0
0
O mercado de Internet das Coisas (IoT) tem um problema de segurança que está se ebulindo em uma questão de negócios. De acordo com uma pesquisa recente realizada pelo Instituto Ponemon, 59% dos tomadores de decisão de segurança de produtos embarcados dizem que perderam receita devido a preocupações com a segurança do produto.
Os fabricantes de dispositivos conectados estão aumentando a produção para atender à demanda em uma indústria em rápido crescimento. De acordo com McKinsey, o valor de mercado da IoT deve ficar entre US$ 5,5 e 12,6 trilhões até 2030. Isso deixa os fabricantes de IoT precisando de uma estratégia de segurança que possa escalar com o mercado em crescimento. Mas a segurança para dispositivos IoT ainda não é tão madura quanto outros setores.
Os dispositivos IoT são descobertos, fáceis de acessar e mais conectados a sistemas físicos do que nunca. Isso os deixa vulneráveis a atores de ameaças oportunistas, bem como atacantes mais sofisticados do estado-nação que procuram realizar ataques distribuídos de negação de serviço (DDoS), montar botnets e direcionar ataques cibernéticos físicos em ambientes críticos.
A IoT Security Foundation divulgou recentemente um relatório que constatou que apenas 21,6% das empresas têm uma política detectável de divulgação de vulnerabilidades e 78,4% das empresas reprovariam um teste limiar.
Muitos fabricantes de dispositivos lutam para priorizar a segurança do produto sem sacrificar a produção ou incorrer em grandes custos. Na pesquisa da Ponemon, a maioria dos entrevistados diz que luta contra a falta de recursos (62%) e a falta de expertise interna (60%) como principais obstáculos para a expansão dos esforços de segurança do produto. Isso mostra que a segurança ainda não é uma prioridade executiva, e isso está tendo um impacto negativo no mundo real. Enquanto apenas 27% dizem que os líderes de sua empresa exigem uma prova de segurança do produto, 94% dos entrevistados veem um impacto moderado ou alto dos recentes compromissos da cadeia de suprimentos em suas prioridades de segurança.
Os clientes, por sua vez, estão prestando atenção: De acordo com o estudo da Ponemon, 76% dos entrevistados disseram que seus clientes classificam a importância da segurança do dispositivo pelo menos 7 em cada 10. Proteger seus produtos conectados e incorporados é fundamental para se manter competitivo, por isso vamos olhar para estratégias para criar produtos seguros em escala.
Identifique sua linha de base
Você não pode proteger o que você não pode ver. Se você não está ciente de todos os componentes do firmware do dispositivo incorporado – como os 70% dos respondentes da Ponemon que não podem criar uma conta de software de materiais (SBOM) para seus dispositivos – quaisquer esforços de segurança restantes terão um ponto cego significativo.
Encontrar uma linha de base oferecerá uma visão sobre quais vulnerabilidades existem dentro do firmware e lhe dará um ponto de partida à medida que você procura melhorar a postura de segurança do dispositivo. Para muitos fabricantes, o teste de penetração representa uma tática de segurança de base, mas esse tipo de teste é difícil de escalar e impossível de automatizar.
De acordo com um estudo recente, o código comercial de terceiros é agora mais comum do que o código desenvolvido internamente. Os atacantes são mais propensos a explorar vulnerabilidades em componentes amplamente usados do que lançar um ataque sob medida no código de primeira parte. Quando você precisa saber o que está em seus dispositivos sem a cooperação do fornecedor, a análise binária fornece uma excelente estratégia de teste de segurança de linha de base. Descobrir componentes e identificar servidores pingados pelo código em execução em seus dispositivos pode dar-lhe a visibilidade que você precisa para onde seus dados estão indo e qual software está operando em seus dispositivos.
Sem essa linha de base de visibilidade em binários, você poderia permitir grandes falhas de segurança em dispositivos implantados em ambientes críticos. Por exemplo, drones DJI foram encontrados para transmitir informações ao governo chinês, levando à pressão do Pentágono para parar seu uso.
Confira credenciais e certificados
Analisar o firmware para problemas de configuração, incluindo credenciais codificadas, é outro passo importante dentro dos testes do produto. Credenciais codificadas são frequentemente incluídas em dispositivos na fase de configuração, depois que os testes de segurança já foram concluídos em algumas empresas. Essas credenciais, na pior das hipóteses, podem oferecer acesso raiz até mesmo a um atacante de baixo esforço e oportunista.
Alguns riscos de produtos não vêm de atacantes, mas de questões legais. Garantir que os certificados de segurança estejam atualizados também é fundamental antes da implantação. Se um certificado expirar e o firmware não souber procurar um atualizado, ele poderá desativar o dispositivo.
Atender aos padrões de conformidade
Embora ninguém possa garantir um dispositivo impenetrável, é imperativo que os fabricantes de dispositivos priorizem as salvaguardas à medida que acompanham a demanda do produto. Isso não só vai longe
para proteger seu produto, mas se você puder demonstrar seus esforços de mitigação de riscos, ele ajudará a colocar seus clientes à vontade.
Uma rota para fornecer as garantias que os clientes precisam: conformidade voluntária com normas e orientação. O Instituto Nacional de Normas e Tecnologia (NIST) publicou critérios de segurança de linha de base para dispositivos de IoT do consumidor em agosto e quatro documentos em dezembro passado com mais orientação.
Há também uma rede de organizações reguladoras privadas para diferentes setores como automotivo, aviação, saúde e tecnologia da informação. Esses Centros de Compartilhamento e Análise de Informações (ISACs) oferecem aos seus membros ferramentas para mitigar riscos e aumentar a resiliência.
Enquanto a NIST deve revelar um programa de rotulagem em 2022 para resolver as preocupações de segurança da IoT, os fabricantes podem seguir as orientações existentes e oferecer aos clientes uma janela em seu processo de segurança para oferecer paz de espírito antes que esse padrão se torne lei.
As motivações para a adoção de orientação dessas organizações vão desde a confiança do produto até a receita. Ao identificar o que está nos dispositivos e testar esses componentes, os fabricantes podem priorizar a segurança de seus dispositivos à medida que cresce a pressão para atingir os prazos de produção.
FONTE: HELPNET SECURITY