Los dispositivos IoT son una fuente importante de problemas de seguridad
El aumento del 700 por ciento en el malware específico para el IoT reafirma la necesidad de una seguridad de confianza cero.
Zscaler, líder en seguridad en la nube, presenta su nuevo estudio en el que examina el estado de los dispositivos IoT que han permanecido abandonados en las redes corporativas en un momento en el que las empresas se han visto obligadas a pasar a un entorno de trabajo remoto.
Para la elaboración del nuevo informe, titulado "IoT in the Enterprise: Empty Office Edition", en el transcurso de dos semanas en diciembre de 2020 Zscaler analizó más de 575 millones de operaciones de dispositivos, entre los que se bloquearon 300.000 ataques de malware específicamente relacionados con el IoT, lo que representó un aumento del 700% en comparación con los resultados anteriores a la pandemia. Estos ataques se dirigieron a 553 tipos de dispositivos diferentes, incluyendo impresoras, señalización digital y televisores inteligentes, todos conectados y comunicados con las redes de TI corporativas mientras muchos empleados estaban trabajando de forma remota durante la pandemia COVID-19. El equipo de investigación de ZscalerTM ThreatLabz identificó los dispositivos IoT más vulnerables, los orígenes y destinos más comunes de los ataques y las familias de malware responsables de la mayoría del tráfico malicioso para ayudar mejor a las empresas a proteger sus valiosos datos.
"Durante más de un año, la mayoría de las oficinas corporativas han permanecido en su mayoría abandonadas, ya que los empleados continuaron trabajando de forma remota durante la pandemia de COVID-19. Sin embargo, nuestros equipos de servicio observaron que, a pesar de la falta de empleados, las redes empresariales seguían vibrando con la actividad de IoT", dijo Deepen Desai, CISO de Zscaler. "El volumen y la variedad de dispositivos IoT conectados a las redes corporativas es enorme e incluye desde lámparas musicales hasta cámaras IP. Nuestro equipo vio que el 76 % de estos dispositivos todavía se comunican en canales de texto plano sin cifrar, lo que significa que una mayoría de las transacciones de IoT suponen un gran riesgo para la empresa".
¿Qué dispositivos corren más riesgo?
De los más de 500 millones de transacciones de dispositivos IoT, Zscaler identificó 553 tipos de dispositivos diferentes de 212 fabricantes, el 65 % de los cuales pertenecían a tres categorías: decodificadores (29 %), televisores inteligentes (20 %) y smartwatches (15 %). La categoría de ocio y domótica fue la que más dispositivos únicos presentó, pero fue la que menos transacciones realizó en comparación con los dispositivos de producción, corporativos y de asistencia sanitaria.
En cambio, la mayor parte del tráfico procedió de dispositivos de las industrias de fabricación y comercio minorista: el 59 % de todas las transacciones fueron de dispositivos de este sector e incluyeron impresoras 3D, rastreadores de geolocalización, sistemas multimedia para automóviles, terminales de recogida de datos como lectores de códigos de barras y terminales de pago. Los dispositivos empresariales fueron los segundos más habituales, con el 28 % de las transacciones, y los dispositivos de atención sanitaria les siguieron con casi el 8 % del tráfico.
ThreatLabz de Zscaler también detectó una serie de dispositivos independientes que se conectaban a la nube, como frigoríficos inteligentes y lámparas musicales, que seguían enviando tráfico a través de las redes corporativas.
¿Quién es el responsable?
El equipo de ThreatLabz también examinó detenidamente las actividades específicas del malware de IoT rastreado en la nube de Zscaler. En cuanto al volumen, se observó un total de 18.000 hosts únicos y aproximadamente 900 entregas de carga útil únicas en un periodo de 15 días. Las familias de malware Gafgyt y Mirai fueron las dos familias más comunes encontradas por ThreatLabz, representando el 97 % de las 900 cargas útiles únicas. Estas dos familias son conocidas por secuestrar dispositivos para crear botnets, es decir, grandes redes de ordenadores privados que pueden controlarse como grupo para propagar malware, sobrecargar la infraestructura o enviar spam.
¿Quién es el objetivo?
Los tres países más afectados por los ataques al IoT son Irlanda (48 %), Estados Unidos (32 %) y China (14 %). Se observó que la mayoría de los dispositivos IoT comprometidos, casi el 90 %, enviaban datos a servidores de uno de estos tres países: China (56 %), Estados Unidos (19 %) o India (14 %).
¿Cómo pueden protegerse las organizaciones?
Como la lista de dispositivos "inteligentes" en el mundo crece a diario, es casi imposible evitar que accedan a su organización. En lugar de intentar eliminar la TI en la sombra, los equipos de TI deben adoptar políticas de acceso que impidan que estos dispositivos sirvan de puertas abiertas a los datos y aplicaciones empresariales más sensibles. Estas políticas y estrategias pueden emplearse tanto si los equipos de TI (u otros empleados) están en las instalaciones como si no. ThreatLabz aconseja seguir los siguientes métodos para mitigar la amenaza del malware del IoT, tanto en los dispositivos gestionados como en los BYOD:
· Obtenga visibilidad de todos sus dispositivos de red. Implante soluciones capaces de revisar y analizar los registros de red para conocer todos los dispositivos que se comunican a través de su red y lo que hacen.
· Cambie todas las contraseñas por defecto. El control de las contraseñas no siempre es posible, pero un primer paso básico para el despliegue de dispositivos IoT propiedad de la empresa debería ser la actualización de las contraseñas y la implantación de la autenticación de dos factores.
· Actualice y aplique parches con regularidad. Muchos sectores, especialmente el de la producción y la salud, dependen de los dispositivos IoT para sus flujos de trabajo habituales. Asegúrese de estar al tanto de cualquier nueva vulnerabilidad que se descubra y de mantener la seguridad de los dispositivos actualizada con los últimos parches.
· Implante una arquitectura de seguridad de confianza cero. Aplique políticas estrictas para sus activos corporativos, de modo que los usuarios y los dispositivos puedan acceder sólo a lo que les es necesario, y sólo después de la autenticación. Restrinja la comunicación a las IP, ASN y puertos relevantes necesarios para el acceso externo. Los dispositivos IoT no autorizados que requieran acceso a Internet deben pasar por una inspección de tráfico y ser bloqueados para que no puedan acceder a todos los datos corporativos, idealmente a través de un proxy. La única forma de evitar que los dispositivos IoT en la sombra supongan una amenaza para las redes corporativas es eliminar las políticas de confianza implícita y controlar estrictamente el acceso a los datos sensibles mediante la autenticación dinámica basada en la identidad, también conocida como confianza cero.
