Como proteger os componentes menos evidentes da sua infraestrutura de TI (e contra quais ameaças) – incluindo impressoras, sistemas de vigilância por vídeo e bombas de insulina.
As equipes de segurança da informação estão bem informadas sobre ataques a servidores e desktops, e as melhores práticas de proteção são amplamente conhecidas e estabelecidas. No entanto, a situação se torna muito mais complexa quando se trata de dispositivos menos evidentes, como roteadores, impressoras, equipamentos médicos e câmeras de vigilância por vídeo. Esses dispositivos frequentemente estão conectados à rede da organização junto com servidores e estações de trabalho. Determinar quais dispositivos devem ser a principal prioridade para a segurança da informação e identificar os fatores de risco associados a cada um é o foco do relatório “Dispositivos Conectados Mais Arriscados em 2024”.
Os autores do relatório analisaram mais de 19 milhões de dispositivos, incluindo computadores de trabalho, servidores, dispositivos IoT e equipamentos médicos especializados. Para cada dispositivo, foi calculado um nível de risco com base em vulnerabilidades conhecidas e exploráveis, portas abertas acessíveis pela Internet e tráfego malicioso direcionado ao dispositivo. Também foram consideradas a importância do dispositivo para a organização e as possíveis consequências graves de um comprometimento. A seguir estão os dispositivos identificados como mais frequentemente vulneráveis e de alto risco pelos pesquisadores.
Pontos de acesso sem fio, roteadores e firewalls
Os dispositivos de rede ocupam os dois primeiros lugares na lista dos dispositivos mais arriscados em redes de escritório, com uma margem significativa. Os roteadores, por exemplo, frequentemente têm acesso via Internet e portas e serviços de gerenciamento expostos, como SSH, Telnet e SMB, além de serviços proprietários altamente especializados, tornando-os alvos atraentes para agentes de ameaças. Nos últimos anos, invasores têm se especializado em explorar vulnerabilidades nessas interfaces de administração.
O mesmo se aplica aos firewalls, especialmente porque roteadores e firewalls muitas vezes estão integrados em um único dispositivo em pequenas e médias empresas. Pontos de acesso, por outro lado, costumam ter configurações inseguras mais frequentemente que os roteadores, mas a ameaça é um pouco reduzida pelo fato de que comprometer esses dispositivos geralmente exige proximidade física. O ataque inicial frequentemente ocorre por meio de uma rede Wi-Fi para convidados ou uma rede dedicada a dispositivos móveis.
Impressoras
Embora a exploração de impressoras por hackers não seja frequente, quando ocorre, os casos tendem a ser de alto perfil. Os principais fatores de risco associados às impressoras incluem:
– **Conexões Diretas:** Muitas impressoras estão conectadas diretamente à rede do escritório e, frequentemente, também aos servidores centrais dos fabricantes, ou seja, à Internet.
– **Configurações Padrão:** Impossibilitados de alterar senhas padrão e configurações, essas impressoras permitem que invasores visualizem, excluam e adicionem trabalhos de impressão sem precisar explorar vulnerabilidades específicas.
– **Falta de Segurança:** Normalmente, impressoras não possuem ferramentas robustas de segurança e, muitas vezes, são incluídas nas listas de permissões de firewall pelos administradores de rede para garantir que todos os computadores possam acessá-las.
– **Atualizações Lentas:** Atualizações de software para impressoras frequentemente demoram para ser lançadas e a instalação pelos usuários é lenta, permitindo que vulnerabilidades críticas permaneçam exploráveis por anos.
– **Dispositivos Especializados:** A categoria “impressoras” abrange não apenas MFPs de rede, mas também impressoras especializadas, como as de etiquetas e recibos, que estão frequentemente conectadas a terminais POS e sistemas que processam informações financeiras sensíveis.
Impressoras são alvos preferidos para hacktivistas e grupos de ransomware, já que um ataque que imprime milhares de cópias de uma mensagem ameaçadora pode gerar um impacto significativo.
Dispositivos VoIP e câmeras de vigilância IP
Assim como as impressoras, dispositivos em categorias semelhantes frequentemente enfrentam problemas semelhantes: raramente são atualizados, podem ser acessados pela Internet, carecem de ferramentas integradas de segurança da informação e costumam operar com configurações padrão e inseguras.
Além dos riscos comuns de comprometimento do dispositivo e movimentação lateral de hackers pela rede, existem perigos específicos. Invasores podem espionar ativos e instalações protegidas, interceptar chamadas VoIP ou usar a telefonia VoIP para fins fraudulentos, fingindo ser a organização atacada. Nesse cenário, explorar vulnerabilidades específicas pode não ser necessário; uma configuração inadequada ou uma senha padrão pode ser suficiente para a exploração.
Dispensadores automáticos de medicamentos e bombas de infusão
Os dispositivos de nicho mais críticos são os dispensadores automatizados de medicamentos e as bombas de infusão digitais, cujo comprometimento pode causar grandes perturbações nos hospitais e ameaçar vidas. Segundo os pesquisadores, o risco é elevado quando esses dispositivos não estão protegidos contra conexões externas. No final de 2022, foram descobertas 183 interfaces de gerenciamento acessíveis ao público para esses dispositivos, e esse número aumentou para 225 até o final de 2023. Para que ocorra um incidente crítico que afete o atendimento ao paciente, muitas vezes não é necessário um comprometimento profundo do dispositivo; uma simples negação de serviço ou desconexão da rede de telecomunicações pode ser suficiente. Ataques realizados pelo grupo de ransomware LockBit já resultaram em tais situações. Outro risco é a alteração maliciosa da dosagem do medicamento, facilitada por vulnerabilidades nos dispositivos e configurações inseguras. Em algumas instituições, até mesmo um paciente pode alterar a dosagem simplesmente conectando-se ao Wi-Fi do hospital.
Como proteger equipamentos vulneráveis em sua organização
Desative todos os serviços desnecessários e restrinja o acesso apenas aos serviços essenciais. Os painéis de controle e portais de serviço devem ser acessíveis apenas a partir de computadores administrativos localizados na sub-rede interna. Essa medida é crucial para hardware de rede e qualquer equipamento exposto à Internet.
Segmentar a rede é fundamental: crie separações entre as redes de escritório, produção e administrativa. Garanta que dispositivos IoT e outros recursos isolados não possam ser acessados pela Internet ou pela rede geral do escritório disponível para todos os funcionários.
Utilize senhas fortes e exclusivas para cada administrador, e implemente Autenticação Multifator (MFA) sempre que possível. Assegure-se de que cada usuário tenha senhas exclusivas e aplique MFA para acessar recursos e equipamentos críticos.
Se um dispositivo não suportar autenticação e MFA robustas, isole-o em uma sub-rede separada e adote controle de acesso MFA no nível do equipamento de rede.
Priorize a atualização rápida de firmware e software para equipamentos de rede. Revise detalhadamente as configurações de rede e segurança do equipamento, ajustando as configurações padrão para garantir segurança adequada. Desative contas padrão integradas e remova o acesso sem senha.
Consulte o manual do roteador, se disponível, para orientações sobre segurança (hardening); caso contrário, busque recomendações de organizações internacionais respeitáveis.
Ao adquirir impressoras, periféricos multifuncionais (MFPs) e dispositivos semelhantes, investigue os recursos padrão que podem aprimorar a segurança. Modelos corporativos podem oferecer impressão segura criptografada, atualizações automáticas de firmware e exportação de eventos para um sistema SIEM para monitoramento abrangente.
Implemente um sistema de segurança completo em sua organização, incluindo monitoramento de rede baseado em SIEM e EDR.
