Por que segmentar a rede corretamente é fundamental na Internet das Coisas

Por Colaborador externo | 13.03.2015 às 07:51

Por Daniel Garcia*

Os novos modelos de negócios ligados à mobilidade, à nuvem e à Internet das Coisas (do inglês Internet of Things - IoT) podem ser tratados como transições tecnológicas que representam importantes oportunidades de crescimento e transformam vários aspectos do dia-a-dia. Hoje já vemos mudanças significativas na prestação de serviços de saúde, no fornecimento de aquecimento residencial, no funcionamento das máquinas nas fábricas e na gestão de infraestruturas críticas.

Ao mesmo tempo, os inúmeros benefícios trazidos pela Internet das Coisas podem representar riscos de segurança para os quais as empresas precisam estar preparadas. É necessário que sejam adotados modelos de segurança digital capazes de garantir confiança e proteção a esse novo mundo conectado. Um aspecto crucial, para o qual insisto que os profissionais repensem e busquem soluções alternativas é a abordagem que adotam para segmentação de rede.

Inicialmente, um dos objetivos essenciais de uma rede de dados era o de permitir a conectividade entre dispositivos em uma mesma localidade e com outros em localidades diferentes. Essas redes com seus componentes se estendiam até onde os empregados e dados estivessem localizados. Para suportar essa conectividade em escala, grande parte dos sistemas foram implementados de forma plana, sem segmentação. Hoje, as redes de dados se estendem para além dos limites tradicionais e incluem diversos tipos de dispositivos móveis, aplicativos, sistemas virtualizados e sistemas em nuvem.

Assim, com a contínua expansão do volume de tráfego nas redes, novos dispositivos e aplicativos com posturas muito diferentes de segurança são conectados todos os dias. As novas conexões incluem, mas não se limitam aos dispositivos móveis, aplicações com acesso à Internet e móveis, mídias sociais, navegadores e computadores domésticos.

Toda essa expansão de conectividade, amplia a superfície de ataques à rede e cria brechas para que novos ataques aconteçam, podendo iniciar-se pela invasão de dispositivos simples, migrando para ativos e dados mais críticos e valiosos conectados à rede.

Com a progressiva adoção de estratégias de IoT, estabelecer um plano de segurança digital requer que profissionais de segurança e de redes pensem juntos a forma como os recursos de rede serão segmentados, e como o bloqueio de comunicações impróprias ou maliciosas entre recursos é feito. Isso é crucial para garantir que o acesso à rede seja mantido e com alto nível de proteção, garantindo a integridade dos dados e propriedade intelectual das companhias, limitando, por exemplo, a disseminação de um malware por toda a rede.

A adoção de uma abordagem adequada de segregação de recursos de rede permite aos profissionais estabelecer políticas que habilitem somente aos funcionários responsáveis o acesso a certas informações e aplicações, servidores e recursos de rede específicos. Na verdade, a aplicação da segmentação de rede adequada pode tornar muito mais difícil para um invasor localizar e obter acesso a informações valiosas de toda a empresa. Em muitos casos, quando um ataque está em andamento, a segmentação pode ser utilizada para fornecer controles dinâmicos na contenção da invasão, limitando possíveis danos e auxiliando na identificação do ataque através de alertas de acesso indevido.

Para ilustrar como isso pode ser aplicado num cenário real, imagine as implicações em um ambiente hospitalar ou de saúde. Nesse tipo de ambiente, a segmentação é crucial. Funcionários clínicos precisam de acesso ininterrupto a instrumentos críticos como bombas de infusão, respiradores e sistemas de monitoramento de pacientes. Ao mesmo tempo, pacientes que procuram atendimento alí desejam acessar jogos e outras formas de entretenimento possibilitadas pela Internet durante sua internação. A segmentação de redes garante que um paciente com conhecimentos mais profundos de Internet, jogando em seu smartphone, tablet ou laptop, não tenha acesso aos registros de pacientes ou perturbe o funcionamento de um equipamento de suporte à vida, numa sala ao lado.

Para as organizações que adotam tais transições tecnológicas, como a IoT, computação em nuvem e mobilidade, agora é a hora de rever e aprimorar os sistemas de rede existentes que estão em vigor há anos. Já há tecnologia disponível para que se aplique eficientemente estratégias de segmentação cruciais no emprego dessas inovações e manutenção de uma postura de segurança adequada. Por exemplo, atualmente dispomos de recursos que permitem a criação e controle de políticas avançadas pela atribuição de perfis de acesso que são dissociadas do controle por endereços IP. Isso significa que pode-se estabelecer políticas de controle simples, baseadas nesses perfis para segmentar o acesso de forma dinâmica, sem a complexidade de múltiplas VLANs, replicação de listas de controle de acesso (ACLs) extensas e complexas por toda a rede, ou alteração da arquitetura de rede.

Os invasores não discriminam. Sua motivação e persistência vêm aumentando, bem como seu conhecimento sobre tecnologias de segurança e aplicações. Cada vez mais, esses indivíduos ou grupos empregam métodos desenvolvidos especificamente para atingir a sua infraestrutura alvo.

Evitar tornar-se mais uma vítima dos impactos catastróficos de um ataque direcionado requer uma abordagem adequada de segmentação da rede. Hoje, existem 10 bilhões de dispositivos conectados, mas espera-se que esse número cresça exponencialmente - superando 50 bilhões de sensores, objetos e outras "coisas" conectadas até o ano de 2020. O número e os vetores de ataque continuarão a aumentar à medida que continuamos a conectar o que antes estava desconectado, criando um grande desafio para os responsáveis pela manutenção e defesa da infraestrutura. Para aproveitar as grandes oportunidades que a Internet das Coisas representa e começar a lidar com esse desafio é necessário a adoção de medidas imediatas na aplicação de políticas de segmentação de rede capazes de manter o ritmo de crescimento e a diversidade da rede moderna.

* Daniel Garcia é arquiteto de Segurança para América Latina da Cisco.