Superando o desafio de segurança IoT do trabalhador doméstico

Greg Day da Palo Alto Networks
À medida que as linhas entre o ambiente de trabalho e o ambiente doméstico continuam a desaparecer, o mesmo ocorre com a separação entre os dispositivos conectados corporativos e pessoais. Isso está expondo novos desafios de segurança cibernética que exigirão uma resposta coordenada de todos, incluindo trabalhadores domésticos, afirma Greg Day, VP e CSO EMEA da Palo Alto Networks .

Inundação de IoT não comercial nas redes comerciais

Um crescimento no trabalho doméstico e híbrido está fazendo com que os dispositivos conectados ao consumidor se extraviem para as redes comerciais em maior número. Há dois anos, acompanhamos essa tendência como parte de um estudo de segurança da IoT que cobre 18 países na EMEA, APAC e nas Américas.

No estudo de 2021, 78% dos tomadores de decisão de TI em todo o mundo (entre aqueles cuja organização tem dispositivos IoT conectados à sua rede) relataram um aumento nos dispositivos IoT não comerciais que se conectam a redes corporativas por funcionários remotos no ano passado. Em alguns mercados como os EUA, os relatórios são ainda maiores, com 84% afirmando que houve um aumento.

Quando você examina que tipo de coisas não relacionadas aos negócios estão sendo encontradas, a variedade é impressionante. Globalmente, os dispositivos conectados não comerciais mais comuns relatados são monitores médicos vestíveis seguidos por lâmpadas inteligentes, equipamentos de ginástica conectados, máquinas de café, consoles de jogos e até alimentadores de animais de estimação estão entre a lista dos dispositivos mais estranhos detectados. Parte da razão para isso é que o aumento nos hábitos de trabalhar em casa (WFH) está coincidindo com um boom de kits domésticos inteligentes, bem como uma variedade de vestíveis para condicionamento físico e saúde.

Falhas e ameaças de segurança cibernética

Embora uma lista de chamadas de dispositivos IoT incomuns possa ser uma leitura divertida, eles representam um desafio crescente de segurança para as equipes de segurança cibernética. Os invasores precisam apenas de um funcionário para ter um dispositivo vulnerável que pode ser explorado. Muitos dispositivos IoT de consumidor vêm com recursos de segurança ruins ou, infelizmente, sem recursos de segurança. Na verdade, quanto você pode esperar de um nível de segurança de nível empresarial em um dispositivo inteligente que custa menos de $ 100 (€ 88,59). Da mesma forma, boas práticas de codificação adotadas por empresas de software maduras costumam ter prioridade mais baixa e as correções de bugs podem ser lentas.

Especialistas em inteligência de ameaças, como nossa própria equipe da Unidade 42, estão relatando ataques que visam vulnerabilidades no kit do escritório doméstico. Isso incluiu uma variante do Mirai atacando falhas de segurança em uma variedade de dispositivos IoT domésticos em fevereiro de 2021. A maior preocupação é como um dispositivo comprometido conectado não comercial é usado para lançar um ataque de ransomware mais sério. Neste verão, a Unidade 42 revelou evidências de como as gangues de ransomware pareciam estar investindo em ferramentas usando a variante de ransomware eCh0raix para direcionar trabalhadores domésticos com dispositivos NAS. A motivação desses ataques pode ser o uso de um dispositivo conectado em casa explorado como um trampolim em ataques à cadeia de suprimentos em grandes empresas que podem gerar enormes resgates.

Consequentemente, os dispositivos IoT do consumidor podem ser um grande problema para os negócios; isso é algo que os entrevistados reconheceram em nosso estudo. Globalmente, a maioria dos tomadores de decisão de TI (81%), cuja organização tem dispositivos IoT conectados à sua rede, relatou que o trabalho remoto durante a pandemia COVID-19 resultou em um aumento do risco de dispositivos IoT inseguros na rede de negócios de sua organização. Para mais de sete em cada dez (78%), esse risco aumentado se traduziu em um aumento no número de incidentes de segurança de IoT.

Nem o trabalho doméstico nem o aumento de dispositivos de IoT irão desaparecer, então há uma pressão cada vez maior para revisar a segurança cibernética de IoT. Na verdade, quase todos os entrevistados (96% em 2021 e 95% em 2020) de nossa pesquisa global de IoT indicaram que sua organização precisa de melhorias em sua abordagem à segurança de IoT. Em 2021, 25% sugeriram que uma revisão completa seria o melhor.

Como os trabalhadores da WFH podem ajudar

É preciso haver uma abordagem em três frentes com a segurança cibernética de IoT reforçada começando em casa.

