0
0
Dispositivos não gerenciados representam um desafio significativo para muitas organizações. Esses dispositivos podem ser qualquer coisa conectada a uma rede, mas não gerenciados ativamente por TI ou segurança. Esses ativos geralmente não são capturados em um inventário de ativos e podem assumir várias formas, como TI oculta, ativos não autorizados e ativos órfãos. Como as equipes de segurança lutam para descobri-los, esses dispositivos passam despercebidos e criam pontos de apoio potenciais em uma rede.
O que pode acontecer se esses dispositivos não forem gerenciados? Vamos dar uma olhada em cinco razões pelas quais você deve se preocupar com dispositivos não gerenciados.
Razão 1: Dispositivos não gerenciados geralmente são o primeiro ponto de apoio para invasores.
Os invasores geralmente examinam a rede em busca de outliers: máquinas com níveis de patch mais baixos, serviços incomuns em execução em portas e softwares exclusivos não encontrados no restante da rede. Esses outliers são ótimos pontos de entrada para um ataque porque tendem a ser mais facilmente exploráveis, são menos propensos a ter controles de segurança e, se órfãos, não têm ninguém para gerenciá-los. Identificar dispositivos não gerenciadospara atualizá-los ou desativá-los é uma ótima maneira de reduzir sua superfície de ataque e mitigar riscos.
Razão 2: Dispositivos não gerenciados atrapalham as investigações de incidentes.
Os analistas em um centro de operações de segurança (SOC) precisam trabalhar com alertas de forma rápida e eficiente. Houve um caso em que um analista recebeu um alerta de que um endereço IP interno estava se comunicando com um IP ruim conhecido, principalmente o servidor de comando e controle (C2). No entanto, o SIEM e o CMDB não tinham nenhum registro do IP na rede, nem os consoles de gerenciamento de vulnerabilidade ou detecção e resposta de endpoint (EDR). O dispositivo acabou sendo uma câmera IP que foi comprometida por malware porque estava usando credenciais padrão. Com um inventário de ativos que rastreia os dispositivos da Internet das Coisas (IoT), o analista teria resolvido rapidamente esse incidente. Eles também poderiam ter encontrado outros dispositivos que compartilham a mesma marca e modelo para ver se estavam usando credenciais padrão.
Motivo 3: pontes de rede acidentais contornam firewalls.
Em outro caso, uma linha de fabricação crítica foi encerrada devido a ransomware. As investigações mostraram que um dispositivo não autorizado fez uma ponte entre a rede de TI e a rede OT, permitindo que os invasores contornassem um firewall instalado para segmentar as redes. A equipe de segurança não tinha visibilidade das pontes de rede de dispositivos não gerenciados, e é por isso que o problema não foi identificado com antecedência.
PUBLICIDADE
Motivo 4: Dispositivos invasores complicam a governança dos controles de segurança.
A governança adequada determina que cada dispositivo tenha controles de segurança. É impossível descobrir lacunas de cobertura sem conhecer todos os dispositivos da rede. Para zerar suas lacunas, você precisa começar com um inventário completo de ativos. Em seguida, você pode sobrepor dados de controles de segurança e procurar lacunas no inventário. Algumas coisas comuns a serem procuradas são máquinas Windows sem CrowdStrike (ou agentes EDR).
Razão 5: Dispositivos em fim de vida útil são potencialmente vulneráveis.
Os fabricantes geralmente não fornecem mais correções funcionais e de segurança para esses dispositivos em fim de vida (EOL), tornando-os muito mais arriscados e mais difíceis de proteger se algo der errado. Se os dispositivos não gerenciados não forem inventariados, as equipes de segurança não conseguirão antecipar possíveis riscos e problemas. Além disso, as equipes financeiras se beneficiam ao saber quais dispositivos estão totalmente depreciados e quando um novo orçamento é necessário para substituí-los.
Solução para dispositivos não gerenciados
A solução para dispositivos não gerenciados começa com um inventário completo de ativos que fornece detalhes detalhados sobre cada ativo em sua rede, incluindo os gerenciados e não gerenciados. O inventário completo de ativos requer descoberta ativa e não autenticada, que não pressupõe nenhum conhecimento prévio de dispositivos conectados à rede, como credenciais para autenticação em dispositivos e endpoints. Em vez disso, ele se concentra nos recursos de descoberta orientados à pesquisa para localizar e revelar todos os ativos conectados à rede, gerenciados ou não. Essa abordagem pode ser complementada por meio de integrações com nuvem, virtualização e infraestrutura de segurança para fornecer visibilidade total de TI, OT, nuvem e dispositivos remotos.
Controlar os ativos não gerenciados é fundamental para qualquer programa de segurança e, com uma solução construída em torno da descoberta ativa e não autenticada, finalmente será possível encontrar seus ativos não gerenciados.
FONTE: DARK READING