Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
O poder da impressão digital passiva do sistema operacional para identificação precisa de dispositivos IoT
Prevê-se que o número de dispositivos IoT nas redes empresariais e na Internet atinja os 29 mil milhões até 2030. Este crescimento exponencial aumentou inadvertidamente a superfície de ataque. Cada dispositivo interconectado pode potencialmente criar novos caminhos para ataques cibernéticos e violações de segurança. A botnet Mirai demonstrou exatamente isso, ao utilizar milhares de dispositivos IoT vulneráveis para lançar ataques DDoS massivos contra infraestruturas críticas da Internet e websites populares.
Para proteger eficazmente contra os riscos da expansão da IoT, a monitorização contínua e o controlo absoluto são cruciais. No entanto, isso requer a identificação precisa de todos os dispositivos IoT e sistemas operacionais (SOs) na rede corporativa. Sem este conhecimento, as equipas de TI e de segurança não têm a visibilidade e a compreensão necessárias para implementar eficazmente controlos de segurança direcionados, monitorizar a atividade da rede, identificar anomalias e mitigar potenciais ameaças.
Normalmente, os administradores podem identificar dispositivos e sistemas operacionais por meio de IDs de dispositivos exclusivos atribuídos por agentes de software executados em endpoints de rede e coletar informações para identificação de dispositivos. No entanto, pode não ser possível ou viável instalar tais agentes em todos os sistemas operacionais, especialmente aqueles utilizados em sistemas embarcados e dispositivos IoT. Isso ocorre porque os dispositivos IoT são projetados para executar funções específicas e geralmente possuem recursos limitados – poder de processamento, memória e armazenamento. Freqüentemente, eles não têm a capacidade de oferecer suporte a quaisquer agentes de software adicionais.
Por essas razões, precisamos de uma abordagem passiva à identificação que não envolva instalações de software e que funcione igualmente bem com sistemas que sejam personalizados e simplificados para atender aos requisitos específicos dos dispositivos IoT. Um desses métodos é a impressão digital baseada em rede e a impressão digital passiva do sistema operacional.
Na prática, a impressão digital passiva do sistema operacional é como tentar traçar o perfil de pessoas sem qualquer interação direta, simplesmente a partir de sua aparência e comportamento. Da mesma forma, a forma como um dispositivo interage com a rede revela muito sobre sua identidade, capacidades e riscos potenciais. Em vez de instalar um agente de software, a impressão digital passiva do sistema operacional envolve a análise de padrões de tráfego de rede e comportamentos gerados pelos dispositivos para determinar seu sistema operacional.
Este método depende de técnicas estabelecidas e bancos de dados de impressões digitais que armazenam padrões de tráfego e comportamentos específicos de vários sistemas operacionais. Por exemplo, as opções específicas definidas nos cabeçalhos TCP ou nas solicitações do Dynamic Host Configuration Protocol (DHCP) podem variar entre os sistemas operacionais. A impressão digital do sistema operacional consiste, essencialmente, em combinar os padrões e atributos de tráfego de rede de um dispositivo com perfis de sistema operacional conhecidos e classificar o tráfego de acordo.
Vários protocolos de rede podem ser usados para impressão digital do sistema operacional:
Apesar de suas limitações, a análise de comportamentos e atributos de vários protocolos nas camadas da rede pode ajudar na identificação precisa de dispositivos. Os administradores podem usar a impressão digital do sistema operacional para tomar decisões informadas sobre controle de acesso e políticas de segurança.
A impressão digital do sistema operacional pode ser útil para a identificação passiva de dispositivos, dada a rápida expansão das redes IoT e as vulnerabilidades que elas introduzem. No entanto, a impressão digital manual do sistema operacional é uma tarefa difícil que requer amplo conhecimento e experiência no domínio.
O principal desafio é a escalabilidade. É impossível mapear manualmente identificadores exclusivos em milhares de fluxos de tráfego em redes corporativas. Para superar esse desafio, as organizações podem aproveitar os recursos e a escala de uma rede convergente baseada em nuvem e de uma pilha de segurança. Uma pilha de segurança nativa da nuvem, como SASE (Secure Access Service Edge) ou SSE (Secure Service Edge), pode acessar os recursos necessários e permitir algoritmos de aprendizado de máquina e análise estatística para extrair padrões e comportamentos de grandes volumes de dados de tráfego de rede.
A convergência de funções de rede e segurança pode permitir a coleta e correlação automatizadas de dados de rede e segurança de diversas fontes, como sistemas de detecção de intrusão, logs de firewall e soluções de segurança de endpoint, para fornecer uma visão geral da atividade da rede e sua relação com sistemas operacionais e dispositivos IoT .