Reduzir ameaças de dispositivos IoT corporativos requer ferramentas de monitoramento, teste de vulnerabilidade de software e medidas de segurança de rede, incluindo segmentação de rede. Por conta disso, é fundamental traçar estratégias de segurança IoT nas empresas.
O Freeman Health System tem cerca de 8.000 dispositivos médicos conectados em suas 30 instalações em Missouri, Oklahoma e Kansas. Muitos desses dispositivos têm o potencial de se tornar mortais a qualquer momento. “Esse é o cenário apocalíptico que todo mundo teme”, diz Skip Rollins, CIO e CISO da cadeia de hospitais.
Rollins adoraria poder escanear os dispositivos em busca de vulnerabilidades e instalar software de segurança neles para garantir que não sejam invadidos. Mas ele não pode.
“Os fornecedores neste espaço são muito pouco cooperativos”, diz ele. “Todos eles têm sistemas operacionais e ferramentas proprietárias. Não podemos escanear esses dispositivos, nem colocar software de segurança nesses dispositivos. Ou seja, não podemos ver nada do que eles estão fazendo. E os fornecedores os entregam intencionalmente dessa maneira. “
Os fornecedores alegam que seus sistemas não podem ser hackeados, diz ele. “E dizemos: ‘Vamos colocar isso no contrato’. E eles não o farão.” Trata-se de um sério risco à segurança de IoT nas empresas.
Provavelmente porque os dispositivos podem estar repletos de vulnerabilidades. De acordo com um relatório divulgado no início deste ano pela empresa de segurança cibernética Cynerio, 53% dos dispositivos médicos têm pelo menos uma vulnerabilidade crítica. Por exemplo, os dispositivos geralmente vêm com senhas e configurações padrão que os invasores podem encontrar facilmente online ou estão executando versões antigas e sem suporte do Windows.
Aumento de ataques
E os hackers não estão dormindo. De acordo com a pesquisa da Ponemon divulgada no outono passado, os ataques à IoT ou dispositivos médicos representaram 21% de todas as violações de assistência médica. Ou seja, a mesma porcentagem dos ataques de phishing.
Como outros provedores de assistência médica, a Freeman Health Systems está tentando fazer com que os fornecedores de dispositivos levem a segurança de IoT mais a sério nas empresas, mas, até agora, não foi bem-sucedida. “Nossos fornecedores não trabalham conosco para resolver o problema”, diz Rollins. “É o modelo de negócios deles.”
Como resultado, existem dispositivos instalados em áreas acessíveis ao público, alguns com portas USB acessíveis, conectados a redes e sem como abordar diretamente os problemas de segurança.
Com orçamentos apertados, os hospitais não podem ameaçar os fornecedores de que eles se livrarão de seus dispositivos antigos e os substituirão por novos, mesmo que existam alternativas mais novas e seguras disponíveis. Então, em vez disso, a Freeman Health usa estratégias de mitigação baseadas em rede e outras soluções alternativas para ajudar a reduzir os riscos.
“Monitoramos o tráfego entrando e saindo”, diz Rollins, usando uma ferramenta de monitoramento de tráfego da Ordr. As comunicações com locais suspeitos podem ser bloqueadas por firewalls e o movimento lateral para outros sistemas hospitalares é limitado pela segmentação da rede.
“Mas isso não significa que o dispositivo não possa ser comprometido enquanto cuida do paciente”, diz ele.
Problemas complexos
Para complicar ainda mais, impedir que esses dispositivos se comuniquem com, digamos, outros países, pode impedir que atualizações críticas sejam instaladas.
“Não é nada incomum que os dispositivos cheguem à China, Coréia do Sul ou mesmo à Rússia porque os componentes são fabricados em todas essas áreas do mundo”, diz ele.
Rollins diz que não está ciente das tentativas de prejudicar fisicamente as pessoas hackeando seus dispositivos médicos na vida real. “Pelo menos hoje, a maioria dos hackers está procurando um dia de pagamento, não ferir as pessoas”, diz ele. Mas um ataque de estado-nação semelhante ao ataque cibernético da SolarWinds, que visa dispositivos médicos, tem o potencial de causar uma quantidade incalculável de danos.
