Los dispositivos IoT extendidos (xIoT) se mantienen como un favorito perenne para los atacantes cibernéticos que buscan moverse lateralmente y establecer la persistencia dentro de las redes empresariales. Tienen todo lo que los malos necesitan para afianzarse: están extremadamente mal protegidos, están presentes en grandes cantidades (y en partes sensibles de la red) y, lo que es más importante, por lo general no están bien monitoreados.
En una próxima sesión en RSA, el investigador y estratega de seguridad Brian Contos guiará a su audiencia a través de las formas en que estos dispositivos pueden usarse para crear ataques muy amplios contra los recursos empresariales, junto con lo que los estrategas de seguridad deberían hacer para contrarrestar el riesgo.
“Estaré haciendo algunas demostraciones de hackeo de xIoT, porque a todos les gusta ver cómo entran en las cosas”, dice Contos, director de estrategia de Sevco Security. “Pero en el mundo de xIoT es bastante fácil comprometerse, por lo que no me centraré en eso, sino en cómo se puede usar como un punto de pivote para atacar dispositivos locales, dispositivos en la nube, para robar datos confidenciales, mantener persistencia y evadir la detección.”
Su objetivo es mostrar el ciclo de vida completo del ataque a fin de demostrar los importantes efectos dominó que se avecinan al dejar los dispositivos xIoT sin administrar ni monitorear en los entornos empresariales.
La prevalencia de la inseguridad xIoT
Como explica Contos, dispositivos xIoT normalmente se dividen en tres categorías de dispositivos que proliferan significativamente en los entornos empresariales. Los primeros son los dispositivos IoT empresariales como cámaras, impresoras, teléfonos IP y cerraduras de las puertas. El segundo son dispositivos de tecnología operativa como robots industriales, controladores de válvulas y otros equipos digitales que controlan la física en entornos industriales. El tercero, y a menudo menos recordado, son dispositivos de red generales como conmutadores, almacenamiento conectado a la redy enrutadores de puerta de enlace.
“Lo que todos estos dispositivos tienen en común es que todos son dispositivos especialmente diseñados, creados para un propósito específico”, señala. “Están conectados a la red y no se puede instalar ninguna 'cosa' adicional en ellos. Por lo tanto, no puede instalarles un firewall, un IPS o un antimalware. Por lo tanto, todos los controles de TI tradicionales no necesariamente encajan bien en este mundo de xIoT”.
Él dice que su investigación en los últimos dos años ha demostrado que en la red empresarial típica, generalmente hay de tres a cinco dispositivos xIoT por empleado. En algunas industrias, como la del petróleo y el gas o la fabricación, ese número puede escalar hacia arriba a más de cinco o seis dispositivos por empleado. Por lo tanto, una empresa de fabricación con 10,000 50,000 empleados podría estar buscando fácilmente XNUMX XNUMX de estos dispositivos en su red.
“Y lo que vas a encontrar es que aproximadamente la mitad de ellos tienen una contraseña predeterminada, lo que me toma medio segundo para buscar en Google”, dice. “Si busco en Google, '¿Cuál es la contraseña predeterminada en un sistema APC UPS?, me dirá que el nombre de usuario predeterminado es 'apc' y la contraseña predeterminada es 'apc'. Y puedo decirles por experiencia que todavía no he visto un sistema UPS de APC en la naturaleza que no tenga 'apc-apc' como nombre de usuario y contraseña”.
Además de eso, explica que más de la mitad de los dispositivos xIoT también ejecutan CVE de nivel crítico que requieren poca o ninguna experiencia en piratería para aprovechar de forma remota y obtener privilegios de root en los dispositivos.
“Debido al volumen, si no ingresa a los primeros 1,000 a 2,000 dispositivos, es probable que ingrese a los siguientes 1,000 a 2000”, dice.
Las lecciones aprendidas
Las demostraciones de piratería de Contos se sumergirán en cómo se puede usar un dispositivo diferente de cada una de las categorías de dispositivos xIoT para una gran variedad de propósitos de ataque, desde apagar la energía hasta destruir un activo y filtrar datos confidenciales para expandir el alcance del ataque a través de una red. Compartirá información sobre las herramientas de piratería de xIoT que los actores del estado-nación han creado y explicará cómo los actores de amenazas están invirtiendo mucho dinero en invertir en este tipo de ataques.
“Quiero que la audiencia entienda lo fácil que es y que comprenda que este es un riesgo que requiere cierto enfoque dentro de su organización”, dice.
Como parte de la discusión, Contos analizará las contramedidas que incluyen la administración sólida de activos, la administración de identidades y la administración de parches en torno a xIoT, así como controles de compensación como la segmentación y MFA para fortalecer la superficie de ataque de xIoT. También dice que espera explicar que las defensas no deben planificarse "en una burbuja". En otras palabras, este no es el tipo de medida de seguridad que debe ser desarrollada por un grupo de trabajo especial que se elimine de la seguridad en la nube y otros grupos de seguridad.
“Todo esto debería estar integrado porque todos estos dispositivos se tocan entre sí”, dice. “Debería ser parte de un enfoque más amplio”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.darkreading.com/ics-ot/why-xiot-devices-are-gateway-drug-lateral-movement
