Quer você os crie ou compre - a segurança do dispositivo IoT preocupa-nos todos
A Internet das Coisas (IoT) oferece muitas atrações para pequenos e médios fabricantes (SMMs) que desejam integrar a IoT em suas instalações e operações ou que buscam entrar no mercado de IoT com produtos inovadores. O espectro de produtos de IoT disponíveis é amplo e está crescendo continuamente. Ao se aventurar nas águas da IoT, é útil estar preparado para as armadilhas de segurança cibernética em potencial, seja na forma de implicações para o gerenciamento de risco organizacional ao apresentar a IoT ao ambiente ou considerações para design e suporte de produto ao entrar no mercado como um fornecedor de produto. O programa NIST Cybersecurity for the Internet of Things está trabalhando para fornecer as informações de que os SMMs precisam para navegar nessas águas potencialmente turbulentas.
IoT e gerenciamento de risco
Antes de instalar termostatos inteligentes para manter seus funcionários confortáveis, adicione cafeteiras inteligentes às salas de descanso para mantê-los cafeinados ou implante a mais recente e melhor tecnologia de Sistema de Controle Industrial (ICS) em seu ambiente de produção, é importante reconhecer as implicações potenciais. Você pode ter um programa de segurança da informação robusto para sua TI tradicional, mas essas ferramentas, processos e procedimentos provavelmente exigirão adaptação quando a IoT for introduzida. Algumas das maneiras pelas quais a IoT é diferente incluem:
- Interagindo com o mundo físico. Os dispositivos IoT são equipados com sensores que coletam informações de seu ambiente ou atuadores que fazem com que objetos do “mundo real” se movam ou mudem. A detecção pode gerar muitos dados potencialmente confidenciais, portanto, saber o que é coletado e para onde está indo é importante. Um atuador comprometido pode permitir que um adversário cause uma interrupção significativa - pense no que poderia acontecer se você não soubesse quem está comandando seus bloqueios inteligentes.
- Desafiando as práticas convencionais de gerenciamento de TI. Os dispositivos IoT costumam ser "caixas pretas" que obscurecem suas atividades internas e não podem ser equipados com agentes ou consultados da mesma maneira que servidores, desktops ou firewalls. Como resultado, as práticas comuns de gerenciamento de TI podem se mostrar ineficazes com a IoT. Esses desafios de gerenciamento podem se multiplicar rapidamente se você estiver implantando dispositivos IoT “em escala”.
- Falta de recursos comuns de segurança cibernética e privacidade. Dispositivos IoT geralmente carecem de suporte para registro e monitoramento, suporte para atualização de dispositivos para lidar com vulnerabilidades recentemente identificadas ou recursos criptográficos necessários para proteger as informações confidenciais que eles geram ou processam. Não se pode presumir que esses dispositivos possuam os mesmos recursos de cibersegurança que os dispositivos de TI na mesma rede.
Os SMMs que adotam a IoT em seus ambientes precisam estar preparados para enfrentar esses desafios. Se entrar no mercado de IoT como fornecedor, compreender esses desafios pode ser uma oportunidade para desenvolver um produto que ofereça uma melhor experiência ao cliente.
Gerenciando seu risco de segurança de IoT
Ao adotar a tecnologia IoT em sua organização, os SMMs devem se planejar para enfrentar esses desafios tendo em vista três objetivos:
- Proteger a segurança do dispositivo IoT para garantir que o produto esteja totalmente sob o controle do proprietário e não seja explorado por atores externos para obter acesso à rede do SMM ou participar de um botnet.
- Proteger a segurança dos dados para que os dados gerados por dispositivos IoT não sejam expostos ou alterados enquanto armazenados nos dispositivos, transferidos pela rede ou transmitidos para um serviço baseado em nuvem usado para fornecer aspectos dos recursos do produto.
- Proteger a privacidade dos indivíduos, estando alerta para a possibilidade de informações confidenciais serem capturadas ou criadas por produtos IoT e ciente de para onde esses dados podem viajar.
Esses objetivos são articulados em NISTIR 8228, Considerações para gerenciar Internet das coisas (IoT), segurança cibernética e riscos de privacidade , e pode ser difícil de conseguir com os produtos de IoT disponíveis atualmente. Para organizações que estão aplicando o NIST Cybersecurity Framework (CSF) ou definindo seus requisitos de segurança usando os controles NIST SP 800‑53, o NISTIR 8228 identifica uma série de desafios que os dispositivos IoT apresentam para atingir os fins pretendidos pelo CSF e SP 800‑53. Por exemplo, o controle SI-2, correção de falhas, do SP 800‑53 não pode ser satisfeito por dispositivos IoT que não têm capacidade para atualizações seguras de software / firmware. Da mesma forma, muitos dispositivos IoT não podem ser analisados da maneira necessária para satisfazer a subcategoria CSF DE.CM-8:varreduras de vulnerabilidade que são executadas.
