0
0
Prevê-se que o número de dispositivos IoT nas redes empresariais e na Internet atinja os 29 mil milhões até 2030. Este crescimento exponencial aumentou inadvertidamente a superfície de ataque. Cada dispositivo interconectado pode potencialmente criar novos caminhos para ataques cibernéticos e violações de segurança. A botnet Mirai demonstrou exatamente isso, ao utilizar milhares de dispositivos IoT vulneráveis para lançar ataques DDoS massivos contra infraestruturas críticas da Internet e websites populares.
Para proteger eficazmente contra os riscos da expansão da IoT, a monitorização contínua e o controlo absoluto são cruciais. No entanto, isso requer a identificação precisa de todos os dispositivos IoT e sistemas operacionais (SOs) na rede corporativa. Sem este conhecimento, as equipas de TI e de segurança não têm a visibilidade e a compreensão necessárias para implementar eficazmente controlos de segurança direcionados, monitorizar a atividade da rede, identificar anomalias e mitigar potenciais ameaças.
Compreendendo o dilema da identidade da IoT
Normalmente, os administradores podem identificar dispositivos e sistemas operacionais por meio de IDs de dispositivos exclusivos atribuídos por agentes de software executados em endpoints de rede e coletar informações para identificação de dispositivos. No entanto, pode não ser possível ou viável instalar tais agentes em todos os sistemas operacionais, especialmente aqueles utilizados em sistemas embarcados e dispositivos IoT. Isso ocorre porque os dispositivos IoT são projetados para executar funções específicas e muitas vezes têm recursos limitados – poder de processamento, memória e armazenamento. Freqüentemente, eles não têm a capacidade de oferecer suporte a quaisquer agentes de software adicionais.
Por essas razões, precisamos de uma abordagem passiva à identificação que não envolva instalações de software e que funcione igualmente bem com sistemas que sejam personalizados e simplificados para atender aos requisitos específicos dos dispositivos IoT. Um desses métodos é a impressão digital baseada em rede e a impressão digital passiva do sistema operacional.
O que é impressão digital passiva do sistema operacional?
Na prática, a impressão digital passiva do sistema operacional é como tentar traçar perfis de pessoas sem qualquer interação direta, simplesmente a partir de sua aparência e comportamento. Da mesma forma, a forma como um dispositivo interage com a rede revela muito sobre sua identidade, capacidades e riscos potenciais. Em vez de instalar um agente de software, a impressão digital passiva do sistema operacional envolve a análise de padrões de tráfego de rede e comportamentos gerados pelos dispositivos para determinar seu sistema operacional.
Este método depende de técnicas estabelecidas e bancos de dados de impressões digitais que armazenam padrões de tráfego e comportamentos específicos de vários sistemas operacionais. Por exemplo, as opções específicas definidas nos cabeçalhos TCP ou nas solicitações do Dynamic Host Configuration Protocol (DHCP) podem variar entre os sistemas operacionais. A impressão digital do sistema operacional consiste, essencialmente, em combinar os padrões e atributos de tráfego de rede de um dispositivo com perfis de sistema operacional conhecidos e classificar o tráfego de acordo.
Vários protocolos de rede podem ser usados para impressão digital do sistema operacional:
- Endereços MAC: Um endereço MAC (controle de acesso à mídia) é um identificador exclusivo que o fabricante atribui a um dispositivo de rede. Cada endereço MAC normalmente inclui um identificador exclusivo da organização (OUI) exclusivo do fabricante. Por exemplo, examinando o endereço MAC “88:66:5a:12:08:8E”, os administradores podem determinar que a Apple fabrica o dispositivo, porque a string “88:66:5a” está associada à Apple Inc. o tráfego do dispositivo inclui endereços MAC com OUIs específicos do fabricante do dispositivo.
- Parâmetros TCP/IP: Os protocolos TCP e IP possuem vários campos em seus respectivos formatos de cabeçalho de pacote. Diferentes sistemas operacionais implementam atributos TCP/IP de maneira diferente e podem ter valores exclusivos para campos TCP/IP, como tempo de vida inicial (TTL), tamanho do Windows, sinalizadores TCP e muito mais. Os administradores podem analisar e comparar esses campos e identificar o sistema operacional subjacente com base em implementações de TCP/IP específicas do sistema operacional.
- Sequências de agente de usuário HTTP: quando um dispositivo de rede (cliente) se comunica com um servidor em uma rede usando o protocolo HTTP, o cabeçalho HTTP inclui um campo agente de usuário HTTP. Este campo pode fornecer informações como nome e versão do software cliente, sistema operacional e outras informações relevantes. Os administradores podem inspecionar este campo e outros no cabeçalho HTTP para detecção de dispositivos.
- Solicitações DHCP: DHCP é um protocolo de rede usado para atribuição automática de endereços IP. As solicitações DHCP podem incluir determinados campos que fornecem informações adicionais sobre o cliente, como nome do host, identificador de classe do fornecedor ou tipo de sistema operacional. As solicitações DHCP podem não ser definitivas na determinação do sistema operacional subjacente devido a personalizações e modificações, mas ainda são potencialmente úteis para obter informações mais granulares sobre a identidade do dispositivo.
Apesar de suas limitações, a análise de comportamentos e atributos de vários protocolos nas camadas da rede pode ajudar na identificação precisa de dispositivos. Os administradores podem usar a impressão digital do sistema operacional para tomar decisões informadas sobre controle de acesso e políticas de segurança.
Impressão digital do sistema operacional em redes corporativas
A impressão digital do sistema operacional pode ser útil para a identificação passiva de dispositivos, dada a rápida expansão das redes IoT e as vulnerabilidades que elas introduzem. No entanto, a impressão digital manual do sistema operacional é uma tarefa difícil que requer amplo conhecimento e experiência no domínio.
O principal desafio é a escalabilidade. É impossível mapear manualmente identificadores exclusivos em milhares de fluxos de tráfego em redes corporativas. Para superar esse desafio, as organizações podem aproveitar os recursos e a escala de uma rede convergente baseada em nuvem e de uma pilha de segurança. Uma pilha de segurança nativa da nuvem, como SASE (Secure Access Service Edge) ou SSE (Secure Service Edge), pode acessar os recursos necessários e permitir algoritmos de aprendizado de máquina e análise estatística para extrair padrões e comportamentos de grandes volumes de dados de tráfego de rede.
A convergência de funções de rede e segurança pode permitir a coleta e correlação automatizadas de dados de rede e segurança de diversas fontes, como sistemas de detecção de intrusão, logs de firewall e soluções de segurança de endpoint, para fornecer uma visão geral da atividade da rede e sua relação com sistemas operacionais e dispositivos IoT .
A Convergência facilita a identificação e classificação automatizada de clientes com base em suas características únicas. Finalmente, um console de gerenciamento centralizado pode ajudar a agilizar o processo de identificação e análise e permitir ações imediatas em relação ao controle de acesso e às políticas de segurança.
FONTE: HELP NET SECURITY