Devemos proteger a Internet das Coisas antes que alguém se machuque

Robert Haim da ACG Research
Dick Cheney, o ex-vice-presidente dos Estados Unidos, desabilitou o acesso sem fio a seu marca-passo cardíaco porque temia que terroristas pudessem induzir um ataque cardíaco. No filme de 2007 “Live Free or Die Hard”, os criminosos bloquearam o tráfego e causaram acidentes ao transformar todos os sinais de trânsito de Washington, D.C. em verde.

Esses ataques reais e fictícios ao que agora chamamos de Internet das Coisas (IoT) tinham o potencial de causar a perda de vidas. Considerando todos os sensores e controles de IoT usados ​​em todo o mundo hoje, é apenas uma questão de tempo antes que a segurança fraca permita que atores mal-intencionados assumam o controle, possibilitem comportamentos perigosos ou enganem os operadores humanos para que executem a ação errada.

É só uma questão de tempo. Devemos proteger a Internet das Coisas antes que alguém se machuque. Mas como?

Existem muitos desafios nessas áreas. Por exemplo, gerenciamento de identidade. Você tem certeza absoluta sobre quais usuários, dispositivos ou aplicativos estão tentando acessar seus dados? Como você pode provar a identidade dentro de uma dúvida razoável, mas continuar aumentando a confiança de que confiou nos usuários certos, e não, digamos, em um terrorista? Isso significa monitoramento comportamental, em tempo real.

Aceite o desafio de proteger informações críticas, que podem ser regulamentadas por leis ou setores - ou simplesmente extremamente valiosas para empresas e ladrões. Esses dados podem afetar vidas imediatamente (como um dispositivo médico) ou mais tarde (como projetos para os sistemas de segurança de uma barragem hidrelétrica). Como você pode ter certeza de que os dados e esses dispositivos estão bem protegidos contra adulteração ou acesso ilícito?

Ou as próprias conexões de rede, que conectam dispositivos móveis ou de linha fixa de volta ao data center ou à nuvem. As conexões estão seguras? Os hackers podem obter acesso subvertendo um ponto de extremidade ... e essas conexões foram testadas para serem robustas, escaláveis ​​e impenetráveis? Vamos descobrir como.

Descubra o ataque. Pare o ataque

O desafio de alcançar uma rede "segura", incluindo o setor de IoT, é que a "segurança" é uma meta negativa, diz Robert Haim, analista principal da ACG Research , que se concentra nos setores de redes e telecomunicações.

“Você está tentando alcançar algo apesar de tudo o que os adversários podem fazer e não sabe quais são as capacidades deles”, explica ele. Uma vez que muitos dispositivos de ponto de extremidade IoT não têm memória suficiente para incluir software de segurança sofisticado neles. "Então o que nós vamos fazer?"

Na verdade, há dois problemas que precisam ser resolvidos, diz Haim:“Precisamos nos preocupar com a segurança do próprio dispositivo e também devemos pensar no que precisamos fazer se formos hackeados”. Não ajuda o fato de 55% das empresas nem mesmo saberem de onde vem a ameaça e onde está o problema em sua rede.

Observe as ações, não apenas a identidade

Mark McGovern, líder do grupo de análise de ameaças, CA Tecnologias , diz que há uma grande necessidade de observar o que as pessoas estão fazendo, depois de ter acesso a um sistema. O que eles fazem é mais importante do que quem eles são. “Quer se trate de um sistema existente que está autorizando em tempo real 100 milhões de usuários para uma instituição financeira ou grandes empresas de cabo, a forma como pensamos sobre isso não é sobre quem você afirma ser ou as credenciais que possui, é o que você Faz."

Ele explica:“Quando você encontra alguém na rua, essa pessoa pode dizer que é X ou faz Y, mas a realidade é:o que você a observa fazendo ao longo do tempo? Esse é o nível de confiança que você oferece às pessoas. ”

O CA estuda e analisa o comportamento real das entidades autorizadas a usar um sistema e sinaliza as coisas que são inconsistentes com os comportamentos anteriores dessas entidades.

