Redes 5G públicas, redes 5G privadas, superfícies de ataque mais amplas e ambientes mais complexos adicionam camadas extras de vulnerabilidade, diz o especialista.
Karen Roby, da TechRepublic, conversou com Curtis Simpson, CISO da Armis, uma empresa de segurança da Internet das Coisas (IoT), sobre questões de segurança com 5G . A seguir está uma transcrição editada de sua conversa.
Karen Roby: Falamos muito sobre 5G, é claro, e todas as diferentes facetas da tecnologia. Também falamos muito sobre segurança, mas não tanto sobre os dois juntos. Quando se trata de 5G e das implicações de segurança, com o que você está mais preocupado?
Curtis Simpson: Na verdade, existem muitas preocupações aqui. Apenas para aumentar alguns deles, estamos mudando de um tipo de rede baseada em hardware gerenciada centralmente que é construída e gerenciada por provedores de telecomunicações para uma rede baseada em software que pertence tanto a provedores quanto a empresas.
Na verdade, veremos redes 5G privadas interagindo com redes 5G públicas, mas aqui está o problema: não para casos de uso benignos. Com a velocidade que o 5G vai oferecer, não é segredo que, em todo o mundo, estamos desenvolvendo rapidamente e iniciando a implantação de cidades inteligentes em uma escala muito grande, e isso é apenas o começo. Chegaremos a um ponto em que uma cidade inteligente poderá ser descrita como uma tonelada de diferentes dispositivos inteligentes ou dispositivos IoT que fornecem serviços essenciais e serviços de qualidade de vida, todos rodando em redes 5G. Além disso, teremos redes 5G privadas que são construídas por empresas e usadas para manter todos os tipos de operações internas, funções críticas em áreas remotas do mundo, etc.
O desafio, quando você olha para o último em particular, é que os profissionais de segurança estão lutando com a complexidade de seus ambientes atuais. Eles nem mesmo colocaram suas mãos ou cabeças em torno da multidão de dispositivos IoT, os riscos em torno desses dispositivos, os ataques que ocorrem contra dispositivos IOT críticos. Agora essas empresas estão criando redes 5G privadas com dispositivos exclusivos que eles ainda não tinham visto antes, em redes que nunca foram responsáveis por gerenciar, e essas redes estarão interagindo com outras redes públicas. Além disso, muitas das exposições que existiam nas redes 3G e 4G ainda existem nas redes 5G. Fornecendo a capacidade de rastrear usuários, para disparar alertas em um nível de massa para diferentes dispositivos, não vimos muita exploração dessas coisas no passado. Não havia
Karen Roby: O que precisa acontecer, que tipo de colaboração precisa ser envolvida? Porque o 5G está aqui, ele está se movendo e as cidades inteligentes estão evoluindo rapidamente. Tudo isso está acontecendo tão rapidamente.
Curtis Simpson: É verdade. E temos que ser inteligentes sobre isso. E realmente, se olharmos o que temos que fazer, o fator básico é que a segurança precisa estar na base das redes 5G públicas e privadas. E quando pensamos em redes 5G privadas, precisamos ter o talento, o conjunto de habilidades, a experiência para realmente construir essas redes de maneira responsável e segura, e precisamos ter tempo para isso. Não é como quando começamos a migrar para a nuvem, onde simplesmente o fazemos, apenas movemos as cargas de trabalho importantes, os recursos essenciais para a nuvem e, em seguida, voltamos a proteger essas nuvens para que possamos proteger essas cargas de trabalho essenciais, e serviços e soluções de forma eficaz. Não podemos fazer o que temos feito historicamente. Sempre criamos o valor seguro ou comercial primeiro e, em seguida, protegemos mais tarde.
A realidade não pode ser verdade aqui. Se for verdade aqui, quem vai pagar o preço? Porque não teremos os recursos necessários para construir com segurança essas redes, gerenciar com segurança essas redes, monitorar essas redes, entender quando as coisas estão potencialmente se tornando mal-intencionadas ou ainda agindo normalmente, e isso estará executando funções críticas tanto dentro de nossos negócios quanto como quando pensamos em cidades inteligentes, na verdade estamos falando agora sobre a possível interrupção de vidas humanas. Qualidade de vida e realmente impactar a vida de tal forma que pessoas podem morrer se não construirmos segurança na base, o que também significa que podemos '
O desafio é que esses dispositivos não foram desenvolvidos com a segurança em mente. Temos que construir as redes e os dispositivos com segurança em mente, o que significa que temos que colaborar com os fabricantes, temos que ter os talentos certos que estão construindo essas redes, habilitando esses dispositivos, configurando esses dispositivos com parcerias , com esses fabricantes. A segurança deve estar em todo lugar, sempre e desde o início.
