De acuerdo con Claudia Rincón Pérez, directora de Factoría IT, Zscaler publicó un estudio que examina el estado de los dispositivos IoT que quedan en las redes corporativas durante una época en la que las empresas se vieron obligadas a trasladarse a un entorno de trabajo remoto.
El informe analizó más de 575 millones de transacciones de dispositivos y 300,000 ataques de malware específicos de IoT bloqueados en el transcurso de dos semanas en diciembre de 2020, un aumento del 700% en comparación con los hallazgos prepandémicos. Estos ataques se dirigieron a 553 tipos de dispositivos diferentes, incluidas impresoras, señalización digital y televisores inteligentes, todos conectados y comunicándose con redes de TI corporativas mientras muchos empleados trabajaban de forma remota durante la pandemia de COVID-19.
Rincón Pérez refirió que el equipo de investigación identificó los dispositivos de IoT más vulnerables, los orígenes y destinos de ataques más comunes y las familias de malware responsables de la mayoría del tráfico malicioso para ayudar a las empresas a proteger mejor sus datos valiosos.
“Durante más de un año, la mayoría de las oficinas corporativas han permanecido abandonadas, ya que los empleados continuaron trabajando de forma remota durante la pandemia de COVID-19 . Sin embargo, nuestros equipos de servicio notaron que, a pesar de la falta de empleados, las redes empresariales todavía estaban repletas de actividad de IoT ”, dijo Deepen Desai , CISO de Zscaler .
“El volumen y la variedad de dispositivos IoT conectados a las redes corporativas es enorme e incluye de todo, desde lámparas musicales hasta cámaras IP. Nuestro equipo vio que el 76 por ciento de estos dispositivos aún se comunicaban en canales de texto sin cifrar sin cifrar, lo que significa que la mayoría de las transacciones de IoT representan un gran riesgo para la empresa ".
¿Qué dispositivos de IoT corren mayor riesgo de sufrir malware?
De más de 500 millones de transacciones de dispositivos IoT, se identificaron 553 dispositivos diferentes de 212 fabricantes, el 65 por ciento de los cuales se clasificaron en tres categorías: decodificadores (29 por ciento), televisores inteligentes (20 por ciento) y relojes inteligentes (15 por ciento). ).
La categoría de entretenimiento y automatización en el hogar tuvo la mayor variedad de dispositivos únicos, pero representaron la menor cantidad de transacciones en comparación con los dispositivos de fabricación, empresariales y de atención médica.
En cambio, la mayor parte del tráfico provino de dispositivos en las industrias de fabricación y venta minorista: el 59 por ciento de todas las transacciones fueron de dispositivos en este sector e incluyeron impresoras 3D, rastreadores de geolocalización, sistemas multimedia automotrices, terminales de recopilación de datos como lectores de códigos de barras y terminales de pago.
Los dispositivos empresariales fueron los segundos más comunes, representando el 28 por ciento de las transacciones, y los dispositivos de salud le siguieron con casi el 8 por ciento del tráfico.
También se descubrieron varios dispositivos inesperados que se conectaban a la nube, incluidos refrigeradores inteligentes y lámparas musicales que aún enviaban tráfico a través de redes corporativas.
¿Quién es el responsable?
El equipo también examinó de cerca las actividades específicas del malware de IoT rastreado en la nube. En cuanto al volumen, se observó un total de 18.000 hosts únicos y aproximadamente 900 entregas de carga útil única en un período de tiempo de 15 días.
Las familias de malware Gafgyt y Mirai fueron las dos familias más comunes encontradas por ThreatLabz, y representaron el 97 por ciento de las 900 cargas útiles únicas. Estas dos familias son conocidas por secuestrar dispositivos para crear botnets: grandes redes de computadoras privadas que se pueden controlar como grupo para propagar malware, sobrecargar la infraestructura o enviar spam.
¿A quién se dirige?
Los tres principales países objetivo de los ataques de IoT fueron Irlanda (48 por ciento), Estados Unidos (32 por ciento) y China (14 por ciento).
Se observó que la mayoría de los dispositivos de IoT comprometidos, casi el 90 por ciento, enviaban datos a servidores en uno de los tres países: China (56 por ciento), Estados Unidos (19 por ciento) o India (14 por ciento).
¿Cómo pueden protegerse las organizaciones?
A medida que la lista de dispositivos "inteligentes" en el mundo crece día a día, es casi imposible evitar que entren en su organización. En lugar de intentar eliminar la TI en la sombra, los equipos de TI deben promulgar políticas de acceso que eviten que estos dispositivos sirvan como puertas abiertas a las aplicaciones y datos comerciales más confidenciales. Estas políticas y estrategias se pueden emplear independientemente de que los equipos de TI (u otros empleados) se encuentren en las instalaciones.
A continuación, se ofrecen algunos consejos para mitigar la amenaza del malware de IoT, tanto en dispositivos administrados como BYOD:
Comprenda todos sus dispositivos de red . Implemente soluciones capaces de revisar y analizar registros de red para comprender todos los dispositivos que se comunican a través de su red y lo que hacen.
Cambie todas las contraseñas predeterminadas . Es posible que el control de contraseñas no siempre sea posible, pero un primer paso básico para implementar dispositivos IoT de propiedad corporativa debería ser actualizar las contraseñas e implementar la autenticación de dos factores.
Actualice y parchee regularmente . Muchas industrias, en particular las de manufactura y atención médica, confían en los dispositivos de IoT para sus flujos de trabajo diarios. Asegúrese de estar informado de las nuevas vulnerabilidades que se descubran y de mantener actualizada la seguridad del dispositivo con los últimos parches.
Aislar las redes de IoT . Instale dispositivos IoT en sus propias redes en silos para evitar el movimiento lateral, con restricciones en el tráfico de red entrante y saliente. De manera similar, restrinja el acceso tanto como sea posible desde redes externas permitiendo solo la comunicación con IP y ASN relevantes, bloqueando los puertos innecesarios del acceso externo.
Implemente una arquitectura de confianza cero . La única forma de evitar que los dispositivos de IoT en la sombra representen una amenaza para las redes corporativas es eliminar las políticas de confianza implícita y controlar estrictamente el acceso a los datos confidenciales mediante la autenticación dinámica basada en la identidad, también conocida como confianza cero .
Comments