“Seja um endereço IP, um endpoint, um login ou uma identidade reivindicada, quais são as coisas que estão se destacando, tanto contra seu próprio comportamento quanto contra o comportamento da população”, diz McGovern. “Esses dados reforçam o aprendizado que nossos sistemas estão fazendo e o aprendizado de máquina que incorporamos a esses sistemas, além de agregar valor aos nossos clientes.”

Comece com a modelagem de ameaças

“Pegue qualquer dispositivo, como uma fechadura de porta IoT”, diz John Michelsen, diretor de produtos da Zimperium , que produz software de defesa contra ameaças móveis baseado em IA. “Você precisa identificar em um nível de dispositivo, nível de rede ou nível de conteúdo do aplicativo, quais são as maneiras que este dispositivo pode ser explorado.” E então você tem que bloqueá-los antes de ir ao mercado.

É um problema real, diz Michelsen. “No Black Hat de 2017, alguém provou que 13 das 15 maçanetas automatizadas podiam ser abertas em apenas algumas horas de trabalho. Pelo menos 70% dos dispositivos de TI do consumidor de IoT são hackeáveis. ”

É por isso que você precisa da modelagem de ameaças, ele diz:“Primeiro, você faz a modelagem de ameaças. Em seguida, você identifica maneiras de prevenir - detectar isso e começar a construir uma solução em torno disso. ”

Todos devem olhar para fora

Cada empresa tem recursos de segurança interna para testar software, infraestrutura, produtos e serviços, mas isso não é suficiente, diz Roark Pollock, vice-presidente sênior da Ziften , que oferece soluções de segurança de endpoint.

“Você tem que olhar para fora. Olhe para seus parceiros e esteja aberto para eles testando seu produto. Eles podem exigir que você passe por todo um processo de certificação - passe por essas certificações de parceiro. Existem empresas de auditoria de segurança hoje. Contrate-os. ”

Não confie em si mesmo, ele insiste. Peça a especialistas externos para verificar novamente seus engenheiros, verifique novamente seu código.

“Então, olhe para a comunidade e os projetos de código aberto para garantir novamente que haja uma comunidade de pessoas que estão verificando, verificando novamente e implementando esse código.”

Pollock não se impressiona com nenhuma empresa que presuma que pode fazer tudo sozinha no que diz respeito à segurança. “Acho que é fundamental obter ajuda externa.”

Use inteligência artificial para policiar a identidade

Hank Skorny, vice-presidente sênior, Neustar , uma empresa de gerenciamento de identidade, diz que começa com a determinação da identidade dos usuários (ou dispositivos ou aplicativos) que estão acessando dispositivos IoT ou seus dados. Mas não para por aí. “Você tem que estabelecer uma identidade. Você também deve sempre colocar isso em dúvida, porque a identidade é apenas uma probabilidade, nunca verdadeiramente definitiva. ”

Como você melhora a confiança nessa probabilidade? “Empregue aprendizado de máquina e inteligência artificial”, diz ele, enquanto olha constantemente para monitorar qualquer sistema que você esteja construindo.

“Você não vai simplesmente identificar alguém ou determinar um dispositivo ou qualquer outra coisa. Você vai policiá-lo. A única maneira de policiar um mundo em escala de nanossegundos é usando aprendizado de máquina computacional e inteligência artificial, constantemente procurando por esses padrões de comportamento maligno - interrompendo-o mais rápido do que um ser humano jamais poderia.

Prove a confiança em vários domínios

Alguns dados são protegidos por lei - pense nos segredos militares ou nas informações de identificação pessoal sobre saúde, cobertas pela Lei de Responsabilidade e Portabilidade de Seguro Saúde de 1996 (HIPAA) nos Estados Unidos. Existem outras informações, no entanto, que são extremamente confidenciais, mesmo se não forem cobertas por regulamentos específicos. Considere os dados sobre o desempenho de atletas profissionais:não são informações de saúde HIPPA, mas são informações cruciais para equipes esportivas de bilhões de dólares.

Zebra Sports é uma empresa que coleta telemetria de tempo de prática e dia de jogo em jogadores de futebol americano, explica John Pollard, o vice-presidente da empresa, e a empresa teve que trabalhar duro para marcar gols na National Football League (NFL).

