A IoT (Internet das Coisas) está agitando o espaço de rede e abrindo caminho para a comunicação máquina a máquina (M2M) e processos automatizados. De carros conectados e casas inteligentes a cirurgia remota e robótica, a oportunidade e o potencial são infinitos.
Números recentes indicam que há cerca de 8,4 bilhões de dispositivos de IoT em uso, e espera-se que o número chegue a mais de 20 bilhões até 2020. Hoje, a IoT abrange um vasto escopo tecnológico e sua implantação ocorre de muitas formas. Os principais entre eles são os casos de uso gerenciados da Internet Industrial das Coisas (IIoT) e os casos de uso não gerenciados da Internet das Coisas do Consumidor (CIoT).
Embora a IIoT possa parecer extremamente complexa, o gerenciamento de segurança é, na verdade, facilmente alcançável. A chave aqui é uma solução que controle o fluxo de tráfego entre os dispositivos e os aplicativos, garantindo o melhor serviço da categoria e assegurando a conformidade do protocolo. Também é crucial proteger as comunicações por meio de criptografia (TLS) e serviços de segurança com estado (policiamento e proteção contra vulnerabilidades).
Um desafio importante na implantação da IIoT são as características mutáveis das métricas de tráfego. Os dispositivos IIoT são numerosos, as sessões são longas (meses ou até anos) e o volume de tráfego geralmente é muito baixo. Encerrar sessões ociosas nem sempre é uma opção. Na verdade, a natureza “sempre ativa” de alguns aplicativos pode resultar em uma tempestade de tráfego na rede.
Os dispositivos CIoT, que geralmente não são gerenciados, incluem coisas como câmeras de CFTV, sistemas de alto-falantes inteligentes e dispositivos vestíveis. Ao ficar atrás de um CPE de assinante de banda larga móvel ou de linha fixa, pode ser difícil identificar esses dispositivos na rede, pois os relacionamentos de comunicação não são claramente definidos.
O problema é acentuado pelo fato de que muitos dispositivos inteligentes são construídos em chipsets baratos que fornecem a pilha de protocolos de rede e, ocasionalmente, uma camada de aplicação. Os fabricantes geralmente evitam fornecer patches e, às vezes, até mesmo isentam-se de toda responsabilidade quando o dispositivo é enviado. Isso pode causar interrupções significativas. De acordo com o último Relatório de Inteligência de Ameaças do F5 Labs, a Europa já é um ponto crítico para os Thingbots, que são criados exclusivamente a partir de dispositivos de IoT e estão rapidamente se tornando o sistema de entrega de armas cibernéticas preferido por invasores ambiciosos que criam botnets.
O F5 Labs relatou 30,6 milhões de ataques globais de Thingbot entre 1º de janeiro e 30 de junho de 2017, aproveitando dispositivos que usam Telnet, um protocolo de rede que fornece uma interface de linha de comando para comunicação com um dispositivo. Isso representa um aumento de 280% em relação ao período de relatório anterior, de 1º de julho a 31 de dezembro de 2016. Os provedores de hospedagem representaram 44% dos 50 principais endereços IP de ataque, com 56% provenientes de fontes de ISP/telecomunicações.
Apesar do aumento, as atividades de ataque não são equivalentes ao tamanho dos principais culpados pelos Thingbots, Mirai e Persirai. 93% dos ataques durante o período de relatório da F5 ocorreram em janeiro e fevereiro, com a atividade diminuindo de março a junho. Isso pode indicar que novos ataques estão no horizonte, à medida que os invasores passam da fase de “reconhecimento” para a fase de “somente construção”.
Infelizmente, continuaremos a ver Thingbots enormes sendo construídos até que os fabricantes de IoT sejam forçados a proteger esses dispositivos, recolher produtos ou ceder à pressão de compradores que simplesmente se recusam a comprar esses dispositivos vulneráveis.
Nesse contexto, os provedores de serviços enfrentam o desafio não apenas de identificar atividades de infecção, mas também de mitigar ataques DoS de saída.
As regras tradicionais de firewall das Camadas 3 e 4 não ajudam mais tanto. Uma análise comportamental robusta do tráfego agora é essencial. Dessa forma, os dispositivos de segurança aprendem a linha de base de rede “normal” ao longo do tempo. Uma vez detectado um desvio, uma variedade de atividades são iniciadas. Isso pode incluir a criação de um alerta, que acionaria um processo de mitigação manual após verificação humana, ou a criação de uma assinatura dinâmica para tecnologias de mitigação existentes para bloquear anomalias detectadas.
Redes de autodefesa são parte integrante da arquitetura de segurança do futuro. Enquanto isso, organizações responsáveis podem fazer o melhor para se proteger, implementando uma estratégia de DDoS , garantindo redundância para serviços críticos e implementando soluções de preenchimento de credenciais. Também é importante educar continuamente os funcionários sobre os perigos potenciais dos dispositivos de IoT e como usá-los com segurança.