Proteger dispositivos IoT em rede ou proteger a rede de dispositivos IoT?

Dispositivos IoT tendem a aumentar muito a superfície de ataque de uma empresa, mas você pode minimizar o risco.

Na palestra Into the Mind of an IoT Hacker na RSA Conference 2021, os especialistas em segurança Itzik Feiglevitch e Justin Sowder levantaram a questão da vulnerabilidade de vários dispositivos IoT e o tratamento especial que exigem da cibersegurança corporativa. Eles ofereceram alguns exemplos impressionantes que mostram o cenário da segurança de IoT nas empresas de hoje.

Poucos especialistas em cibersegurança controlam seu hardware IoT corporativo. Na maioria das vezes, elevadores inteligentes, todos os tipos de sensor, IPTV, impressoras, câmeras de vigilância e semelhantes são apenas uma coleção heterogênea de dispositivos díspares, cada um com seu próprio sistema operacional e protocolos proprietários, e muitos sem qualquer tipo de interface de controle adequada … Você entendeu. Sua empresa pode ter milhares deles.

Por que os dispositivos IoT apresentam riscos extras a cibersegurança

Os dispositivos IoT nem sempre são considerados como pertencentes à infraestrutura relevante; embora uma impressora de rede normalmente conte como um dispositivo de rede, o mesmo não é verdade para componentes de “edifício inteligente” ou mesmo sistemas de telefonia IP. Para ser claro, esses dispositivos tendem a ser conectados à mesma rede que as estações de trabalho corporativas.

A entrada e saída de funcionários podem complicar ainda mais a situação. Quanto maior a rotatividade em cibersegurança e TI, maior a chance de uma nova pessoa não saber nada sobre o mundo de IoT conectado à rede.

Talvez o pior de tudo seja que alguns desses dispositivos são acessíveis de fora. Os motivos podem ser legítimos – controle do fornecedor sobre algum aspecto de um dispositivo; disponibilidade de teletrabalho; manutenção – mas ter dispositivos na rede corporativa, por um lado, enquanto está permanentemente conectado à Internet, por outro, é arriscado.

Pode parecer paradoxal, mas a própria robustez da eletrônica moderna é outro fator de risco: alguns dispositivos IoT têm uma vida útil muito longa e funcionam em ambientes de segurança muito mais complexos do que para os quais foram projetados.

Por exemplo, alguns dispositivos executam sistemas operacionais obsoletos e vulneráveis que não são mais atualizados – e mesmo que possam ser, a atualização pode exigir acesso físico (que pode variar de difícil a quase impossível). Alguns apresentam senhas imutáveis, backdoors de depuração deixados erroneamente no lançamento final do firmware e muitas outras surpresas para atrapalhar muito a vida de um profissional de segurança de TI.

Por que os golpistas se interessam por dispositivos IoT

Os cibercriminosos consideram os dispositivos IoT interessantes por vários motivos, tanto para ataques à empresa host quanto para ataques a outras empresas. Os principais usos para dispositivos inteligentes comprometidos são:

● Configurando um botnet para ataques DDoS;
Mineração de criptomoeda;
● Roubo de informações confidenciais;
● Sabotagem;
● Como porta de acesso para novos ataques e movimentos laterais na rede.

Estudos de caso

Os pesquisadores descreveram alguns casos que são bastante ridículos. Eles se relacionam tanto a dispositivos padrão conectados à Internet quanto a dispositivos estritamente especializados. Dois exemplos proeminentes destacam máquinas e dispositivos de ultrassom que usam protocolos Zigbee.

Máquina de ultrassom

Organizações modernas que trabalham no setor de saúde fazem uso de vários dispositivos médicos IoT. Para testar a segurança de tais dispositivos, os pesquisadores compraram e tentaram hackear uma máquina de ultrassom usada. Eles precisaram de apenas cerca de cinco minutos para comprometê-lo; o dispositivo estava funcionando em uma versão do Windows 2000 que nunca havia sido atualizada. Além disso, eles puderam não apenas obter o controle do dispositivo, mas também obter acesso aos dados do paciente que o proprietário anterior não havia excluído.

Os médicos costumam usar dispositivos médicos por anos, ou mesmo décadas, sem atualizá-los ou atualizá-los. Isso é compreensível – se não estiver quebrado, etc. – mas esses dispositivos não funcionam apenas por muito tempo na primeira organização que os adquire; eles são frequentemente revendidos e continuam a operar.

Protocolos Zigbee

As empresas usam os protocolos de rede Zigbee, desenvolvidos em 2003 para comunicação sem fio com eficiência energética entre dispositivos, para construir redes em malha e, frequentemente, para conectar vários componentes em um edifício inteligente. Resultado: um portal em algum lugar do escritório que controla dezenas de dispositivos diferentes, como, por exemplo, um sistema de iluminação inteligente.

Alguns pesquisadores dizem que um cibercriminoso poderia facilmente emular um dispositivo Zigbee em um laptop comum, conectar-se a um gateway e instalar malware nele. O cibercriminoso teria apenas que estar dentro da área de cobertura da rede Zigbee – por exemplo, no saguão do escritório. Uma vez que controlassem o gateway, no entanto, eles poderiam sabotar o trabalho de várias maneiras – por exemplo, desligando todas as luzes inteligentes do prédio.

Como proteger uma rede corporativa

Os responsáveis pela segurança nem sempre têm certeza se devem proteger os dispositivos IoT na rede corporativa ou proteger a rede corporativa dos dispositivos IoT. Na verdade, ambos os problemas precisam ser resolvidos. O importante aqui é garantir que todos os itens e ações na rede estejam visíveis. Estabelecer a segurança corporativa requer primeiro identificar todos os dispositivos conectados à rede, classificá-los corretamente e, idealmente, analisar os riscos associados.

A próxima etapa é, obviamente, a segmentação da rede com base nos resultados da análise. Se um dispositivo for necessário e insubstituível, mas tiver vulnerabilidades que as atualizações não podem corrigir, você precisará configurar a rede para negar o acesso à Internet de dispositivos vulneráveis e também remover o acesso de outros segmentos de rede. Idealmente, use um conceito Zero Trust para segmentação.

O monitoramento do tráfego de rede em busca de anomalias em segmentos relevantes também é fundamental para sua capacidade de rastrear dispositivos IoT comprometidos que estão sendo usados para ataques DDoS ou mineração.
Finalmente, para a detecção precoce de ataques avançados que usam de dispositivos IoT como âncoras na rede e atacam outros sistemas, use umasolução de classe EDR.

Dicas