Como o mercado de IoT abre novas superfícies de ataques nas empresas

Embora a internet das coisas seja uma tendência inevitável e útil em determinados casos, é preciso tomar cuidado para não transformar sua adoção em um verdadeiro pesadelo; falta de visibilidade e uso de dispositivos mal-configurados são riscos frequentes

Se há um mercado que cresceu rapidamente ao longo dos últimos anos e deve continuar apresentando uma evolução constante é o de internet das coisas (do inglês Internet of Things ou IoT). Somos cada vez mais bombardeados com gadgets que, até então, eram considerados simples, mas que ganharam conexão com a internet e passaram a ser bem mais úteis do que suas versões originais. No âmbito residencial, podemos citar as lâmpadas inteligentes, os smart speakers e os diversos sensores que podem ser instalados na casa.

Porém, o mercado de IoT também é sedutor no âmbito corporativo. Tornou-se possível controlar maquinários e fazer verificações de forma remota — algo extremamente importante em tempos de isolamento social por conta do novo coronavírus (SARS-CoV2). Em plantas industriais, o IoT se incorpora ao OT (operational technology ou tecnologia operacional), integrando-se aos sistemas que controlam os processos de manufatura e auxiliando na comunicação, processamento e armazenamento de dados.

O que muitos se esquecem é do “lado negro” do IoT. Sua adoção também significa um aumento na superfície de ataque que um criminoso cibernético pode usar para atingir a sua empresa, visto que muitos desses aparelhos possuem vulnerabilidades que, caso exploradas, podem servir como porta de entrada para o restante da rede. Inclusive, por conta da fragmentação desse mercado (muitos modelos de diversas fabricantes com vários firmwares distintos), a equipe de TI nem sempre tem visibilidade sobre todos os gadgets.

Esse é um erro fatal. Diferente de uma série de máquinas equipadas com o mesmo sistema operacional, é impossível usar uma mesma solução de proteção para blindar seus diferentes produtos IoT. Por isso, o primeiro passo para garantir que não hajam problemas nesse sentido é fazer um mapeamento de todos os aparelhos da sua rede e, preferencialmente, mantê-los em uma rede segmentada que possa ser monitorada com a estratégia de confiança zero (zero trust).

Vulnerabilidades em IoT costumam ser banais: falta de criptografia na comunicação com servidores e controladores remotos, portas TCP/IP abertas que podem ser invadidas ou até mesmo credenciais padronizadas que os próprios usuários se esquecem de alterar. É comum ver câmeras conectadas à internet que saem de fábrica com login “admin” e senha “1234”; com o mínimo de esforço, um ator malicioso é capaz de identificar esses dispositivos na web e usar ataques de força bruta para invadí-los.

Também é essencial ter muito cuidado ao integrar soluções de IoT com sistemas legados de OT, visto que tais tecnologias antigas não foram projetadas para tal nível de conectividade e podem contar com brechas que acabam sendo expostas após tal integração. Trata-se de uma dica importante sobretudo para infraestruturas críticas, que costumam não fazer uma diligência prévia dos impactos de tal fusão pela incapacidade de pausar suas atividades.

De qualquer maneira, é indiscutível que o mercado de IoT traz muitas facilidades em diversos âmbitos, mas esses cuidados são essenciais para garantir que tais dispositivos não se tornem uma dor de cabeça.