Cada vez mais percebemos o quanto a Internet das Coisas (IoT) está presente no dia a dia das pessoas e empresas. Por ser um cenário em desenvolvimento, sem padrões ou frameworks definidos, as “coisas” são desenvolvidas sem levar em consideração os mínimos aspectos de segurança. Aplicar recursos de segurança como criptografia built-in é inviável, pois seu processamento deteriora o desempenho geral dos dispositivos e aumenta o uso de banda.
As características de arquitetura dos dispositivos não poderão ser modificadas rapidamente e, por isso, devemos aplicar sobre a IoT algumas técnicas desenvolvidas para a computação e gestão de segurança tradicional.
Abaixo estão seis conceitos que você precisa saber sobre segurança de IoT:
Mude senhas padrão
Todos os fabricantes configuram usuários e senhas padrão em seus dispositivos para facilitar a configuração. Seja ele um roteador ou uma câmera IP, credenciais únicas estão incluídas em todos os dispositivos e são publicadas pelos fabricantes, podendo ser facilmente encontradas com uma busca na web. Essas credenciais iniciais não devem seguir em hipótese nenhuma para um ambiente de produção. Um hacker pode facilmente obter acesso ao dispositivo e rede ao qual ele está conectado.
Feche portas não utilizadas
As comunicações entre dispositivos em rede sempre ocorrem através de portas de comunicação que, por padrão, estão abertas. Aplicações de internet, e-mail, chat, jogos, todas utilizam portas específicas que podem ser exploradas por hackers para comprometer suas redes e comunicações. Você deve configurar os seus dispositivos para fechar toda e qualquer porta de comunicação que não esteja em uso, isso torna mais difícil o acesso indevido para sua rede.
Não armazene informações em “plain text”
A maioria das aplicações tem a necessidade de armazenar informações em memória. Seja o perfil de um usuário, um conjunto de configurações ou mesmo uma chave para restaurar a conexão. Em qualquer um dos casos, tenha a certeza de que os dados armazenados são criptografados. Outra boa medida é somente armazenar os dados que são realmente necessários, se o seu negócio não precisa de dados de localização do usuário, por exemplo, por que guardá-los?
Adicione segurança às conexões
Como falamos, o hardware utilizado nos dispositivos IoT é limitado e não pode lidar com recursos de segurança como criptografia de dados. Assim é necessário adicionar recursos avançados às redes onde as informações trafegam e às quais as “coisas” se conectam. Gateways com detecção de intrusão, firewalls e controle de acesso podem ser implementados para limitar o tráfego e conexões indevidas. A monitoria automatizada do tráfego vai determinar se há algum comportamento de rede inconsistente e que possa identificar uma ameaça digital.
Autenticação de dispositivos
Os dispositivos de IoT não contam com usuários que possam digitar credenciais para se conectar à rede toda vez que são iniciados. A autenticação deve estar configurada para acontecer nos pontos de interconexão, nos nós entre uma rede e outra. Através de autenticação automática com base em endereços MAC, pode-se garantir que somente um dispositivo autorizado tenha acesso aos dados e à rede daquele ambiente. A criação de um sistema nervoso digital para nossas casas, bairros e cidades, e a consolidação da Internet das Coisas ainda depende de padronização de protocolos de comunicação e redes de comunicação, mas tem que ter a segurança da informação embutida desde a criação da arquitetura de hardware e software até a interconexão de diferentes ambientes. É necessário que se pense na segurança da IoT como um todo. O conceito básico da tecnologia é a descentralização das fontes de dados e a oferta de informações de pessoas ou locais sem realmente saber quem estará encarregado de analisá-las e, por isso, a preocupação com a segurança de identidades, dos processos controlados pelas “coisas” e do tráfego de informação deve ser considerado o aspecto mais crítico dessa revolução.
Atualize dispositivos
Dispositivos IoT são criados para funcionar por um longo período de tempo e não é novidade para ninguém que novos exploits, falhas de segurança e ameaças são e serão descobertos todos os dias. Para manter as redes de comunicação e as “coisas” protegidas, você deve ser capaz de atualizar sistemas operacionais, protocolos e bibliotecas de criptografia em todos os ambientes, inclusive aqueles em produção. Essa tarefa pode ser feita manualmente, mas para não transformar a atividade em um pesadelo e realizá-la com eficiência, você deve implementar um gerenciamento de vulnerabilidades automatizado que rastreie seu ambiente e procure pela necessidade de patches e atualizações continuamente.
Fontes consultadas: Blockbit
Imagens: Blockbit
Texto: Blockbit
