0
0
Os dispositivos IoT estendidos (xIoT) são os favoritos perenes para os ciberatacantes que buscam se mover lateralmente e estabelecer persistência nas redes corporativas. Eles têm tudo o que os bandidos precisam para se estabelecer: eles estão grosseiramente subprotegidos, estão presentes em grande número (e em partes sensíveis da rede) e, crucialmente, normalmente não são bem monitorados.
Em uma próxima sessão na RSA, o pesquisador e estrategista de segurança Brian Contos orientará seu público pelas maneiras pelas quais esses dispositivos podem ser usados para criar ataques muito amplos contra os recursos corporativos, juntamente com o que os estrategistas de segurança devem fazer para combater o risco.
“Vou fazer algumas demonstrações de hackers xIoT, porque todo mundo gosta de ver as coisas quebradas”, diz Contos, diretor de estratégia da Sevco Security. “Mas no mundo xIoT é muito fácil de comprometer, então não vou me concentrar nisso, mas sim em como ele pode ser usado como um ponto de pivô para atacar dispositivos locais, dispositivos na nuvem, roubar dados confidenciais, manter a persistência e evitar a detecção.”
Seu objetivo é mostrar todo o ciclo de vida do ataque, a fim de demonstrar os efeitos de ondulação de peso que estão por vir ao deixar os dispositivos xIoT não gerenciados e não monitorados em ambientes corporativos.
A prevalência da insegurança xIoT
Como Contos explica, os dispositivos xIoT normalmente se enquadram em três categorias de dispositivos que proliferam significativamente em ambientes de negócios. Os primeiros são os dispositivos IoT corporativos, como câmeras, impressoras, telefones IP e fechaduras de porta. O segundo são dispositivos de tecnologia operacional, como robôs industriais, controladores de válvulas e outros equipamentos digitais que controlam a física em ambientes industriais. O terceiro – e muitas vezes menos lembrado – são os dispositivos de rede em geral, como switches, armazenamento conectado à rede e roteadores de gateway.
“O que todos esses dispositivos têm em comum é que todos eles são dispositivos criados para um propósito específico”, observa ele. “Eles estão conectados à rede e você não pode instalar ‘coisas’ adicionais neles. Então, você não pode colocar um firewall ou um IPS, ou antimalware neles. Portanto, todos os controles tradicionais de TI não se encaixam necessariamente bem neste mundo da xIoT.”
Ele diz que sua pesquisa nos últimos dois anos mostrou que, na rede corporativa típica, geralmente há de três a cinco dispositivos xIoT por funcionário flutuando. Em alguns setores – como petróleo e gás ou manufatura, esse número pode aumentar para mais de cinco a seis dispositivos por funcionário. Assim, uma empresa de manufatura com 10.000 funcionários poderia facilmente estar olhando para 50.000 desses dispositivos em sua rede.
“E o que você vai descobrir é que cerca de metade deles está executando uma senha padrão, o que leva meio segundo para eu procurar no Google”, diz ele. “Se eu pesquisar no Google, ‘Qual é a senha padrão em um sistema UPS da APC, ele me dirá que o nome de usuário padrão é ‘apc’ e a senha padrão é ‘apc’. E posso dizer-lhe por experiência própria, que ainda não vi um sistema UPS da APC na natureza que não tenha ‘apc-apc’ como nome de utilizador e palavra-passe.”
Além disso, ele explica que mais da metade dos dispositivos xIoT também estão executando CVEs de nível crítico que exigem pouca ou nenhuma experiência em hacking para aproveitar remotamente e obter privilégios de root nos dispositivos.
“Por causa do volume, se você não entrar nos primeiros 1.000 a 2.000 dispositivos, é provável que você entre nos próximos 1.000 a 2000”, diz ele.
As Lições Aprendidas
As demonstrações de hackers da Contos mergulharão em como um dispositivo diferente de cada uma das categorias de dispositivos xIoT pode ser usado para uma infinidade de propósitos de ataque, desde desligar a energia até destruir um ativo e exfiltrar dados confidenciais para expandir o alcance do ataque em uma rede. Ele compartilhará informações sobre ferramentas de hacking xIoT que os atores do estado-nação construíram e explicará como os agentes de ameaças estão investindo seriamente nesses tipos de ataques.
“Quero que o público entenda como é fácil e entenda que esse é um risco que requer algum foco dentro de sua organização”, diz ele.
Como parte da discussão, a Contos discutirá contramedidas que incluem gerenciamento sólido de ativos, gerenciamento de identidade e gerenciamento de patches em torno do xIoT, bem como controles de compensação como segmentação e MFA, a fim de fortalecer a superfície de ataque do xIoT. Ele também diz que espera explicar que as defesas não devem ser planejadas “em uma bolha”. Esse não é o tipo de medida de segurança que deve ser desenvolvida por uma força-tarefa especial que é removida da segurança na nuvem e de outros grupos de segurança, em outras palavras.
“Tudo isso deve ser integrado porque todos esses dispositivos se tocam”, diz ele. “Deve ser parte de uma abordagem maior.”
FONTE: DARK READING