“Um dos critérios que a NFL passou ao avaliar várias tecnologias foi certamente a segurança”, diz ele. “Coletamos muitas informações e temos que transferi-las para softwares e serviços para que nossos clientes nas verticais primárias possam avaliá-las. A NFL certamente incorpora isso também. Porque estamos capturando informações que nunca foram capturadas antes para um esporte profissional, estamos falando sobre aceleração, desaceleração, mudança de direção, proximidade ao longo de um período agregado de tempo. ”

Ajudando a Zebra a marcar pontos:sua rica experiência em IoT no varejo, transporte, logística, manufatura e saúde.

“Nossa herança de trabalho com essas indústrias certamente nos ajudou a construir um caso válido para ser um parceiro da NFL na captura desse tipo de informação”, diz Pollard.

A lição de segurança aqui, diz Pollard, é que só porque é esporte, não significa que seja vital. Os mesmos princípios se aplicam, digamos, à IoT militar ou comercial da NFL. A telemetria para um jogador de futebol não é diferente da telemetria para um guarda de segurança, ou mesmo um míssil. O primeiro parâmetro é torná-lo seguro.

Crie zonas de confiança - e aplique-as

Nem todos os usuários são criados iguais e nem todos os usuários exigem as mesmas informações de um dispositivo IoT. A equipe de TI do hospital precisa verificar se os dados de uma bomba de diálise estão sendo capturados pelo aplicativo correto e armazenados nos registros do paciente correto ... mas eles não precisam ver os dados e, de fato, a HIPAA pode proibir seu acesso. Da mesma forma, a equipe de TI precisa verificar se a entrada de uma parte segura de um edifício funciona corretamente, mas, novamente, eles podem não estar autorizados a abrir a porta por conta própria.

“Se você olhar para o número de pessoas que interagem com a fechadura da porta, as funções, as responsabilidades, é aí que as zonas de confiança continuam crescendo”, disse Sanjeev Datla, diretor de tecnologia da Lantronix , que desenvolve tecnologia IoT industrial. “Quais são os diferentes níveis de acesso do administrador da porta? Para a enfermeira enquanto ela interage com as máquinas de diálise? ”

E o técnico de serviço de campo que vem para acessar ou fazer a manutenção da máquina? “Conheça as funções e responsabilidades sobre o que permitir e o que não permitir”, diz ele.

Datla insiste que não é simples. “Você tem uma bomba de infusão com uma porta Ethernet. Quais são os anéis de confiança, ou controles de acesso, se preferir, em torno dessa porta? E como é testado? ” Como Mark McGovern da CA disse acima, isso deve ser mais sofisticado do que listas de controle de acesso simples.

“Procuramos análises comportamentais”, diz Datla, “OK, essa pessoa não deveria fazer isso neste momento. Então, quando eles fazem isso, o que você faz a respeito? Como você dispara um alerta e obtém aprovação ou bloqueio de um nível superior? ”

Nunca se esqueça:tudo está conectado

“Os dispositivos IoT estão ficando cada vez mais inteligentes”, diz Pollock da Ziften. “Não estamos mais falando sobre microcontroladores idiotas para unidades de controle com entreferro. Estamos falando de sensores inteligentes na rede. Estamos falando sobre gateways inteligentes. ”

Além disso, ele aponta, "Muitos dispositivos IoT são PCs totalmente funcionais para todos os fins práticos, mas não tratamos esses dispositivos da maneira como tratamos PCs normais em nossas redes empresariais."

“Olha, se você vai ter todos esses dispositivos conectados, você tem que ser capaz de monitorar tanto o estado do dispositivo quanto a higiene dele. Deve ser reforçado em seu ambiente. ”

Ecoando comentários anteriores, Pollock insiste que as empresas devem monitorar o comportamento dos dispositivos IoT, não apenas o controle de acesso. “Procure outliers do ponto de vista de comportamento e comece a identificar o que está acontecendo com aquele dispositivo e o que ele está fazendo. Concentre-se nesses outliers com a longa cauda da curva sobre o que está acontecendo. Identifique os dispositivos que estão fazendo algo fora do comum, olhe para eles e investigue-os como possíveis problemas. ”

Porque, afinal, com dispositivos IoT e aplicativos IoT vulneráveis ​​a ataques, vidas irão estar em jogo.

O autor é Robert Haim, analista principal - Business Analysis &IoT, ACG Research