IoT, mobilidade, nuvem e necessidade de segurança premente significam que cada nó deve ter uma identidade confiável e um caminho seguro para os serviços de rede
Todo mundo está falando sobre o IoT nos dias de hoje e por uma boa razão – já existem bilhões de dispositivos conectados à Internet global e alguns pesquisadores preveem 50 bilhões até 2020. Isso sozinho tornará o trabalho da CISO mais difícil, mas os executivos de segurança enfrentam muitos outros Desafios associados:
- Os funcionários são móveis e tendem a acessar aplicativos corporativos usando vários dispositivos.
- Aplicações, cargas de trabalho e contêineres podem residir em nuvens privadas ou públicas ou fazer um “ping-pong” de eventos entre os dois.
- A adição de mais dispositivos, aplicativos em nuvem e usuários móveis aumenta consideravelmente a superfície de ataque. Os CISOs são forçados a tentar garantir esse crescente conjunto de ativos de TI com uma equipe de segurança cibernética insuficiente e pouco qualificada.
Como eles dizem, “Esse cão não caça”. Em outras palavras, os processos, controles e tecnologias de segurança tradicionais não podem se dimensionar para enfrentar os desafios de segurança de um mundo móvel IoT.
Isto é exatamente onde a identidade (ou seja, identidade do dispositivo, identidade do usuário, identidade do recurso, etc.) entra em jogo. Conexão de fontes e destinos deve ir além dos protocolos de camada e nome de usuário e senhas. Avançando, tudo na internet deve ter uma identidade confiável. Essas identidades confiáveis podem então ser usadas para guiar e monitorar conexões seguras.
Mark Bowker apelidou essa tendência da “Internet of Identies” (IoI) – Internet das Identidades, e se encaixa com muitas tendências de segurança que estamos rastreando. Por exemplo, as identidades confiáveis estão no centro das tendências de redes, como a micro segmentação e os software-defined perimeters (SDPs). Uma vez que conhecemos a identidade de um dispositivo ou pessoa e a identidade do aplicativo ou serviço para o qual deseja se conectar, podemos autenticar cada entidade, verificar um mecanismo de política para garantir que esta seja uma conexão, segmento e criptografar o tráfego entre a fonte e destino, e manter um log de auditoria de conexões e até todos os pacotes trocados entre os dois nós.
Em essência, a grande internet global é estruturada em bilhões de segmentos de rede virtual e segmentos virtuais, todos movidos por identidades em qualquer extremidade do tubo.
Em nossa opinião, a teoria de Mark é perfeita, porque precisamos usar tecnologias de rede definidas por software e identidade, e grandes análises de dados para diminuir a superfície de ataque da rede e monitorar o que está acontecendo em vários bilhões de nós. Do lado comercial, a IoI também ajudará as organizações a oferecer serviços de alto desempenho para o tráfego de rede crítico e clientes de alto valor.
Embora IoI pareça lógico, o sucesso nos próximos anos depende de muitos fatores, incluindo:
1. Autenticação forte de dispositivos IoT . Todo dispositivo IoT deve ter uma identidade forte e única baseada em tecnologias biométricas, técnicas de impressão digital ou certificados digitais X.509 experimentais e verdadeiros.
2. Uso amplo de padrões e tecnologias maduras. Estamos pensando em algum tipo de racionalização em torno de padrões como FIDO, OAuth, OpenID, SAML, etc., enquanto aumenta o uso de biometria comum, como leitores de impressões digitais em telefones.
3. Navegação na nuvem das identidades. Facebook, Google e Microsoft têm escala de identidade na nuvem e já estão lutando pelo controle de identidade, mas IoI deve evoluir para um ecossistema cooperativo. Os bigwigs da indústria têm de trabalhar juntos e concordarem em um ecossistema de identidade semelhante ao modelo fornecido pelo Trusted Identity Group e NSTIC do Instituto Nacional de Padrões e Tecnologia (NIST).
4. Grande utilização de tecnologias de rede definidas por software. Como mencionado acima, estamos pensando em um maior uso da micro segmentação e uma migração da tecnologia VPN para os perímetros definidos pelo software que fornecem acesso de rede de qualquer tipo a qualquer usuário, identidade, localização, risco e políticas de negócios rígidas.
5. Ferramentas de Análise de Comportamento de Usuário e Entidade Maduras (User and Entity Behavior Analysis – UEBA). Haverá muitos eventos para os analistas de segurança acompanharem nas conexões ou detectarem comportamentos anômalos. As ferramentas analíticas de segurança baseadas no comportamento baseadas no aprendizado da máquina e na inteligência artificial (AI) devem continuar a evoluir para preencher essa lacuna.
Grandes organizações devem planejar IoI de várias maneiras:
- Passar do gerenciamento de identidade tática para uma estratégia mais abrangente de IAM.
- Os CISO deverão ter mais supervisão do IAM, ao mesmo tempo em que os gerentes de negócios estão mais envolvidos na definição de políticas e no gerenciamento de riscos.
- Deverá haver mais colaboração entre segurança, TI e grupos de tecnologia operacional.
Desta forma devemos expandir nossos conceitos de Identidade e rever nossa forma de trabalho e colaboração entre as equipe para que se possa descobrir novas soluções, pois as atuais parecem já se tornarem obsoletas perante a nova “realidade das coisas”
Deixe sua opinião!