“A maioria dos dispositivos médicos está conectada de volta a um dispositivo central, em um tipo de rede hub-and-spoke”, diz ele. “Se eles comprometessem essas redes, isso comprometeria as ferramentas que usamos para cuidar de nossos pacientes. Essa é uma ameaça real.”
Luta pela visibilidade da IoT
O primeiro desafio da segurança IoT é identificar quais dispositivos estão presentes no ambiente corporativo. Mas os dispositivos geralmente são instalados por unidades de negócios ou funcionários individuais e estão sob a alçada de operações, edifícios e manutenção e outros departamentos.
Muitas empresas não têm uma única entidade responsável pela segurança dos dispositivos IoT. Portanto, nomear alguém é o primeiro passo para controlar o problema, diz Doug Clifton, que lidera os esforços de OT e TI para as Américas na Ernst & Young. Essa é, na verdade, a melhor coisa a fazer para a segurança IoT nas empresas
O segundo passo é realmente encontrar os dispositivos. De acordo com Paddy Harrington, analista da Forrester, vários fornecedores oferecem varreduras de rede para ajudar as empresas a fazer isso. Equipamentos da Checkpoint, Palo Alto e outros podem executar verificações passivas continuamente e, quando novos dispositivos são detectados, aplicar automaticamente políticas de segurança a eles. “Não vai resolver tudo”, diz ele, “mas é um passo na direção certa.”
Ainda assim, alguns dispositivos não se enquadram perfeitamente em categorias conhecidas e são difíceis de direcionar. “Existe uma regra 80-20”, diz Clifton. “Oitenta por cento dos dispositivos podem ser coletados pela tecnologia. Para os outros 20%, é necessário algum trabalho investigativo.”
As empresas que ainda não possuem uma ferramenta de verificação de IoT devem começar conversando com os fornecedores de segurança com os quais já trabalham, diz Harrington. “Veja se eles têm uma oferta. Pode não ser o melhor da categoria, mas ajudará a preencher a lacuna e você não precisará ter uma tonelada de nova infraestrutura.”
Como acompanhar dispositivos IoT?
As empresas normalmente usam planilhas para acompanhar os dispositivos IoT, diz May Wang, CTO de Palo Alto para segurança IOT. Cada área do negócio pode ter sua própria lista. “Quando vamos a um hospital, obtemos uma planilha do departamento de TI, do departamento de instalações e do departamento de dispositivos biomédicos – e todas as três planilhas são diferentes e mostram dispositivos diferentes”, diz ela.
E quando Palo Alto executa uma varredura dos ambientes, essas listas geralmente ficam aquém – às vezes em mais de uma ordem de grandeza. Muitos são dispositivos mais antigos, diz Wang, instalados antes que os dispositivos IoT fossem reconhecidos como ameaças à segurança. “A segurança de rede tradicional não vê esses dispositivos”, diz ela. “E as abordagens tradicionais para proteger esses dispositivos não funcionam.”
Entretanto, as empresas não podem aplicar políticas de segurança de endpoint ou gerenciamento de vulnerabilidades aos dispositivos até que todos sejam identificados. A Palo Alto agora inclui detecção de dispositivos IoT com aprendizado de máquina integrada em seu firewall de última geração.
Assertividade é a chave
“Podemos dizer que tipo de dispositivos você tem, que tipo de hardware, software, sistemas operacionais, quais protocolos você está usando”, diz Wang. Os sistemas Palo Alto não podem detectar e obter informações completas em cada dispositivo. “Para alguns deles, pode não ser tão detalhado, mas podemos obter mais informações para a maioria dos dispositivos. Isso fornece visibilidade para a descoberta de dispositivos.”
Dependendo de como a tecnologia é implantada, a Palo Alto também pode selecionar dispositivos com base em suas comunicações laterais internas e sugerir ou implementar automaticamente políticas de segurança para dispositivos recém-descobertos.
Quando os dispositivos IoT usam comunicações celulares, isso cria um problema maior. “Muitos dispositivos IoT são 5G e isso se tornará um problema ainda maior”, diz ela. “Temos uma divisão trabalhando em segurança 5G. Isso definitivamente oferece mais desafios.”