As organizações precisam educar e obrigar seus funcionários da WFH a elevar os padrões de higiene de segurança cibernética doméstica, começando com seu roteador. Alguns pedidos básicos devem incluir a alteração das configurações de segurança padrão e, em seguida, criptografar a rede doméstica simplesmente atualizando as configurações do roteador para WPA3 Personal ou WPA2 Personal. Os funcionários da WFH também devem ser cobrados para fazer uma auditoria do que está conectado e desativar todos os dispositivos que não estejam em uso regular.

Há outro passo que deve ser dado. Os funcionários da WFH também devem aproveitar o recurso de microssegmentação que geralmente é encontrado no firmware da maioria dos roteadores wi-fi. Isso permite que os usuários mantenham redes separadas, uma para convidados e dispositivos IoT e outra usada para fins corporativos.

A segmentação da rede é a chave para uma boa higiene cibernética geral na empresa e em casa. De acordo com a pesquisa IoT, 51% dos tomadores de decisão de TI (que têm dispositivos IoT conectados à rede de sua organização) indicaram que os dispositivos IoT são segmentados em uma rede separada. Eles são separados daquele que usam para dispositivos de negócios primários e aplicativos de negócios (por exemplo, sistema de RH, servidor de e-mail, sistema financeiro). No entanto, é preocupante que um número relativamente grande de tomadores de decisão de TI globais (um em cada cinco) admita que os dispositivos IoT não são segmentados em uma rede separada daquela que usam para os dispositivos primários e os principais aplicativos de negócios. Em alguns mercados, como o Reino Unido, os resultados são ainda piores, com um em cada três admitindo nenhuma segmentação.

Finalmente, as organizações devem se afastar do modelo de conexão hub and spoke, onde tudo passa por um canal de segurança e onde os funcionários domésticos se conectam de volta à empresa via VPN. No ecossistema conectado diversificado de hoje, a segurança de tamanho único simplesmente não funciona. Freqüentemente, os usuários procuram o botão OFF em suas VPNs para habilitar os principais serviços de negócios, como conferência. No trabalho a qualquer hora, em qualquer lugar do mundo, a segurança cibernética de ponta tem que se adaptar para estar contextualmente ciente, para permitir uma segurança adequada que seja transparente para o usuário e otimize a experiência, para que ele não sinta a necessidade de desligá-la.

Aplicando confiança zero

A outra vertente da segurança cibernética IoT reforçada está dentro da própria empresa e como os dispositivos IoT desonestos são policiados e impedidos de se conectar à rede.

As organizações devem usar políticas de acesso com privilégios mínimos para impedir que dispositivos não autorizados se conectem a suas redes. Eles devem permitir que apenas dispositivos e usuários aprovados acessem o que for necessário. Aproveitando a Zero Trust é a melhor maneira de garantir que esses dispositivos não criem exposição de dados ou afetem negativamente a continuidade dos negócios.

Especificamente para a segurança da IoT, as organizações precisam de uma solução de monitoramento em tempo real que analise continuamente o comportamento dos dispositivos IoT conectados à rede. Busca conhecer o desconhecido, descobrindo a quantidade exata de dispositivos conectados à sua rede, incluindo aqueles que você conhece e não conhece e aqueles que foram esquecidos. O inventário de ativos de IoT pode, então, aproveitar os investimentos existentes em firewall para recomendar e aplicar políticas de segurança automaticamente. Isso seria baseado no nível de risco e na extensão do comportamento não confiável detectado nesses dispositivos. Uma solução pontual pode estender uma rede corporativa e trazer gerenciamento de política de segurança unificada e borda de serviço de acesso seguro (SASE) para funcionários WFH:é assim que você ativa a segurança contextual.

Não espere por uma solução jurídica

Em última análise, os riscos de segurança de qualquer dispositivo IoT podem ser mitigados por uma onda de novas regulamentações para fazer os fabricantes e distribuidores criarem uma segurança mais forte em primeiro lugar. No entanto, essas leis na UE e em países como o Reino Unido estão apenas em um estágio inicial e é improvável que tenham um impacto real por vários anos. A responsabilidade pela segurança aprimorada da IoT recairá sobre os funcionários e suas organizações.

Considerando a importância dos dispositivos de IoT para a forma como trabalhamos e nos divertimos, é hora de as organizações mudarem a maneira como tradicionalmente respondem à segurança cibernética e criar uma cultura de saúde cibernética proativa que se estende do c-suite a todos os funcionários. Essa mudança permitirá o investimento e o foco em práticas de higiene cibernética que ajudarão a impedir ataques cibernéticos e reduzir o impacto potencial de um incidente cibernético por meio de uma empresa inocente ou dispositivo pessoal conectado.

O autor é Greg Day, VP e CSO EMEA, Palo Alto Networks.