Proteção de Dados

Quais são os novos desafios com a segurança da informação para IoT?

Com as grandes projeções da Internet das Coisas (IoT), empresas como Google e Amazon estão atentas a esse mercado. Assim elas já estão liderando a disputa no desenvolvimento de tecnologias interconectadas. Existem previsões, como a da Gartner de que até 2020 haverá, pelo menos, 20,4 bilhões de dispositivos conectados. Esses dispositivos são dos mais diversos, como monitores de bebê, televisão, câmeras e até pneus, por exemplo.

Mas a segurança da IoT têm sido pauta de diversos debates. Em outubro do ano passado, o provedor de serviços de internet Dyn foi atacado e interrompeu o acesso a sites. Os cibercriminosos que iniciaram o ataque, utilizaram uma grande quantidade de dispositivos conectados à internet (principalmente DVRs e câmeras). Acontecimentos como este sugerem uma atenção maior aos requisitos de segurança para a criação de soluções de IoT.

No relatório TechRadar, orientado a profissionais de segurança e riscos, a Forrester Research discute perspectivas para as 13 tecnologias de segurança IoT mais importantes. Ela alerta que não há uma fórmula de segurança única e mágica que possa corrigir facilmente todos os problemas de segurança para esses dispositivos.

Tecnologias de segurança da IoT

Seja por uma regulamentação governamental ou simplesmente pelo interesse empresarial, podemos esperar um aumento do investimento nas tecnologias de segurança da IoT. Com base na análise da Forrester Research, das 13 tecnologias para a segurança da informação para a Internet das Coisas, destacam-se as seguintes:

Segurança da rede IoT

A segurança de rede para IoT é um dos pilares desse tipo de tecnologia, afinal os dispositivos precisam ser conectados a ela. Os principais recursos incluem aqueles tradicionais de segurança de pontos finais, como antivírus e antimalware, bem como firewalls e sistemas de prevenção e detecção de intrusão. Empresas que já estão fornecendo soluções para IoT são: Bayshore Networks, Cisco, Darktrace e Senrio.

Autenticação IoT

Além da segurança de rede, um outro ponto importante a se destacar é a autenticação. Fornecer capacidade aos usuários de autenticarem um dispositivo IoT, incluindo o gerenciamento de múltiplos usuários de um único dispositivo (como um carro conectado, por exemplo). Isto vai desde senhas, que são simples, até mecanismos de autenticação mais robustos, como autenticação de dois fatores, assim como certificado digital e dados biométricos. Ao contrário da maioria das redes empresariais, onde os processos de autenticação envolvem um ser humano inserindo uma credencial, muitos cenários de autenticação IoT (como sensores integrados) são baseados em máquina a máquina sem qualquer intervenção humana. Por isso fatores de identificação fortes, como o certificado digital e a utilização multifatores de autenticação se tornam ainda mais importantes.

Criptografia IoT

A utilização de criptografia de dados em repouso e dados em trânsito também ganha a sua devida importância para IoT. Além disso, os dispositivos de IoT devem interagir com sistemas back-end. Vale lembrar que se deve utilizar algoritmos criptográficos padrões, como AES para criptografia simétrica e RSA para criptografia assimétrica. Dessa forma fica mais fácil manter integridade, confidencialidade e autenticidade dos dados, mitigando danos causados por ataques hackers. Inclusive, toda a criptografia para IoT deve ser acompanhada por processos equivalentes de gerenciamento de ciclo de vida das chaves criptográficas.

IoT PKI

O PKI já é amplamente utilizado para autenticação, assinatura digital e criptografia de dados. Para trabalhar com os certificados digitais em IoT, eles podem ser importados para dentro dos dispositivos em basicamente dois momentos, na fabricação do dispositivo ou posteriormente, durante um processo de configuração do dispositivo pelo usuário. Vale lembrar que é importante ter o gerenciamento do ciclo de vida da chave, como também a sua atualização.

O gerenciamento das chaves e o ciclo de vida vem junto com alguns desafios a serem resolvidos, tais como, quem irá atualizar os certificados digitais? De quanto em quanto tempo? Como será esse processo? É seguro?

Portanto se faz necessária a utilização de tecnologias atuais para o gerenciamento dos certificados, assim como evoluções nos sistemas atuais de forma que comportem a alta escalabilidade do IoT.

Análise de segurança do IoT

Assim como já existe hoje nas organizações que prezam pela segurança da informação, a análise de segurança é importante. Para que a análise seja feita devidamente, são necessárias a coleta, agregação, monitoramento e normalização de dados de dispositivos IoT. Assim como o fornecimento de relatórios e alertas ​​em atividades específicas ou quando as atividades estão fora das políticas estabelecidas. As análises de segurança da internet das coisas serão cada vez mais necessárias para detectar ataques e intrusões específicos desses dispositivos. Estes não são identificados pelas soluções tradicionais de segurança de rede.

Segurança da API IoT

A segurança da API fornece autenticação e autorização dos dados entre dispositivos IoT, sistemas back-end e aplicativos. A segurança da API será essencial para proteger a integridade, autenticidade e confidencialidade do trafego de dados entre dispositivos e sistemas de back-end. A API irá ajudar a garantir que apenas dispositivos, desenvolvedores e aplicativos autorizados estejam se comunicando de forma segura, além de detectar potenciais ameaças e ataques contra API específicas.

Conclusão

Por fim, a segurança IoT requer uma abordagem de ponta a ponta. É urgente que as empresas digitais equilibrem os benefícios comerciais que os produtos conectados pela IoT podem oferecer com o reconhecimento de que esses mesmos dispositivos se tornaram um ponto de ataque atraente para cibercriminosos.

E-VAL Tecnologia, uma empresa do Grupo E-VAL

A E-VAL Tecnologia atua há mais de 13 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como, SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os seguimentos de instituições financeiras, educação e indústria.

Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Siga-nos nas redes sociais:
error

Gostou do blog? Compartilhe já :D