Home  >  Segurança

Qual o cenário da segurança de IoT um ano após o Mirai?

Equipes devem revisar suas prioridades de IoT. Confira três passos para verificar a segurança de dispositivos conectados

Rinki Sethi*

05/02/2018 às 18h20

IoT
Foto:

Em outubro do ano passado, um botnet de “coisas” conectadas e relacionadas ao malware Mirai lançou o maior ataque DDoS na história. Ironicamente, eu estava realizando uma palestra sobre segurança e privacidade de IoT na conferência Grace Hopper quando soube do ataque e, a partir desse momento, as perguntas começaram a surgir da plateia sobre o malware. Naquele momento, eu soube que o tema da minha sessão não poderia ter sido mais oportuno. Neste caso, e em inúmeros outros, a segurança de IoT é uma questão central. E os profissionais de segurança precisam se preocupar com dispositivos conectados inseguros.

Um ano se passou e a IoT continua a ser uma preocupação crescente. Desde torradeiras até escovas de cabelo, vemos cada vez mais dispositivos conectados à internet, com sérios riscos de segurança, principalmente em determinados ambientes. Dada à prevalência desses dispositivos entrando e saindo de redes corporativas, é importante proteger sua própria organização e é crítico entender até que ponto o “risco IoT” pode se estender.

Conforme foi destacado em um white paper da AT&T IoT Cybersecurity Alliance, o Mirai foi um excelente exemplo disso. A ameaça óbvia colocada por IoT é a exposição de dados pessoais a um atacante que compromete um dispositivo. No entanto, de acordo com o relatório, se os dispositivos conectados dentro de sua organização forem usados como parte de um ataque generalizado, sua empresa pode sofrer danos de reputação ou, pior ainda, ela pode comprometer os parceiros de negócios.

Assim, como qualquer tipo de ataque cibernético, as implicações de um ataque IoT são de grande alcance. Por isso, é importante que os profissionais de segurança entendam sobre Internet das Coisas assim como conhecem a rede, o endpoint e a segurança da nuvem. Uma estratégia abrangente de higiene cibernética é um componente necessário para proteger sua organização e prevenir ataques.

Diante desse cenário, as equipes de segurança devem revisar suas prioridades de IoT. Abaixo, listo três passos para verificar a segurança de dispositivos conectados:

Avalie a aceitação de risco de sua empresa

Toda empresa tem uma visão diferente sobre os tipos de risco que está disposta a aceitar e é fundamental que você entenda este ponto na sua companhia. Isto ajudará a determinar quais dispositivos você permitirá conectar e quais dispositivos você precisa bloquear. Por exemplo, algumas empresas podem avaliar como baixo risco, por exemplo, usuários conectando dispositivos de rastreamento de saúde nos computadores da empresa, permitindo transferir dados pessoais de saúde. Outras empresas com uma postura de segurança diferente podem achar que isso é um risco elevado.

Desenvolva um programa de conscientização e treinamento para IoT

Funcionários precisam estar cientes do risco que os dispositivos conectados apresentam e, para que eles conheçam IoT, precisam de recursos adequados e treinamentos. Uma parte integrante do desenvolvimento da sua consciência é garantir que eles compreendam como seus dispositivos pessoais fazem parte de um cenário maior da segurança em seu local de trabalho - e o que é permitido e o que não é. O treinamento também deve incluir como fazer verificações para determinar se dispositivos IoT estão protegidos. É importante fornecer aos funcionários as ferramentas necessárias para sua segurança, seja em formato de cursos presenciais, vídeos online, entre outros.

Pratique o que você prega

Uma verificação dos dispositivos pessoais é sempre um bom lembrete sobre a importância da segurança de IoT. Passar por este processo irá ajudá-lo a descobrir o que deve ser incluído no programa da sua empresa. Tenha o hábito de verificar regularmente os aplicativos do seu smartphone para ver o nível de permissões concedidas. Muitos apps solicitam acesso a fotos, informações de localização e contatos; pergunte-se se deseja permitir isso. Manter os dispositivos IoT atualizados e garantir que as configurações de privacidade apropriadas estejam em vigor, são etapas importantes para proteger seu próprio dispositivo, as redes e outros dispositivos aos quais se conectam, inclusive laptops e celulares da empresa.

O Gartner prevê que mais de 20 bilhões de dispositivos conectados estarão em operação até 2020, passando de 8,4 bilhões, em 2017. Os investimentos em segurança por empresas que criam esses bilhões de dispositivos são tão diversos quanto os próprios dispositivos. Há algumas empresas de IoT que investem muito em segurança, enquanto outras se concentram apenas na criação de dispositivos conectados - e a segurança pode ser uma reflexão tardia. Como profissionais de segurança, devemos levar isso em consideração ao avaliar o risco de IoT para nossas organizações e usuários. Há muito a ser feito para garantir que possamos estar um passo à frente quando se trata de segurança IoT.

*Rinki Sethi, é diretora sênior de Segurança da Informação na Palo Alto Networks