Proteção de Dados

Como fortalecer o controle de acesso IoT para melhorar a segurança cibernética

Os dispositivos IoT estão sendo implantados em todo o mundo em números recordes.  Haverá 41,6 bilhões de dispositivos conectados, gerando 79,4 zetabytes de dados até 2025, de acordo com estimativas do IDC.

Com muitos desses dispositivos executando componentes essenciais da infraestrutura ou coletando, acessando e transferindo informações confidenciais de negócios ou pessoais, a autenticação e o controle de acesso IoT se tornaram ainda mais críticos.

A autenticação do dispositivo IoT é fundamental para garantir que os dispositivos conectados sejam confiáveis ​​como são. Assim, o controle de acesso pode policiar quais recursos podem ser acessados ​​e usados ​​e em que contexto para minimizar o risco de ações não autorizadas.

Os desafios do controle de acesso IoT

Quando se trata de implantar mecanismos de autenticação e controle de acesso em um ambiente IoT, há muitos aspectos que complicam a tarefa. Isso ocorre porque a maioria dos dispositivos tem capacidade de processamento, armazenamento, largura de banda e energia limitados. 

A maioria das técnicas de autenticação e autorização legadas são muito complexas para serem executadas em dispositivos IoT com recursos limitados devido à sobrecarga de comunicação de protocolos de autenticação comuns. 

Outro problema é que os dispositivos às vezes são implantados em áreas onde pode ser impossível ou impraticável fornecer segurança física.

Há também uma gama incrivelmente ampla de pilhas de hardware e software em uso a serem consideradas. Isso leva a uma grande quantidade de dispositivos que se comunicam por meio de vários padrões e protocolos – ao contrário dos ambientes de computação mais tradicionais. 

Por exemplo, os pesquisadores identificaram pelo menos 84 mecanismos de autenticação diferentes em ambientes de IoT que foram propostos ou colocados em produção em 2019. A falta de padrões e modelos de controle de acesso específicos de IoT torna mais complexa a tarefa de manter dispositivos e redes seguros.

Abordagens para melhorar o controle de acesso à IoT

Qualquer modelo de gerenciamento de acesso centralizado que tente gerenciar milhares de dispositivos IoT implantados em todos os lugares terão suas limitações, nenhuma abordagem será adequada para todos os cenários. 

Os fornecedores que buscam desenvolver serviços de controle de acesso IoT descentralizados estão examinando como a tecnologia blockchain pode eliminar problemas causados ​​por sistemas centralizados. 

Os administradores de rede e as equipes de segurança devem ficar a par dos desenvolvimentos mais recentes, pois eles podem levar a ofertas de serviços verdadeiramente escalonáveis ​​em um futuro próximo.

Até então, cada dispositivo IoT deve ter uma identidade exclusiva que pode ser autenticada quando o dispositivo tenta se conectar a um gateway ou rede central. Alguns dispositivos são identificados apenas com base em seu endereço IP ou MAC (controle de acesso à mídia), enquanto outros podem ter certificados instalados. 

Mas uma maneira muito superior de identificar qualquer tipo de dispositivo é por meio do aprendizado de máquina. Para isso, podem ser usados ​​recursos estáticos, além de análises comportamentais, como API, solicitações de serviço e banco de dados para melhor garantir a identidade do dispositivo. 

O uso combinado de identidade e comportamento para autenticação também fornece a capacidade de adaptar constantemente as decisões de controle de acesso com base no contexto – mesmo para dispositivos com recursos limitados.

Este modelo de controle de acesso baseado em atributo avalia os pedidos de acesso em relação a uma gama de atributos que classificam o dispositivo, recurso, ação e contexto. Ele também fornece recursos de controle de acesso mais dinâmicos. 

A aprovação de ações e solicitações pode ser atualizada em tempo real, com base nas mudanças nos atributos contextuais. No entanto, requer que os administradores escolham e definam um conjunto de atributos e variáveis ​​para construir um conjunto abrangente de regras e políticas de acesso.

Como o controle de acesso IoT fortalece uma estratégia de segurança

Um forte controle de acesso IoT e tecnologia de autenticação podem ajudar a impedir ataques. Mas é apenas um aspecto importante de uma estratégia de segurança IoT maior e integrada que pode detectar e responder a eventos suspeitos baseados em IoT. 

Para que qualquer estratégia de autenticação e controle de acesso funcione, os dispositivos IoT devem estar visíveis. Assim, os procedimentos de gerenciamento de ciclo de vida e inventário de dispositivos críticos precisam ser estabelecidos, bem como a capacidade de escanear dispositivos IoT em tempo real.

Depois que um dispositivo IoT é identificado e autenticado com sucesso, ele deve ser atribuído a um segmento de rede restrito. Lá, ele será isolado da rede de produção principal, que possui controles de segurança e monitoramento configurados especificamente para proteger contra ameaças de IoT e vetores de ataque em potencial. 

Dessa forma, se um dispositivo específico for sinalizado como comprometido, a área da superfície exposta é limitada e o movimento lateral é mantido sob controle. Essas medidas colocam os administradores em uma posição em que podem identificar e isolar os nós comprometidos, bem como atualizar os dispositivos com correções e patches de segurança.

A IoT está mudando o mundo e como a segurança de TI precisa operar. Os fornecedores de segurança ainda estão tentando se atualizar com o tamanho e a complexidade dos ambientes de IoT. 

De forma ideal, a próxima geração de ofertas de serviço atenderá melhor às demandas de identidade de IoT e gerenciamento de acesso.

Sobre a E-VAL Tecnologia

A E-VAL Tecnologia atua há mais de 15 anos oferecendo soluções de segurança da informação para o mercado, pioneira em iniciativas no uso da certificação digital no Brasil, tais como, SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Proteção de dados e armazenamento de chaves criptográficas para os segmentos de instituições financeiras, educação e indústria.

Siga-nos nas redes sociais:
error

Gostou do blog? Compartilhe já :D