Quão perigosa é a ameaça de ataques em cadeia de destruição na IoT?

De acordo com uma pesquisa recente do Gartner, estima-se que haverá 200 bilhões de dispositivos IoT conectados até o final de 2020. E enquanto conectada, a tecnologia autônoma aumentará claramente a eficiência e a produtividade, empresas e indivíduos não devem subestimar os riscos apresentados pela IoT .

Veja também: Conheça os dois hackers por trás do grande ataque DDoS de outubro

Um dos principais problemas com os dispositivos IoT nas empresas é que, após a instalação inicial, os dispositivos são frequentemente esquecidos e deixados para funcionar por conta própria. Isso permite grandes ameaças à segurança da IoT, como ataques de negação de serviço distribuído (DDoS) por meio de botnets - a tática usada para atacar o Sistema de Nomes de Domínio (DNS) Dyn em 2016 - e ataques kill chain.

O conceito de um ataque em cadeia de destruição já existe há vários anos. Originalmente um termo militar, os cientistas da computação da Lockheed-Martin Corporation começaram a usá-lo com segurança cibernética em 2011 para descrever uma estrutura usada para defender redes de computadores. Sua relevância ganhou um novo significado no cenário atual de segurança de dispositivos IoT e ataques de botnet.

A “cadeia de destruição” descreve as fases de um ataque cibernético, desde o reconhecimento inicial até a conclusão do ataque, com o objetivo final de roubo de dados e possibilitando mais ataques. Essas etapas são:

1. Reconhecimento: O invasor seleciona seu dispositivo de destino e começa a pesquisar vulnerabilidades.
2. Armamento: O invasor usa uma arma de malware de acesso remoto, como um vírus ou worm, para lidar com a vulnerabilidade.
3. Entrega: O invasor transmite armas cibernéticas para o dispositivo alvo, seja por meio de anexos de e-mail, sites, drives USB, etc.
4. Exploração: O código de armas de malware é usado para desencadear o ataque, agindo na rede alvo para explorar as vulnerabilidades identificadas acima.
5. Instalação: A arma de malware instala pontos de acesso para uso do invasor.
6. Comando e controle: O malware então permite que o invasor obtenha acesso persistente "com as mãos no teclado" à rede alvo, permitindo ataques futuros.

Dispositivos IoT, incluindo wearables, TVs na sala de reuniões e câmeras de segurança, são alvos fáceis para invasores de cadeia de destruição; o proprietário do dispositivo IoT nem sempre é necessariamente o culpado. Para os fabricantes de dispositivos IoT, os mecanismos de segurança são geralmente uma reflexão tardia - muitas empresas empregam práticas de segurança fracas, como ter pouca ou nenhuma criptografia para informações e senhas de codificação diretamente no dispositivo. Na verdade, no ano passado, descobriu-se que 80 modelos de câmeras de segurança IP da Sony tinham portas traseiras, o que poderia dar aos hackers acesso fácil a filmagens de segurança extremamente privadas.

Passos para prevenir e responder a um ataque em cadeia de destruição

A melhor maneira de evitar que uma cadeia de eliminação se infiltre na segurança da IoT corporativa é investir em uma abordagem em camadas. Existem quatro etapas para aplicar essa abordagem.

A primeira etapa é a avaliação ou começando com um processo de descoberta de rede de todos os dispositivos IoT existentes conectados à rede, incluindo dispositivos gerenciados e parcialmente gerenciados. É importante entender a classificação de cada dispositivo, em qual sistema operacional ele é executado e quais aplicativos estão instalados nele.

Depois de realizar uma avaliação, a próxima etapa é a segmentação . Os dispositivos IoT não devem ser incluídos no mesmo segmento de rede que outros dispositivos, ou ao alcance dos sistemas e dados de missão crítica da organização. As melhores práticas para garantir a segurança incluem a implantação de um firewall entre segmentos IoT e não IoT para minimizar os riscos para as “joias da coroa” de sua rede.

Após a segmentação, a próxima etapa é a detecção ou certificando-se de analisar regularmente o comportamento da rede, de modo que, se novos dispositivos IoT forem adicionados, seja possível verificar se o comportamento deles está de acordo com o de outros dispositivos semelhantes. Um dispositivo comprometido ou falso pode ser semelhante a outro dispositivo IoT, mas se comportar de maneira diferente.

A etapa final é a resposta . Como os alertas manuais podem levar horas ou até dias para serem processados, as empresas devem envolver um plano de backup que limite imediatamente o acesso a um dispositivo com padrões de comportamento irregulares.

Veja também: Câmeras de tráfego levam a um grande ataque Dyn DDoS

Essa abordagem em camadas foi projetada para evitar a probabilidade de um ataque em cadeia de destruição e realizar o controle de danos durante ataques ao vivo. Usando este inventário, as pessoas serão capazes de entender o comportamento do dispositivo nas redes e ser alertadas sobre comportamento irregular. Se, apesar de todas essas etapas, ocorrer um ataque, as pessoas serão capazes de responder com eficácia com base em um plano de backup previamente criado.

Considere, por exemplo, um refrigerador inteligente que foi instalado no escritório da sua empresa. Além de resfriar suas bebidas favoritas e relatar o uso de eletricidade, geladeiras inteligentes conectam-se à rede sem fio para buscar dados e, como resultado, também têm a capacidade de se infiltrar em outros dispositivos em sua vizinhança imediata, como laptops, computadores desktop e móveis telefones. Como o acesso à geladeira não é protegido por senha, os hackers podem acessar e realizar um ataque lateral facilmente, não apenas em dispositivos inteligentes, mas em todos os dispositivos sob o teto de uma empresa.

Em um ambiente conectado, apenas a tecnologia de abordagem em camadas inteligente que pode ver, controlar, reagir e gerenciar os riscos será eficaz na proteção de redes corporativas e dispositivos IoT do próximo grande ataque kill chain.