários personalizados que são difíceis ou impossíveis de serem monitorados e corrigidos pelo pessoal de TI, portanto, a única maneira de reduzir o risco é colocá-los na rede da empresa atrás de firewalls VLAN, para evitar que os dispositivos acessem mais partes sensíveis da rede. Se os hackers obtiverem acesso a um dispositivo IoT na rede, normalmente porque localizaram uma vulnerabilidade no sistema operacional projetado e instalado pelo fabricante do dispositivo, eles podem lançar um ataque em qualquer computador conectado a essa rede. O tipo mais comum de ataque é um ataque de força bruta de senha SSH simples, que geralmente usa apenas credenciais padrão.

Além disso, os dispositivos IoT podem ser recrutados como botnets para uso em ataques distribuídos de negação de serviço (DDoS). Em outubro de 2016, o serviço de domínio da Internet Dyn sofreu o maior ataque DDoS da história. Os invasores recrutaram milhões de dispositivos IoT inseguros para um exército de botnet para direcionar o tráfego maciço aos sites Dyn, fazendo com que o tráfego diminuísse a ponto de engatinhar e, por fim, travasse os sites. Os hackers obtiveram acesso aos dispositivos IoT explorando vulnerabilidades no software do sistema operacional proprietário dos dispositivos.

Os riscos não param por aí. Alguns dispositivos IoT têm a capacidade de fazer alterações em sistemas físicos, como HVAC, elevadores, sistemas de sprinklers e outros que, se controlados, podem representar danos físicos ou riscos à segurança.

Procurando uma maneira segura de implementar um sistema de rastreamento de IoT para o seu negócio? Inscreva-se para uma demonstração gratuita do LinkLabs.

Recomendações da estrutura NIST IoT

Para lidar com os riscos de segurança cibernética e privacidade, a estrutura NIST IoT recomenda ações que as organizações podem realizar durante todo o ciclo de vida do dispositivo IoT. Esses incluem:

• Compreender os desafios do risco.
• Ajuste de políticas e processos organizacionais para enfrentar esses desafios.
• Implementar práticas atualizadas de mitigação de risco para dispositivos IoT.

De acordo com o NIST, tem havido um grande interesse em estabelecer linhas de base de segurança e privacidade para auxiliar na mitigação de riscos. Muito do foco tem sido nos fabricantes que incorporam recursos de segurança e privacidade em seus dispositivos. Embora essa possa ser a solução que está avançando, atualmente existem milhões de dispositivos IoT em uso sem esses recursos. Levará tempo para os fabricantes melhorarem a segurança pré-comercialização e a capacidade de privacidade e integrá-la em seus dispositivos; também haverá desafios adicionais ao adicionar esses recursos sem tornar os dispositivos IoT muito caros.

Existem outras considerações descritas na estrutura NIST IoT sobre o tipo e o nível de segurança necessários para os diferentes dispositivos IoT. Para alguns, apenas o próprio dispositivo pode precisar de proteção. Outros dispositivos podem precisar de segurança de dados, além da segurança do dispositivo, e alguns podem precisar de proteção de privacidade, bem como segurança de dispositivos e dados. Até o momento, esses requisitos discretos não foram diferenciados, deixando as organizações decidirem quais se aplicam a qualquer dispositivo IoT específico e uso.

A estrutura NIST IoT fornece um ponto de partida útil para abordar os riscos associados a dispositivos IoT inseguros, mas é apenas a primeira etapa. Ainda estão por vir os desafios de projetar e construir dispositivos seguros com boa relação custo-benefício e lidar com os riscos representados pelos milhões de dispositivos IoT já em uso.

Dois anos se passaram desde que o ataque Dyn demonstrou as vulnerabilidades de muitos dispositivos IoT atualmente em uso, e é provável que muitos mais se passem antes que os fabricantes desses dispositivos encontrem soluções pré-mercado para riscos de segurança. Como as empresas podem mitigar os riscos apresentados pelos dispositivos IoT que usam para rastreamento e monitoramento automatizado de ativos e materiais nesse meio tempo?

Uma abordagem simples que pode aumentar muito a segurança dos dispositivos IoT prontos para uso é simplesmente alterar as senhas padrão programadas nos dispositivos pelos fabricantes. Esta é uma solução simples para consumidores, que podem ter apenas alguns dispositivos IoT. Mas para empresas que têm centenas de dispositivos - ou mais - em uso para rastreamento e monitoramento de ativos, é insatisfatório, devido ao tempo e trabalho necessários para reprogramar centenas de tags.

Se sua empresa está procurando uma maneira segura de implementar a tecnologia IoT, fale com a Link Labs. Nosso sistema AirFinder isola dispositivos IoT em redes dedicadas separadas das redes de computadores da empresa e não usa protocolos IP padrão, tornando-os difíceis de comprometer. Para redes de longa distância, nosso sistema Symphony Link incorpora infraestrutura de chave pública (PKI), considerada segura pelos padrões NSA, firmware over-the-air para corrigir vulnerabilidades de forma rápida e fácil sem acesso físico a dispositivos, Advanced Encryption Standard em tempo real ( AES) troca de chaves e Transport Level Security (TLS) de nível de banco para tráfego de rede. Para sistemas de rastreamento seguros fáceis de implantar e evitar os riscos comuns de segurança da IoT descritos no NISTIR 8228, entre em contato com a Link Labs hoje.