Por que 98% do tráfego de IoT não está criptografado

98 por cento do tráfego IoT não é criptografado. Quando li essa estatística - publicada pela Palo Alto Networks em seu relatório de Ameaças Unit 42 2020 - eu deveria ter ficado chocado, disse Mike Nelson, vice-presidente de segurança de IoT da DigiCert .

No ano passado, um Z-Scaler relatório disse algo semelhante:que 91% do tráfego de IoT não foi criptografado. Embora seja possível que esses números não sejam verdadeiramente representativos do problema real, uma coisa é certa - muito tráfego de IoT é descriptografado quando absolutamente todo deveria ser.

O tráfego de IoT não criptografado obviamente significa que os invasores podem realizar ataques Man in The Middle (MiTM). Ao acessar esse fluxo de dados não criptografado, os invasores podem entrar entre os dispositivos - ou um dispositivo e a rede maior - e roubar ou alterar os dados.

As falhas de segurança da IoT são bem documentadas. Dispositivos conectados são frequentemente trazidos ao mercado por fabricantes que tornam dolorosamente óbvios, mas na maioria das vezes facilmente evitáveis, erros de segurança no processo de projeto. Eles são, então, avidamente comprados por empresas que muitas vezes não levam essas falhas em consideração e implantados em redes seguras de outra forma. A partir daí, os invasores os descobrem por meio de uma pesquisa simples em método e encontram um ponto de violação fácil em uma empresa.

E ainda - seja qual for o estado de sua segurança - a IoT está crescendo vorazmente. A McKinsey estima que haverá 43 bilhões de dispositivos IoT conectados à Internet em 2023. Se as tendências atuais continuarem - e 98 por cento do tráfego IoT não for criptografado - haverá um frenesi para os cibercriminosos.

Freqüentemente, quando as pessoas pensam em um hack de IoT - elas pensam em uma boneca ou campainha vulnerável - ataques que alavancam a funcionalidade de um dispositivo - interessante, mas no final das contas enganoso. As ameaças reais são muito menos coloridas. As implantações de IoT corporativas geralmente são compostas de centenas, senão milhares de dispositivos individuais; se apenas um desses dispositivos ficasse exposto, ele poderia fornecer um ponto de violação fácil em uma rede segura.

Pode-se ver exatamente esse exemplo em uma infame violação da IoT em Las Vegas. Em 2017, os hackers usaram um tanque de peixes para realizar um assalto a cassino. O aquário em questão estava conectado à internet por meio de um sensor que permitia aos seus operadores operar e controlar remotamente o tanque. No entanto, não muito depois de instalado, a equipe de segurança notou o aquário enviando dados para um servidor remoto na Finlândia. Uma investigação mais aprofundada revelou uma violação maciça - os hackers usaram aquele tanque de peixes para exfiltrar 10 gigabytes de dados do banco de dados de grandes apostadores do cassino.

O hack revelou três pontos prementes. Em primeiro lugar, que as informações roubadas não foram criptografadas no sistema do cassino e estão disponíveis para que os invasores simplesmente as coletem. Em segundo lugar, o cassino tinha acesso insuficiente e verificações de autenticação para impedir que invasores desse dispositivo IoT acessassem algumas das informações mais confidenciais que possuíam. Finalmente, aquele aquário foi conectado à rede mais ampla do cassino - e explorando as fraquezas desse produto - eles poderiam se conectar e roubar uma horda de dados confidenciais.

As consequências de tais ataques podem variar, desde vazamento de dados financeiros ou de clientes até ataques a infraestruturas críticas. Pense nos danos causados ​​por interrupções na rede elétrica em grande escala, apagões da Internet, queda dos sistemas de saúde em todo o país e acesso a cuidados intensivos. A lista continua.

Como chegar à criptografia 100%

IoT ou sem IoT - todos os dados confidenciais devem ser criptografados. Tudo isso - qualquer coisa acima de 0 por cento é inaceitável. Você pode fazer pequenas concessões para erros aqui e ali - mas quaisquer dados que não sejam criptografados podem ser comprometidos.

O que não quer dizer que não venha com seus próprios desafios. A natureza dos dados modernos é que eles estão em constante movimento - de hub para gateway, de gateway para nuvem e muito mais. Isso torna as coisas mais complexas, pois os dados precisam ser criptografados em repouso e em trânsito.

Isso é especialmente verdadeiro com redes IoT corporativas, que são comumente construídas de uma série de terminais, sensores e dispositivos diferentes, enviando dados constantemente para frente e para trás entre suas diferentes partes. Uma rachadura nessa rede pode permitir a entrada de um invasor, tornando-a não apenas uma área particularmente sensível, mas particularmente crítica para consertar.

As infraestruturas de chave pública (PKI) com certificados digitais estão começando a resolver esse problema. Como a PKI pode fornecer autenticação mútua entre os vários nós de grandes redes e criptografar o fluxo de dados, em uma escala enorme adequada para a IoT, as empresas estão começando a aproveitá-la como uma forma de proteger suas grandes implantações de IoT.

Embora o setor esteja progredindo e as empresas líderes, profissionais e reguladores estejam tomando medidas para trabalhar juntos e melhorar a postura de segurança desses dispositivos - ainda temos um longo caminho a percorrer. Precisamos de mais fabricantes para priorizar a segurança e implementar as melhores práticas - criptografia, autenticação e integridade, para citar alguns - e a implementação não pode ser incremental. Isso não será bom o suficiente.

Criptografia em escala é o que as empresas precisam para proteger o tráfego de IoT. Os principais fabricantes estão notando e implementando a PKI. Vamos torcer para que o resto os acompanhe. E assim por diante.

O autor é Mike Nelson, VP de Segurança IoT da DigiCert .

Sobre o autor

Mike Nelson é o vice-presidente de segurança de IoT da DigiCert, um provedor de segurança digital. Nessa função, Mike supervisiona o desenvolvimento de mercado estratégico da empresa para os vários setores de infraestrutura crítica, protegendo redes altamente sensíveis e dispositivos de Internet das Coisas (IoT), incluindo saúde, transporte, operações industriais e implementações de smart grid e cidade inteligente.

Mike freqüentemente consulta organizações, contribui com reportagens da mídia, participa de órgãos de padronização do setor e fala em conferências do setor sobre como a tecnologia pode ser usada para melhorar a segurança cibernética de sistemas críticos e das pessoas que dependem deles.

Mike passou sua carreira em TI de saúde, incluindo tempo no Departamento de Saúde e Serviços Humanos dos EUA, GE Healthcare e Leavitt Partners - uma empresa boutique de consultoria em saúde. A paixão de Mike pela indústria vem de sua experiência pessoal como diabético tipo 1 e do uso de tecnologia conectada em seu tratamento.