0
0
A explosão de dispositivos conectados, desde a Internet das Coisas até dispositivos de rede e tecnologia operacional (conhecidos coletivamente como Extended Internet of Things, ou xIoT), criou uma superfície de ataque vasta, diversa e amplamente não mapeada que adversários sofisticados estão explorando ativamente .
Esse risco crescente é refletido em muitos relatórios recentes de empresas como Microsoft , Intel 471 e Zscaler , que encontraram um aumento significativo nos ataques direcionados e não direcionados a esses dispositivos, com uma alta taxa de infecções por malware.
No entanto, essas ameaças – principalmente quando visam dispositivos IoT – são frequentemente mal compreendidas ou descartadas, pois as empresas tendem a vê-las como menos significativas do que um ataque de rede tradicional. Parte da razão para isso é a crença equivocada de que as ameaças de IoT são principalmente limitadas a malware de botnet usado para criptomineração e ataques distribuídos de negação de serviço (DDoS). Na realidade, os ataques de IoT estão se tornando muito mais sofisticados e agora representam sérias ameaças à integridade da rede corporativa, segurança de dados e até sistemas de segurança física.
Aqui estão três ataques xIoT dos quais toda empresa deve estar ciente:
Girando a partir do dispositivo xIoT
Como muitos dispositivos xIoT carecem até de proteções básicas de segurança cibernética nativa, não permitem a instalação de software de segurança de endpoint tradicional e geralmente não são monitorados, eles são um ponto de acesso inicial eficaz para invasores que desejam obter uma vantagem em uma empresa e, em seguida, mover-se lateralmente em sua rede.
Depois que o dispositivo xIoT é comprometido, o adversário pode usar esse ponto de apoio para fazer upload de ferramentas, farejar o tráfego de rede, procurar outros dispositivos exploráveis e exfiltrar dados confidenciais. Por exemplo, um invasor pode fazer a transição de um dispositivo IoT para a rede principal de TI, bem como para a rede de tecnologia operacional (OT).
Esse tipo de “ataque de pivô” já foi observado por várias empresas. Minha empresa tem visto um número crescente de ataques cibernéticos corporativos, nos quais a empresa foi primeiro comprometida por meio de uma câmera de segurança, controlador de porta ou outro dispositivo e, em seguida, alvo de ransomware, espionagem ou roubo de dados por meio de sua rede de TI.
Em 2019, o Microsoft Threat Intelligence Center detectou um adversário que explorou três dispositivos IoT diferentes (um telefone VoIP, uma impressora e um decodificador de vídeo), a partir dos quais o ator estabeleceu uma presença na rede enquanto procurava acesso adicional. Os pesquisadores também revelaram um ransomware de prova de conceito que pode se espalhar de um dispositivo xIoT para uma rede de TI.
Roubo de dados atípico
Os dispositivos xIoT também podem ser alvos diretos de espionagem e roubo de dados.
Certos dispositivos de escritório, como impressoras conectadas e scanners de documentos, são depósitos de informações corporativas confidenciais em grande parte desprotegidas. No setor de saúde, tomógrafos e aparelhos de ressonância magnética também contêm informações pessoais e médicas valiosas. Os dispositivos industriais também podem representar riscos de violação de dados. Certos dispositivos OT, como controladores lógicos programáveis (PLCs), podem conter detalhes privilegiados de fabricação e processamento, como faixas de temperatura e pressão, mistura química.
Esse tipo de armazenamento de dados confidenciais em dispositivos xIoT geralmente é ignorado pelas auditorias tradicionais de segurança da informação, e os próprios dispositivos oferecem pouca ou nenhuma proteção de dados. Para invasores remotos, obter acesso a esses dispositivos geralmente é uma questão trivial.
Minha empresa descobriu que 50% dos dispositivos xIoT usam senhas padrão, 68% dos dispositivos têm CVEs críticos ou de alto risco em seu firmware e 26% desses dispositivos estão no fim da vida útil e não são mais suportados. Isso significa que, literalmente, na metade desses casos, tudo o que um invasor precisa fazer é inserir uma senha padrão para obter acesso a dados privilegiados.
xIoT como estratégia de persistência
Atores de ameaças que já violaram uma rede corporativa de TI por meios tradicionais, como phishing, também podem realizar um ataque de segundo estágio em dispositivos xIoT para obter persistência de longo prazo dentro da organização.
Um exemplo é o agente de ameaças UNC3524 , que a Mandiant descobriu recentemente que estava instalando um backdoor chamado QuietExit em dispositivos de rede opacos e dispositivos IoT como câmeras de segurança, permanecendo sem ser detectado nas redes das vítimas por pelo menos 18 meses.
Os dispositivos xIoT são um esconderijo ideal para adversários sofisticados. Esses dispositivos são mal monitorados, carecem de cobertura antimalware e detecção de intrusão e não são fáceis de analisar durante a resposta a incidentes. Minha empresa descobriu que mais de 80% das equipes de segurança nem conseguem identificar a maioria dos dispositivos xIoT que possuem em suas redes. Eles também se enquadram em uma área cinzenta administrativa em termos de quem é responsável por gerenciá-los (é a equipe de TI, a equipe de segurança, a equipe de operações ou o fornecedor?), o que leva à confusão e inação.
Um adversário pode facilmente instalar um backdoor em qualquer um desses dispositivos xIoT negligenciados que serão extremamente difíceis de serem detectados pela equipe de segurança. A empresa média tem de dezenas de milhares a milhões de dispositivos xIoT e normalmente depende de processos manuais para monitorá-los e mantê-los. Detectar tal backdoor será como tentar encontrar uma agulha em um enorme palheiro (ou palheiros ).
Prevenindo toda a gama de ataques xIoT
Apesar de seus muitos riscos, os dispositivos xIoT podem ser suficientemente protegidos sem impor altos custos à empresa.
Medidas básicas, como gerenciamento de senha forte e atualização de firmware, reduzirão drasticamente o risco. O inventário preciso e o monitoramento regular também são fundamentais.
Onde as empresas serão desafiadas é em termos do volume de dispositivos que devem proteger. É por isso que a automação é importante, já que a alteração manual de senhas e a atualização de firmware em uma variedade tão grande de dispositivos não são viáveis para a maioria das empresas.
FONTE: DARK READING