Os dispositivos IoT estão sendo implantados em todo o mundo em números recordes. Haverá 41,6 bilhões de dispositivos conectados, gerando 79,4 zetabytes de dados até 2025, de acordo com estimativas do IDC. Em virtude desse crescimento, surge a necessidade do controle de acesso IoT.
Com muitos desses dispositivos executando componentes essenciais da infraestrutura ou coletando, acessando e transferindo informações confidenciais de negócios ou pessoais, a autenticação e o controle de acesso IoT se tornaram ainda mais críticos.
A autenticação do dispositivo IoT é fundamental para garantir que os dispositivos conectados sejam confiáveis como são. Assim, o controle de acesso pode policiar quais recursos podem ser acessados e usados e em que contexto para minimizar o risco de ações não autorizadas.
Os desafios do controle de acesso IoT
Quando se trata de implantar mecanismos de autenticação e Controle de acesso IoT, há muitos aspectos que complicam a tarefa. Isso ocorre porque a maioria dos dispositivos tem capacidade de processamento, armazenamento, largura de banda e energia limitados.
A maioria das técnicas de autenticação e autorização legadas são muito complexas para serem executadas em dispositivos IoT com recursos limitados devido à sobrecarga de comunicação de protocolos de autenticação comuns.
Outro problema é que os dispositivos às vezes são implantados em áreas onde pode ser impossível ou impraticável fornecer segurança física.
Há também uma gama incrivelmente ampla de pilhas de hardware e software em uso a serem consideradas. Isso leva a uma grande quantidade de dispositivos que se comunicam por meio de vários padrões e protocolos – ao contrário dos ambientes de computação mais tradicionais.
Por exemplo, os pesquisadores identificaram pelo menos 84 mecanismos de autenticação diferentes em ambientes de IoT que foram propostos ou colocados em produção em 2019.
A falta de padrões e modelos de controle de acesso específicos de IoT torna mais complexa a tarefa de manter dispositivos e redes seguros.
Abordagens para melhorar o controle de acesso IoT
Qualquer modelo de gerenciamento de acesso centralizado que tente gerenciar milhares de dispositivos IoT implantados em todos os lugares terão suas limitações, nenhuma abordagem será adequada para todos os cenários.
Os fornecedores que buscam desenvolver serviços de controle de acesso IoT descentralizados estão examinando como a tecnologia blockchain pode eliminar problemas causados por sistemas centralizados.
Os administradores de rede e as equipes de segurança devem ficar a par dos desenvolvimentos mais recentes, pois eles podem levar a ofertas de serviços verdadeiramente escalonáveis em um futuro próximo.
Até então, cada dispositivo IoT deve ter uma identidade exclusiva que pode ser autenticada quando o dispositivo tenta se conectar a um gateway ou rede central.
Alguns dispositivos são identificados apenas com base em seu endereço IP ou MAC (controle de acesso à mídia), enquanto outros podem ter certificados instalados.
Mas uma maneira muito superior de identificar qualquer tipo de dispositivo é por meio do aprendizado de máquina.
Para isso, podem ser usados recursos estáticos, além de análises comportamentais, como API, solicitações de serviço e banco de dados para melhor garantir a identidade do dispositivo.
O uso combinado de identidade e comportamento para autenticação também fornece a capacidade de adaptar constantemente as decisões de controle de acesso com base no contexto – mesmo para dispositivos com recursos limitados.
Este modelo de controle de acesso IoT baseado em atributo avalia os pedidos de acesso em relação a uma gama de atributos que classificam o dispositivo, recurso, ação e contexto. Ele também fornece recursos de controle de acesso mais dinâmicos.
A aprovação de ações e solicitações pode ser atualizada em tempo real, com base nas mudanças nos atributos contextuais.
No entanto, requer que os administradores escolham e definam um conjunto de atributos e variáveis para construir um conjunto abrangente de regras e políticas de acesso.
Como o controle de acesso IoT fortalece uma estratégia de segurança
Um forte controle de acesso IoT e tecnologia de autenticação podem ajudar a impedir ataques. Mas é apenas um aspecto importante de uma estratégia de segurança maior e integrada que pode detectar e responder a eventos suspeitos baseados em IoT.
Para que qualquer estratégia de autenticação e controle de acesso funcione, os dispositivos IoT devem estar visíveis. Assim, os procedimentos de gerenciamento de ciclo de vida e inventário de dispositivos críticos precisam ser estabelecidos, bem como a capacidade de escanear dispositivos IoT em tempo real.
Depois que um dispositivo IoT é identificado e autenticado com sucesso, ele deve ser atribuído a um segmento de rede restrito. Lá, ele será isolado da rede de produção principal, que possui controles de segurança e monitoramento configurados especificamente para proteger contra ameaças de IoT e vetores de ataque em potencial.
Dessa forma, se um dispositivo específico for sinalizado como comprometido, a área da superfície exposta é limitada e o movimento lateral é mantido sob controle.
Essas medidas colocam os administradores em uma posição em que podem identificar e isolar os nós comprometidos, bem como atualizar os dispositivos com correções e patches de segurança.
O controle de acesso IoT está mudando seu uso e como a segurança de TI precisa operar. Os fornecedores de segurança ainda estão tentando se atualizar com o tamanho e a complexidade dos ambientes IoT.
De forma ideal, a próxima geração de ofertas de serviço atenderá melhor às demandas de identidade de IoT e gerenciamento de acesso.
Sobre a Eval
A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
