Com o número de dispositivos conectados crescendo significativamente, a segurança cibernética enfrenta novos desafios para compreender e gerenciar os riscos a que as empresas estão expostas.
Com uma combinação de dispositivos de TI, IoT e muitos outros, a superfície de ataque também aumentou, tanto que relatório do Instituto Ponemon divulgou que 65% das organizações pesquisadas afirmaram que dispositivos IoT e de tecnologia operacional (OT) são uma das partes menos seguras de suas redes, enquanto 50% afirmaram que os ataques a esses dispositivos aumentaram.
Além disso, o relatório também destacou que 88% dos profissionais de TI e segurança de TI mantêm dispositivos IoT conectados à internet, 56% têm dispositivos TO conectados à internet e 51% têm a rede TO conectada à rede da empresa.
E, claro, cibercriminosos sabem exatamente como o número de dispositivos conectados pode ajudar no seu “trabalho”. De acordo com a Forescout, grupos de ransomware lançaram ataques massivos contra dispositivos NAS, VoIP e hipervisores, o que os coloca entre os dispositivos conectados mais arriscados no relatório “The Riskiest Connected Devices in 2023”.
De acordo com a pesquisa, apesar de câmeras IP, equipamentos VoIP e controles lógicos programáveis (CLPs), devido à criticidade inerente ou falta de atenção das equipes de segurança, aparecerem com destaque, outros dispositivos também estão refletindo a evolução no cenário de ameaças cibernéticas.
Quantificando os riscos de dispositivos conectados
Para quantificar os riscos de dispositivos conectados, a Forescout analisou dados coletados pelo Device Cloud, um dos maiores repositórios de dados vindos de mais de 19 milhões de dispositivos conectados de clientes da empresa. Para isso, foi utilizada a metodologia de pontuação de risco da Forescout, onde três fatores: configuração, função e comportamento são utilizados para o cálculo.
- A configuração analisa o número e a gravidade das vulnerabilidades de cada dispositivo, mais o número e criticidade das portas abertas
- A função considera o impacto potencial para a organização no caso de comprometimento do dispositivo
- E o comportamento considera a reputação das conexões de entrada e saída, junto com sua exposição na internet
Medidos os riscos de cada dispositivo individualmente, é analisada a média por tipo de dispositivo para chegar nos mais arriscados.
Dispositivos conectados com maior potencial de risco
O relatório da Forescout lista cinco tipos de dispositivos conectados mais arriscados, separando-os em quatro categorias distintas: TI, IoT, OT e IoMT:
| TI | IOT | OT | IoMT |
|---|---|---|---|
| Rede de computadores | Armazenamento conectado à rede (NAS) | Fonte de alimentação ininterrupta (UPS) | Estação de trabalho |
| Servidores | Impressoras | Controlador Lógico Programável (PLC) | Sistemas de imagens |
| Roteadores | Câmera IP | Estação de trabalho de engenharia | Sistema de Medicina Nuclear |
| Gateway VPN | Gerenciamento fora-de-banda (OOBM) | Automação Predial | Monitor de glicose no sangue |
| Dispositivos de Segurança | VoIP | Unidade Terminal Remota (RTU) | Monitor de paciente |
O relatório ainda identificou mais de 4 mil vulnerabilidades que afetam dispositivos conectados, com os dispositivos de TI entre os mais afetados, com 78% das vulnerabilidades. Dispositivos IoT aparecem com 14%, OT com 6% e IoMT com apenas 2% das vulnerabilidades identificadas.
Apesar dos dispositivos IoMT apresentarem o menor número de vulnerabilidades, 80% delas são classificadas como críticas, ou seja, podem levar ao controle total do dispositivo no caso de um ataque. Entre dispositivos OT e IoT, mais da metade das vulnerabilidades levam a mesma classificação. Já entre os dispositivos de TI, 80% trazem vulnerabilidades consideradas de alta gravidade.
Mas há alguns fatores ainda mais críticos que o número de vulnerabilidades. A Forescout identificou que pelo menos 10% dos dispositivos de proteção de endpoints estão desativados, sendo que no setor público chegam a quase 24% de dispositivos desativados, com o setor de saúde logo atrás, com 21%.
E o setor de saúde é considerado o com maior risco, seguido por varejo e manufatura. Os dispositivos conectados na área de saúde estão entre os com maior probabilidade de ter portas vulneráveis como Telnet, SSH e RDP abertas. Por exemplo, cerca de 10% dos dispositivos conectados na saúde têm portas Telent acessíveis, enquanto a média de outros setores varia entre 3% e 4%.
Como proteger a superfície de ataque?
É preciso entender que os dispositivos conectados mais arriscados podem não estar entre aqueles que enfrentam o maior número de ataques. Entretanto, eles também podem estar na mira de invasores, especificamente os dispositivos de rede, como roteadores, dispositivos de segurança, gateways VPN e dispositivos NAS, estão entre os mais visados entre os invasores.
O relatório pontua que as organizações precisam de planos de ação imediatos para atualizar, substituir ou isolar dispositivos com vulnerabilidades críticas em OT e IoMT, adotar soluções de proteção de terminais que realizem a verificação e aplicação automatizada de conformidade de dispositivos para garantir que dispositivos não conformes não consigam se conectar à rede, além de melhorar os esforços de segurança de rede, incluindo segmentação, para evitar que dispositivos conectados, como câmeras IP e portas abertas permitam invasões bem-sucedidas.
Além disso, com o aumento de perfis de risco de dispositivos conectados, as organizações precisam entender que para lidar com essa nova superfície de ataque é necessário adotar uma abordagem de segurança que identifique e reduza os riscos, com o gerenciamento de riscos abrangendo dispositivos de todas as categorias.
Outro ponto que precisa ser avaliado pelas empresas é que muitas soluções agem apenas em dispositivos específicos, como as voltadas para dispositivos OT ou IoMT, não permitindo que o risco em outros dispositivos de TI seja avaliado, exigindo que a ferramenta de avaliação de risco seja analisada para que atenda exatamente às necessidades da organização.
Da mesma forma, as estratégias de mitigação de riscos devem contar com controles automatizados, que apresentem respostas que vão além dos agentes de segurança, e que devem ser aplicados por toda a empresa, evitando silos específicos como a rede de TI, rede OT ou dispositivos IoT.
Adotar uma estratégia unificada de gestão de riscos é fundamental para garantir a proteção de dispositivos conectados à rede corporativa, bem como proteger a empresa em um cenário de ameaças em evolução. Por isso, a plataforma de segurança Forescout monitora todos os dispositivos conectados, automatizando a resposta quando a não conformidade ou comportamentos anormais são detectados.
Tenha visibilidade total sobre seus ativos de rede, garanta o monitoramento e vigilância de redes OT, aplique automaticamente controles com base em políticas e implemente uma política de confiança zero. Entre em contato e solicite uma demonstração da plataforma.