A consideração dos três objetivos identificados acima deve levar em consideração a seleção de produtos IoT, bem como a forma como eles são gerenciados, uma vez que os recursos de segurança dos dispositivos IoT contribuem para atingir os requisitos gerais de segurança dos sistemas aos quais os dispositivos estão integrados.
Melhorando a postura de segurança de seus produtos IoT
Se você está se aventurando na criação de produtos de IoT, a consciência dos desafios da segurança cibernética pode ajudar a orientar sua abordagem para o desenvolvimento e suporte de seu produto. Os três objetivos descritos acima também se aplicam ao desenvolvimento de um produto IoT. Uma abordagem cuidadosa do desenvolvimento com esses objetivos em mente resultará em um produto mais gerenciável e seguro. Esta abordagem envolve a fase de design e desenvolvimento para o produto e a fase de suporte, uma vez que é colocado no mercado, conforme ilustrado nesta figura de NISTIR 8259, Atividades de segurança cibernética fundamentais para fabricantes de dispositivos IoT .
As linhas de base principais descrevem as habilidades do dispositivo e ações de apoio em um espectro de necessidades:
Capacidades técnicas de segurança cibernética
| Identificação do dispositivo | O dispositivo IoT pode ser identificado de forma única lógica e fisicamente. |
| Configuração do dispositivo | A configuração do software do dispositivo IoT pode ser alterada e tais alterações podem ser realizadas apenas por entidades autorizadas. |
| Proteção de dados | O dispositivo IoT pode proteger os dados que armazena e transmite contra acesso e modificação não autorizados. |
| Acesso lógico às interfaces | O dispositivo IoT pode restringir o acesso lógico às suas interfaces locais e de rede e aos protocolos e serviços usados por essas interfaces apenas para entidades autorizadas. |
| Atualização de software | O software do dispositivo IoT pode ser atualizado por entidades autorizadas apenas usando um mecanismo seguro e configurável. |
| Conscientização do estado de segurança cibernética | O dispositivo IoT pode relatar seu estado de segurança cibernética e tornar essas informações acessíveis apenas a entidades autorizadas. |
Capacidades de suporte não técnicas
| Documentação | A capacidade do fabricante e / ou entidade de suporte de criar, reunir e armazenar informações relevantes para a segurança cibernética do dispositivo IoT durante o desenvolvimento de um dispositivo e seu ciclo de vida subsequente. |
| Recepção de informações e consultas | A capacidade do fabricante e / ou entidade de suporte de receber do cliente informações e consultas relacionadas à segurança cibernética do dispositivo IoT. |
| Disseminação de informações | A capacidade do fabricante e / ou entidade de suporte de transmitir e distribuir informações relacionadas à segurança cibernética do dispositivo IoT. |
| Educação e Conscientização | A capacidade do fabricante e / ou entidade de suporte de conscientizar e educar os clientes sobre elementos como informações relacionadas à segurança cibernética, considerações e recursos do dispositivo IoT. |
As atividades de planejamento combinadas com a aplicação de linhas de base técnicas e não técnicas ajudarão os SMMs a desenvolver produtos que são mais seguros e com melhor suporte, ajudando seus clientes a aproveitar as vantagens de suas inovações de IoT enquanto limitam o impacto em seus desafios de gerenciamento de risco.
Informações que podem ajudar
O programa de segurança cibernética do NIST para a Internet das coisas se envolveu profundamente com a comunidade nos últimos anos e desenvolveu uma rica coleção de orientações sobre os desafios da segurança cibernética da IoT. Quer você seja um SMM procurando melhorar as operações com a integração da IoT ou entre no mercado com novos produtos, há muitos recursos e publicações disponíveis para ajudá-lo.
Cibersegurança do NIST para IoT dá as boas-vindas ao fabricante iotsec [at] nist.gov (feedback) em nossos rascunhos públicos atuais.
Exploração de Fornecedores de Ciclismo de Borda
Centros MEP - Na Linha de Frente da Diversidade, Equidade e Inclusão
Tecnologia industrial
- A pesquisa oferece uma visão sombria da implantação de segurança de IoT
- As vulnerabilidades do aplicativo deixam os dispositivos IoT abertos para ataques
- Uma introdução ao hackeamento de hardware embarcado de dispositivo IoT
- Protegendo a IoT industrial:Um desafio crescente de segurança - Parte 1
- O que a chegada do 5G significa para a segurança da IoT
- Por que ‘Zero Trust’ é a melhor maneira de fortalecer a segurança do dispositivo IoT
- O que é segurança de IoT?
- 5 principais desafios de IoT ao desenvolver seu dispositivo
- Segurança de IoT industrial:desafios e soluções
- O que é um dispositivo de borda e por que ele é essencial para a IoT?