Perscrutando dentro da IoT
Depois que os dispositivos IoT são descobertos e inventariados de forma confiável, eles precisam ser gerenciados e protegidos com o mesmo rigor que outros dispositivos de rede. Isso requer gerenciamento de configuração, verificação de vulnerabilidade, monitoramento de tráfego e outros recursos.
Mesmo um dispositivo que não esteja conectado a uma rede externa pode se tornar um ponto de parada intermediário ou um esconderijo para um determinado invasor que se desloca lateralmente pela empresa.
Marcos Marrero, CISO do H.I.G. Capital, enfrentou exatamente esse dilema há um ano.
H.I.G. é uma empresa de investimento global com mais de $ 50 bilhões de capital sob gestão e 26 escritórios em quatro continentes. A empresa possui centenas de dispositivos em suas redes, como câmeras, dispositivos de segurança física e sensores que monitoram temperatura, umidade e energia dentro de suas salas de informática. A segurança de IoT nas empresas “é um grande problema”, diz Marrero. “E está em constante evolução e ficando maior.”
Como uma empresa financeira, H.I.G. é extremamente preocupado com a segurança, com a equipe de segurança supervisionando todos os dispositivos instalados em suas redes. “Bata na madeira, não encontramos nenhuma IoT desonesta em nosso ambiente”, diz Marrero.
Mas ser capaz de localizar dispositivos é apenas o começo da jornada. “Depois há a visibilidade de vulnerabilidades e configurações”, diz ele.
Verificação de vulnerabilidade
Cerca de um ano atrás, Marrero executou uma verificação de vulnerabilidade em um dos dispositivos de alerta da sala e encontrou portas abertas que não exigiam autenticação. A empresa contatou o fabricante e conseguiu instruções sobre como endurecer o dispositivo. “Mas tivemos que pedir – não foi uma informação que nos foi dada logo de cara”, diz ele.
E a varredura de vulnerabilidade que a empresa executou apenas examinou o dispositivo de fora, diz ele, encontrando portas abertas e tipo de sistema operacional, mas pouco mais. “Há toda uma série de vulnerabilidades no software de código aberto usado nesses dispositivos”, diz ele.
Para resolver o problema, H.I.G. virou-se para uma ferramenta de varredura de firmware da Netrise.
“Fizemos uma prova de conceito e carregamos uma das imagens de firmware, e ela nos devolveu todos esses dados de vulnerabilidade e outras informações”, diz ele. “Isso é o que selou para nós.”
Carregar as imagens foi um processo manual que levou alguns minutos por imagem. Como havia muitos dispositivos duplicados do mesmo tipo, a empresa teve que carregar menos de 20 imagens no total. Como resultado das varreduras, o inventário de vulnerabilidades da empresa aumentou em 28%.
“Não tínhamos ideia de que eles existiam em nosso ambiente”, diz ele. “Sim, nossa tendência de vulnerabilidade teve um pico. Contudo, metade da batalha é saber que você tinha essas vulnerabilidades em primeiro lugar.”
De quem é a responsabilidade?
Depois que as vulnerabilidades foram descobertas, H.I.G. contatou os fornecedores de dispositivos e tomou outras medidas de mitigação. “Pode ser derrubar o dispositivo se for muito perigoso e representar um risco muito grande para o nosso ambiente”, diz ele, “ou camadas de controles adicionais em torno dele”.
Por exemplo, alguns dispositivos foram segmentados na rede, com listas de controle de acesso para limitar quais outros sistemas e usuários poderiam acessar aquele dispositivo. “Por exemplo, uma câmera de segurança só pode se comunicar com ativos de tecnologia compatíveis com esse dispositivo”, diz ele. “Isso limita o risco de qualquer exploração negativa.”
Em seguida, todas as futuras atualizações de firmware são executadas por meio da ferramenta Netrise antes de serem implantadas, caso o fabricante tenha introduzido novas vulnerabilidades.
Outras políticas de gerenciamento de IoT que a empresa implementou incluem triagem de segurança durante as decisões iniciais de compra.
