Como proteger dispositivos de IoT: Requisitos de segurança de IoT

Os principais requisitos para qualquer solução de segurança de IoT são:

• Dispositivo IoT e segurança de dados, incluindo autenticação dos dispositivos e confidencialidade e integridade dos dados
• Implementação e execução de operações de segurança na escala da IoT
• Atendimento aos requisitos e solicitações de conformidade
• Atendimento às exigências de desempenho conforme o caso de uso

As soluções de segurança de IoT precisam implementar os blocos funcionais listados abaixo como módulos interconectados, não isolados, para atender à escala, segurança de dados, confiança no dispositivo e requisitos de conformidade de IoT.

• Confiança do dispositivo IoT: Estabelecimento e gerenciamento da identidade e integridade do dispositivo
• Confiança dos dados IoT: Segurança de dados holística, orientada por políticas, privacidade desde a criação até o consumo
• Operacionalizando a confiança: Automatização e interface com as tecnologias/produtos baseados em normas e comprovados. Por exemplo, produtos de PKI.

Para participar com segurança da IoT, cada dispositivo conectado precisa de uma identificação exclusiva, mesmo antes de ter um endereço IP. Esta credencial digital estabelece a raiz de confiança para todo o ciclo de vida do dispositivo, do projeto inicial à implantação e a desativação.

A Entrust usa módulos de segurança de hardware (HSMs) nShield, combinados com o suporte a aplicativos de segurança dos parceiros de tecnologia da Entrust, para permitir que os fabricantes forneçam a cada dispositivo uma ID exclusiva utilizando o processamento criptográfico, a proteção de chaves e o gerenciamento de chaves mais fortes disponíveis. Um certificado digital é injetado em cada dispositivo para ativar:

• Autenticação de cada dispositivo introduzido na arquitetura da organização
• Verificação da integridade do sistema operacional e das aplicativos no dispositivo
• Comunicações seguras entre dispositivos, gateway e nuvem
• Atualizações autorizadas de software e firmware, com base em código aprovado

Diversas organizações desenvolveram diretrizes de segurança para a IoT. Isso inclui:

• As “Best Practice Guidelines” da IdC Security Foundation
• O “Security Guidance” do Open Web Application Security Project (OWASP)
• As “GSMA IoT Security Guidelines & Assessment” do Groupe Spéciale Mobile Association (GSMA)
• A Special Publication 800-160 (o “Guidance”) sobre a implementação da segurança em dispositivos de Internet das Coisas (“IoT”) do U.S. Department of Commerce National Institute of Standards and Technology (NIST)
• "Future Proofing the Connected World: 13 Step to Developing Secure IoT Products" da Cloud Security Alliance (CSA)

Uma forte autenticação do dispositivo IoT é necessária para garantir que os dispositivos conectados na IoT possam ser confiáveis para ser o que eles pretendem ser. Consequentemente, cada dispositivo IoT precisa de uma identidade única que possa ser autenticada quando o dispositivo tentar se conectar a um gateway ou servidor central. Com esse ID exclusivo instalado, os administradores de sistema de TI podem rastrear cada dispositivo ao longo de seu ciclo de vida, comunicar-se com segurança com ele e evitar que ele execute processos prejudiciais. Se um dispositivo exibir um comportamento inesperado, os administradores podem simplesmente revogar seus privilégios.

Os dispositivos IoT produzidos por meio de processos de manufatura inseguros fornecem aos criminosos oportunidades de alterar as execuções de produção para introduzir códigos não autorizados ou produzir unidades adicionais que são posteriormente vendidas no mercado negro.

Uma maneira de proteger os processos de fabricação é usar módulos de segurança de hardware (HSMs) e software de segurança de suporte para injetar chaves criptográficas e certificados digitais e controlar o número de unidades construídas e o código incorporado em cada uma delas.

Para proteger empresas, marcas, parceiros e usuários do software que foi infectado por malware, os desenvolvedores de software adotaram a assinatura de código. Na IoT, a assinatura do código no processo de lançamento do software garante a integridade das atualizações de software e firmware do dispositivo IoT, e defende contra os riscos associados à adulteração do código do software IoT ou código que se desvie das políticas organizacionais.

Na criptografia de chave pública, a assinatura de código é um uso específico de assinaturas digitais baseadas em certificados que permite a uma organização verificar a identidade do editor do software e certificar que o software não foi alterado desde que foi disponibilizado.

Hoje existem mais coisas (dispositivos) on-line do que pessoas no planeta! Os dispositivos são os usuários número um da Internet e precisam de identidades digitais para uma operação segura. Como as empresas buscam transformar seus modelos de negócios para se manterem competitivas, a rápida adoção das tecnologias IoT está criando uma crescente demanda pela infraestrutura de chave pública da Internet das Coisas (PKI da IoT). As PKIs fornecem certificados digitais para o número crescente de dispositivos e o software e firmware que eles executam.

As implantações seguras de IoT exigem não apenas confiar que os dispositivos sejam autênticos e sejam o que dizem ser, mas também confiar que os dados coletados sejam reais e não alterados. Se não se pode confiar nos dispositivos IoT e nos dados, não há sentido em coletar, executar análises e tomar decisões com base nas informações coletadas.

A adoção segura da IoT exige:

• Permitir a autenticação mútua entre aplicativos e dispositivos conectados
• Manter a integridade e a confidencialidade dos dados coletados pelos dispositivos
• Assegurar a legitimidade e integridade do software baixado em dispositivos
• Preservar a privacidade de dados sensíveis à luz de regulamentos de segurança mais rígidos