Acho que é seguro dizer que estamos universalmente encantados com a tecnologia. O mundano é transformado em mágico pela mera introdução da tecnologia. A novidade passa depois de um tempo, é claro, mas então surge alguma outra tarefa que se tornou controlável por meio de um dispositivo ou telefone e o ciclo começa novamente.
A realidade é que a maioria das pessoas não gerencia seus (cada vez maiores) dispositivos da mesma forma que a TI gerencia os sistemas. Nem mesmo o pessoal da TI. Lembra daquela pesquisa da Tripwire que descobriu que “trinta por cento dos profissionais de TI e 46% dos trabalhadores entrevistados nem sequer alteram a senha padrão em seus roteadores sem fio”? Isso é um pouco mais alto do que uma pesquisa que descobriu que "quarenta por cento dos americanos disseram que eram muito preguiçosos, achavam isso muito inconveniente ou não se importavam muito..."5 em seguir recomendações básicas de segurança.
Não é de se surpreender, então, que, quando perseguidos por profissionais de segurança e criticados pela imprensa especializada, pelo menos os fabricantes de IoT voltados para o consumidor pareçam estar se esforçando mais. Atualizações automáticas, patches e hotfixes podem ser transmitidos regularmente para dispositivos conectados com a simplicidade de uma caixa de seleção.
Os consumidores, pelo menos, estão cedendo o controle aos fabricantes que prometem manter seus dispositivos protegidos contra invasores.
Agora, esse é o espaço do consumidor . Até agora, esse tipo de comportamento parece estar fora dos limites nas empresas, mesmo quando se trata de dispositivos de IoT. Certamente as empresas continuarão a manter o controle sobre essas coisas no futuro próximo. Afinal, o raio de explosão de uma atualização que deu errado é bem significativo dentro do data center.
Só que isso não é escalável, e sabemos muito bem, por meio de nossas próprias pesquisas e da observação do Shodan.io, que uma porcentagem bastante alta de dispositivos de IoT dentro de organizações não só estão expostos à Internet, mas também vulneráveis.
E se eles estiverem vulneráveis, isso significa que deve haver (talvez haja?) um patch disponível. Mas se ambas as coisas fossem verdadeiras, não veríamos menos dispositivos disponíveis para recrutamento como um thingbot ?
Dado um estudo da IDC de dois anos atrás que estimou que patches, atualizações e instalações consumiam 20,7% da semana para um funcionário médio de TI, não parece possível que eles consigam escalar — mesmo com automação — para gerenciar a previsão de duplicação de dispositivos (de 9.259 dispositivos hoje para 18.631 ) nos próximos dois anos.
Então, qual é o negócio a ser feito?
A questão que precisamos responder é: devemos incentivar os fabricantes a irem além e atualizarem automaticamente seus dispositivos que residem dentro da empresa? Porque é meio injusto culpá-los sem reconhecer que a fadiga dos patches e a falta de pessoal podem estar impedindo que esses patches sejam aplicados em primeiro lugar. Como observou outra pesquisa interessante do Tripwire , “ Em 2015, mais de 6.000 novos CVEs foram atribuídos. Se apenas um décimo dessas vulnerabilidades afetasse dispositivos em sua área de responsabilidade, você seria responsável por resolver 630 vulnerabilidades anualmente ou 2,5 vulnerabilidades a cada dia útil. ”
São muitas vulnerabilidades a serem abordadas. Muitos, um número correspondente de patches.
Infelizmente, só porque um patch foi lançado não significa que ele será aplicado imediatamente. Conforme observado pela pesquisa Tripwire, “ Um componente-chave que afeta a quantidade de tempo necessária para implantar patches é o teste. Foi perguntado aos entrevistados se eles testaram patches antes da implantação, e 47% disseram que fizeram isso para desktops e 55% para servidores .” Quando você analisa os detalhes sobre quanto tempo realmente leva para colocar um patch de segurança em produção, você encontrará alguns dados alarmantes. Ou seja, 93% dos entrevistados têm seus patches de segurança testados e implantados em menos de um mês.
Nada mal, dado o número de sistemas e vulnerabilidades correspondentes com os quais uma empresa de médio a grande porte típica está lidando.
Mas considere por um momento que quando o CVE-2017-8225 – que afeta um único fabricante chinês de câmeras IP – foi anunciado, levou menos de dois meses para que mais de 600.000 câmeras fossem infectadas com Persirai . Isso representa 10 mil dispositivos por dia. O que significa que um mês é um mês muito longo. E essa era apenas uma vulnerabilidade.
À medida que a IoT invade as empresas na forma de mais sensores e monitores e quem sabe o que está acessível e muitas vezes vulnerável, como a TI acompanha? Pode ele consegue acompanhar, mesmo com a automação do seu lado?
Então minha pergunta é: você faria isso? Você cederia o controle sobre os dispositivos de IoT se (e eu sei que isso é um grande "se", mas vamos lá para fazer descobertas) os fabricantes se apresentassem e assumissem mais responsabilidade pela manutenção da segurança de seus dispositivos?
Você pode responder a essa pergunta (e ver o que seus colegas pensam) aqui . Vá em frente, fale!