“Antes de adquirirmos novos ativos, garantimos que eles tenham algum nível de registro que possamos enviar para nosso ambiente de registro centralizado”, diz ele, referindo-se ao sistema de informações de segurança e gerenciamento de eventos (SIEM) da empresa. “O que nosso SIEM faz é pegar todos os diferentes logs que enviamos para ele e correlacioná-los para reduzir o nível de alertas falsos.”
Ocasionalmente, a empresa se depara com dispositivos com níveis muito imaturos de registro, diz ele. “E eu tive que dizer: ‘Não vamos comprar isso’.”
Monitoramento e supervisão
Uma vez identificados todos os dispositivos, categorizados por risco e, na medida do possível, corrigidos e atualizados, o próximo passo é criar uma estrutura de monitoramento em torno daqueles com potencial para causar mais danos à empresa. Isso é fundamental para a segurança de IoT nas empresas.
Em alguns casos, as empresas podem instalar o software de proteção de endpoint nos próprios dispositivos IoT para protegê-los contra ataques mal-intencionados, monitorar configurações, garantir que sejam totalmente corrigidos e monitorar atividades incomuns. Isso pode não ser possível para alguns dispositivos mais antigos ou proprietários, como equipamentos médicos.
Quando os dispositivos se conectam a uma rede corporativa, essas comunicações podem ser monitoradas quanto a atividades suspeitas.
Pela primeira vez, as empresas estão dando uma pausa nesse aspecto da segurança da IoT. De acordo com Palo Alto, 98% do tráfego IoT não é criptografado. Além disso, os dispositivos IoT normalmente fazem a mesma coisa repetidamente.
“Pegue um termostato, por exemplo”, diz Wang, de Palo Alto. “Ele deve apenas enviar a temperatura e pronto. Não deve se comunicar com outros servidores. Isso é bom – torna mais fácil para os modelos de IA criar uma linha de base de comportamento.”
IoT e o futuro de confiança zero
À medida que as empresas mudam para arquiteturas de confiança zero, é importante não esquecer os dispositivos conectados.
Princípios de confiança zero e segurança por design devem ser usados para proteger dispositivos e aplicativos associados. Isso começa com controles de proteção, como identificação e autenticação de dispositivos, bem como atualizações de dispositivos confiáveis com resistência a violação da cadeia de suprimentos, diz Srinivas Kumar, vice-presidente de soluções de IoT da fornecedora de segurança DigiCert. As comunicações também precisam ser seguras, acrescenta.
Uma das organizações do setor que trabalha na proteção de dispositivos IoT criando padrões de autenticação e criptografia é a WI-SUN, fundada há cerca de 10 anos para se concentrar especificamente em dispositivos usados por serviços públicos, cidades inteligentes e agricultura.
As medidas de segurança incorporadas aos padrões WI-SUN incluem certificados para autenticação de dispositivos quando eles se conectam a uma rede, criptografia para garantir que todas as mensagens sejam privadas e uma verificação de integridade da mensagem para evitar ataques man-in-the-middle.
As crescentes tensões geopolíticas significam que proteger esses medidores – e outros dispositivos essenciais para operações de infraestrutura crítica – é cada vez mais urgente. “Se você tiver sensores de verificação de integridade estrutural em uma ponte ou linha férrea e alguém aparecer e bloquear todos os sensores, você teria que fechar a cidade e isso causaria uma enorme confusão”, diz WI-SUN presidente e CEO Phil Beecher.
Impactos imprevistos
E isso é apenas o começo, diz David Nosibor, líder de soluções de plataforma e chefe do projeto SafeCyber na UL Solutions, anteriormente UL. “Desde interrupções nas cadeias de suprimentos até perda de alimentos, água ou energia, esses impactos podem se estender muito além das organizações afetadas”, diz ele.
Enquanto isso, os invasores estão ficando cada vez mais sofisticados, diz ele, e há escassez de especialistas em segurança cibernética na força de trabalho. Além disso, além de tudo isso, há uma onda de regulamentações chegando à medida que os legisladores acordam para os riscos.
“Esses desafios estão interligados”, diz Nosibor. “E muitas organizações, infelizmente, lutam para acompanhar a complexidade.”
Uma forma de inventariar seus dispositivos é contratando uma empresa de TI. Assim, você libera sua equipe para atuar no core business ao mesmo tempo em que a segurança da sua empresa fica em dia.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.