As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Capacidades de segurança de IoT
Esta seção discute recomendações seguras de acesso, uso e implementação para os recursos de segurança de IoT discutidos na seção anterior.
Importante
Use uma estrutura comum, como MITRE ATT&CK
Orientação de avaliação de risco
Se você está implantando dispositivos de IoT para consumidores, cargas de trabalho de IoT industriais ou tecnologias operacionais, você deve primeiro avaliar os riscos e ameaças associados à sua implantação. Por exemplo, uma ameaça comum aos dispositivos de IoT listados na estrutura MITRE ATT&CK é a negação de serviço de rede (T1498). A definição de ataque denial-of-service (DoS) contra um dispositivo de IoT é proibir comunicações de status ou comando e controle de e para um dispositivo de IoT e seus controladores. No caso de um dispositivo de IoT para consumidores, como uma lâmpada inteligente, a incapacidade de comunicar o status ou receber atualizações de um local de controle central poderia criar problemas, mas provavelmente não teria consequências críticas. No entanto, em um sistema IIo OT e T que gerencia uma instalação de tratamento de água, concessionária ou fábrica inteligente, perder a capacidade de receber comandos para abrir ou fechar válvulas chave pode criar um impacto maior nas operações, na segurança e no meio ambiente. Por esse motivo, considere o impacto de várias ameaças comuns, entenda como elas se aplicam aos seus casos de uso e determine maneiras de mitigá-las. As principais recomendações incluem:
-
Identifique, gerencie e rastreie lacunas e vulnerabilidades. Crie e mantenha um modelo de up-to-date ameaça contra o qual você possa monitorar seus sistemas.
-
Mantenha um inventário de ativos de todos os ativos conectados e uma arquitetura up-to-date de rede.
-
Segmente seus sistemas com base em sua avaliação de risco. Alguns sistemas de IoT e TI podem compartilhar os mesmos riscos. Nesse cenário, use um modelo de zoneamento predefinido com controles apropriados entre eles.
-
Siga uma abordagem de microssegmentação para isolar o impacto de um evento.
-
Use mecanismos de segurança apropriados para controlar o fluxo de informações entre os segmentos da rede.
-
Entenda os efeitos potenciais do impacto indireto nos canais de comunicação. Por exemplo, se um canal de comunicação for compartilhado com alguma outra carga de trabalho, um evento de DoS nessa outra carga de trabalho poderá afetar as comunicações de rede da carga de trabalho IIo T ou OT.
-
Identifique e analise regularmente as oportunidades de minimização de eventos de segurança à medida que sua solução evolui.
Em ambientes OT ou IIo T, considere particionar o sistema em questão (SuC) em zonas e conduítes separados de acordo com a ISA/IEC 62443-3-2
Recomendado Serviços da AWS
Ao criar seu ambiente no Nuvem AWS, use serviços básicos, como Amazon Virtual Private Cloud (Amazon VPC), grupos de segurança de VPC e listas de controle de acesso à rede ( ACLsrede) para implementar a microssegmentação. Recomendamos que você use vários Contas da AWS para ajudar a isolar aplicativos, dados e processos de negócios de IoT IIo, T e OT em todo o seu ambiente e AWS Organizations usá-los para melhorar a capacidade de gerenciamento e a visão centralizada.
Para obter mais informações, consulte o Security Pillar of AWS Well-Architected Framework e o whitepaper Organizing Your AWS Environment Using Multiple Accounts. AWS