Karen Roby: Quão difundido é o entendimento de que é assim que deve ser, Curtis? É algo onde há pessoas como você tentando gritar do telhado: "Ei, pessoal. Temos que entender que isso tem que ser a base disso ou enfrentaremos repercussões incrivelmente trágicas." Ou isso é algo que você sente como uma comunidade, e CISOs como você e outros, os fabricantes, meio que concordam com isso. Quão longe está a aceitação?
Curtis Simpson: Há um general em torno do que estou dizendo. A preocupação que tenho é o que vimos historicamente, é que se uma empresa precisa tomar certas ações a partir de sua perspectiva para se manter viável ou para entrar em um determinado mercado dentro de um determinado período de tempo, novamente, o pensamento ou estratégia tem sempre foi, vamos chegar lá e depois nos preocupar em otimizar isso daqui para frente. Estou preocupado em fazer isso de novo. E ao fazermos isso, vamos pagar o preço, e então teremos que aprender com aqueles que pagaram o preço, e então voltar e fazer esse trabalho. Essa é a preocupação geral.
Também estou preocupado que os profissionais de segurança estejam cansados agora. Esta é uma conversa muito comum no espaço agora porque os ambientes se tornaram mais complexos, os orçamentos são o que eram, contagens o que eram. Não mudamos para a nuvem, adicionamos a nuvem. Não estamos mudando para 5G, estamos adicionando 5G. Precisamos levar em consideração o fato de que estamos criando uma superfície de ataque inteiramente nova, além de um novo plano de negócios. E vamos ter que financiar isso, vamos ter que dar o tempo de que precisa, vamos ter que realmente levar isso a sério. E acho que podemos fazer mais para garantir que os CEOs e outros que estão tomando algumas dessas decisões em apoio à estratégia de negócios realmente entendam que a segurança está na raiz disso.
Karen Roby: O que mais os CISOs precisam fazer? Tenho certeza de que muitos deles, a maioria deles estão sobrecarregados agora.
Curtis Simpson: Eles absolutamente são. E eles não podem assumir isso em termos de compreensão do risco, criação de estratégias em torno do gerenciamento do risco e construção de operações e programas e implantação de ferramentas em torno de tudo isso, além de tudo o mais que estão fazendo hoje. Essa é a realidade. Eles simplesmente não podem. Eles vão tombar. Isso significa que, ao olharmos para isso nas empresas, já que estamos construindo redes 5G privadas e consumindo recursos 5G, precisamos de uma equipe dedicada. Precisamos olhar para isso enquanto estamos construindo uma linha de negócios inteiramente nova, ou estamos construindo um subgrupo ou subempresa inteiramente novo dentro de nossa organização. Temos que levar isso a sério, do ponto de vista de equipá-lo com recursos dedicados para fazer isso direito, e o financiamento de novas contagens de pessoal adicionais para poder gerenciar este ambiente de uma maneira muito madura e segura daqui para frente. Porque se fizermos o que sempre fizemos, apenas anexar às equipes atuais de infraestrutura e segurança, isso será um problema.
Karen Roby: É a parte chique e divertida de falar sobre alguma coisa. Com 5G por tanto tempo, "Oh, menor latência e velocidades mais rápidas. Vai ser ótimo, ótimo, ótimo." Mas sem essa base, como você mencionou, e as peças que precisam ser colocadas primeiro, pode ser desastroso.
Curtis Simpson: Sim. E estamos falando de redes inteiramente novas. Além disso, não vamos apenas para uma rede orientada por software, mas vamos para uma rede orientada por software que realmente depende de protocolos e métodos de comunicação mais comuns, o que torna isso ainda pior, porque não do perspectiva de ter os recursos para entender isso, mas os invasores agora têm uma vantagem que não necessariamente tinham em um ambiente 4G. Então, eles têm uma vantagem que nossos praticantes e as pessoas que constroem e protegem esses ambientes não têm, eles estão atrás, e é por isso que eu digo que temos que nos concentrar nisso como um programa e levantar e financiar isso como um programa, com a segurança como o início dessa base.
Sem comentários:
Enviar um comentário