O hardware conectado à Internet das Coisas (IoT) pode receber e encaminhar não apenas dados, mas também comandos ou código de malware sob controle externo. Os sensores existentes não devem ser pontos cegos na segurança de TI. Seis dicas para detectar e analisar ataques da Internet das Coisas.
Os gerentes de segurança de TI precisam de métodos de defesa que possam detectar, analisar e evitar um ataque, por exemplo, por meio de uma câmera IP ou outros sensores. Qualquer pessoa que veja o tráfego de rede resultante pode bloquear ataques em um estágio inicial ou contê-los rapidamente em caso de emergência. Network Detection and Response (NDR) faz parte de um sistema abrangente de defesa cibernética, também para empresas de médio porte.
Muitos dispositivos IoT em rede como um perigo
A rede por meio de dispositivos IoT está aumentando constantemente. Em dezembro de 2021, os especialistas da IoT Analytics presumiram que o número de endpoints ativos em todo o mundo aumentaria em nove por cento, para 12,3 bilhões de dispositivos até o final do ano. O número total de conexões seria, portanto, superior a 2025 bilhões em 27. As empresas industriais e de saúde têm implementado cada vez mais dispositivos conectados à rede corporativa central. Mesmo as pequenas e médias empresas estão se abrindo cada vez mais para a Internet - muitas vezes sem um plano de segurança de TI correspondente e com poucos recursos de defesa.
Portal para a Internet das Coisas
O hardware de IoT é um alvo atraente para hackers: eles sequestram câmeras IP conectadas à rede da empresa para botnets e as usam para realizar ataques de negação de serviço. Um perigo generalizado é o roteador privado ou outros dispositivos IoT no escritório doméstico. Os invasores podem usá-los para obter acesso à infraestrutura central de TI da empresa. Em última análise, mesmo pequenas lacunas abrem portas e portões para atividades de hackers de longo alcance.
Existem vários motivos pelos quais os sensores e o hardware IoT são um ponto fraco nas defesas de TI: Muitos administradores geralmente não sabem quais dispositivos fazem parte de sua rede. Além disso, as empresas usam os dispositivos desde que funcionem de alguma forma - por mais tempo do que o fabricante pretendia. Se os fabricantes não oferecerem mais suporte a esses sistemas, esses dispositivos se tornarão uma falha de segurança, especialmente porque os usuários geralmente não atualizam os dispositivos. Se houver alguma atualização.
Examine o tráfego em busca de anomalias
O acesso imediato aos dispositivos IoT é necessário para detectar e defender contra a troca de comandos entre o sensor e o servidor de comando e controle ou movimentos laterais para fins maliciosos em um estágio inicial. Se os dispositivos tiverem um endereço IP e fizerem parte da rede da empresa, o NDR pode ver e avaliar o tráfego da câmera de vídeo IP, do sensor em produção ou da fechadura inteligente.
A impressão digital da comunicação anormal com dispositivos IoT gerenciados baseados em IP claramente se destaca do tráfego de dados normal: Sensores em produção, por exemplo, entregam regularmente pequenos pacotes a sistemas centrais e aplicativos em operação padrão segura e quase nunca recebem pacotes de dados de volta - de um atualizar além disso. Por outro lado, nenhum dado deve ser transmitido externamente, a menos que um fornecedor queira enviar dados ao parceiro. No entanto, uma análise do tráfego de rede treinado por inteligência artificial e aprendizado de máquina reconhece processos imprevistos e dispara um alarme.
Seis dicas para evitar ataques da Internet das Coisas
1. Segmentar redes corporativas
Os dispositivos IoT devem se mover em sua própria rede. Uma rede de convidados é suficiente para coletar e encaminhar dados no local. O acesso a essa rede ou padrões visíveis no tráfego de dados entre a IoT e a rede central podem ser vistos e monitorados com eficiência.
2. Confiança zero como proteção básica
Nenhum acesso de um dispositivo IoT deve ser permitido sem verificação. Esse controle de acesso padrão cria segurança imediata e evita o crescimento descontrolado do hardware IoT com acesso à rede.
3. Remendos virtuais
Um patch virtual em um firewall de aplicativo ajuda a controlar o tráfego de dispositivos IoT não atualizáveis ou gerenciáveis para a rede. Eles resolvem os problemas de segurança existentes por meio de um bloqueio no nível do firewall.
4. Um alarme deve ser seguido por uma ação imediata
Padrões anormais de tráfego de dados na rede devem acionar contramedidas por meio de firewalls, antivírus, detecção de endpoint e resposta ou gerenciamento de identidade. Bloquear sistemas ou um backup automático de instantâneo quando um ataque suspeito ocorre pela primeira vez e durante os preparativos são medidas imediatas automatizadas para evitar danos.
5. Construir uma estratégia de defesa abrangente
Se os sistemas de TI não fizerem parte da rede da empresa, os administradores de TI podem teoricamente instalar um sensor NDR localmente, o que acarreta altos custos e esforço administrativo. Outras tecnologias de segurança, portanto, desempenham um papel importante, por exemplo, com o roteador doméstico não gerenciado: um cliente EDR garante a proteção imediata desse endpoint.
6. Analise os eventos para prevenir os ataques de amanhã
Se o NDR repeliu um ataque com a ajuda de outras tecnologias, a análise do incidente desempenha um papel importante para fechar a lacuna e evitar ataques subsequentes. Os caminhos de um ataque, que uma detecção e resposta de rede registra em uma linha do tempo de e para fora e dentro do sistema em um espelho de todo o tráfego de dados, permanecem visíveis. A inteligência artificial e o aprendizado de máquina também estão criando novos padrões de ataque de tráfego que podem indicar um ataque de IoT e ajudar na mitigação futura.
Reconhecer rastros no tráfego de dados
O perigo da Internet das Coisas sobrecarrega rapidamente as equipes de TI com poucos recursos humanos e técnicos de TI. Mas toda vez que a IoT é o ponto de partida para um ataque à infraestrutura central de TI com sistemas, aplicativos e conhecimento da empresa, esses eventos são refletidos no tráfego de dados. Detecção e resposta de rede, que desenvolve modelos de tráfego normais com base em IA, aprendizado de máquina e inteligência de ameaças, alerta para anomalias e toma contramedidas automáticas. Essa defesa está agora ao alcance das pequenas e médias empresas.
Mais em Forumova.com
Sobre a ForeNova A ForeNova é uma especialista em segurança cibernética com sede nos EUA que oferece a empresas de médio porte Detecção e Resposta de Rede (NDR) acessíveis e abrangentes para mitigar com eficiência os danos causados por ameaças cibernéticas e minimizar os riscos comerciais. A ForeNova opera o centro de dados para clientes europeus em Frankfurt a. M. e projeta todas as soluções compatíveis com GDPR. A sede europeia fica em Amsterdã.