Dispositivos IoT no trabalho: Riscos de segurança e as ameaças do BYOD

Dispositivos IoT no trabalho: Riscos de segurança e as ameaças do BYOD

Além de transformar cada vez mais casas e muitas indústrias, a internet das coisas (IoT) vem mudando a cara das empresas. E uma das mais notáveis formas pelas quais a IoT vem provocando mudanças nos negócios e nas organizações é a presença e o uso de aparelhos IoT pertencentes aos colaboradores no local de trabalho.

Já foi o tempo em que, de acordo com as boas práticas do BYOD (bring your own device, ou “traga seu próprio aparelho”, em inglês), os colaboradores apenas trariam seus laptops, tablets e celulares para a empresa, conectando-se com a rede apenas para ajudar no trabalho. Agora, os funcionários trazem aparelhos pessoais IoT, e os usam normalmente ao longo do dia. Isso inclui smartwatches e relógios esportivos, e-readers, videogames e até aparelhos dos mais variados como máquinas de café e impressoras portáteis.Mas a chegada de novos dispositivos IoT no trabalho trouxe uma nova leva de desafios para as empresas, sobretudo para as equipes de segurança. Elas já têm, por definição, o desafio de proteger os aparelhos (laptops, smartphones e tablets) dos colaboradores – que costumavam ser os únicos equipamentos BYOD – além dos próprios ativos da empresa. Agora, elas também têm que lidar com as ameaças que surgem da presença substancial de aparelhos IoT destinadas ao público doméstico dentro das empresas. Isso é particularmente verdadeiro quando se considera que os níveis de comprometimento relacionados a este tipo de tecnologia deixam claro como esses aparelhos trazem questões de segurança que nem todas as empresas estão prontas para administrar.

As políticas e procedimentos de BYOD já estabelecidos pelas empresas têm um papel importante na prevenção de acesso não autorizado a sistemas, bem como de proteger os ativos da empresa. Mas, conforme cada vez mais empregados optam por trazer seus aparelhos para o trabalho, estas políticas precisarão ser revistas para refletir as mudanças no panorama de segurança de IoT. Ao invés de voltar atrás no BYOD, as empresas deveriam atualizar seus programas. Para isso, este guia traz recomendações de melhores práticas no combate aos riscos mais comuns relacionados ao IoT em ambientes BYOD.
[Leia: National Cyber Security Awareness Month: The enterprise’s safety online is everyone’s business]

Vulnerabilidades

Obter vantagens sobre vulnerabilidades de dispositivos é uma tática tradicional entre criminosos, e isso não é diferente quando tratamos de IoT. De fato, alguns dos mais graves incidentes relacionados a estes produtos de que se tem notícia foram resultado da exploração de vulnerabilidades. E em muitos casos houve a disponibilização de patches para os problemas em questão. Ocorre que a negligência na aplicação das atualizações nos dispositivos afetados é um problema real nas empresas, especialmente quando se leva em conta que as vulnerabilidades podem permitir que invasores adentrem os sistemas e acessem os ativos da organização.

  • Melhores práticas

Um processo de onboarding deve ser estabelecido para permitir que colaboradores registrem seus aparelhos junto à TI e às equipes de segurança antes de poderem conectar-se às redes da empresa. No processo de registro dos dispositivos todas as informações relevantes sobre eles e o sistema devem ser gravadas e as devidas medidas de segurança, configuradas, além de outras ações importantes. Um programa contínuo de conscientização também é uma boa ideia, relembrando os colaboradores para instalar patches e atualizações de segurança regularmente, sempre de fontes confiáveis, em seus aplicativos.[Leia: Mapping the Future: Dealing With Pervasive and Persistent Threats]

Hacking

Dispositivos IoT em ambientes BYOD – sejam smartwatchessmart health trackerssmart speakers ou até tapetes de yoga conectados – são usados de forma relativamente ininterrupta por seus usuários quando dentro da empresa. Contudo, hackers conseguem se aproveitar das funcionalidades destes equipamentos para acessar a rede corporativa, especialmente por causa da frágil segurança que costumam oferecer. Este acesso à rede da empresa pode permitir aos invasores realizar atividades maliciosas: buscar outros dispositivos vulneráveis, roubar dados e informações sensíveis, acessar servidores e sistemas e associar equipamentos da empresa a redes de bots, entre outras coisas.

  • Melhores práticas

Os colaboradores devem ser estimulados a se familiarizar com os recursos de seus equipamentos, especialmente componentes e ferramentas ocultos. Além do registro destes aparelhos, a empresa deve configurar uma rede paralela, sem acesso à principal, onde ocorrem as atividades da empresa, para que os IoT possam se conectar. Também é recomendável a implantação de um sistema de segurança multicamadas que possa detectar e bloquear atividades maliciosas em toda a rede, desde o endpoint até os servidores. [Leia: 2018 Mobile Threat Landscape]

Figura: Riscos e ameaças que surgem do aumento do IoT nos ambientes BYOD

Ataques direcionados

Uma simples busca online mostra a quantidade de dispositivos expostos que estão conectados à Internet, como smartwatches e caixas de som conectadas, juntamente com outros sistemas que também podem estar expostos. Isso é preocupante, dado que os criminosos sabidamente visam dispositivos expostos, estudando suas informações de sistema e avaliam suas vulnerabilidades e as dos sistemas a que se conectam, de modo a facilitar ataques direcionados. A partir de algo tão simples como uma busca online, hackers conseguem usar uma grande variedade de técnicas para acessar e prejudicar a rede dos alvos, bem como seus ativos.

  • Melhores práticas

As empresas deveriam considerar o uso de sites e serviços o Shodan e o WhatsMyIP para ajudar a escanear a rede em busca de dispositivos expostos, portas abertas e outros vetores – assim como deveriam executar as ações necessárias contra falhas de segurança. Elas também devem implementar programas de conscientização e treinamento para ajudar a promover um pensamento em segurança entre os profissionais, incluindo medidas preventivas contra dispositivos expostos[Leia: How attackers are abusing high-profile users and executives]

Vazamento de dados

Assim como não é difícil um relógio comum ser perdido ou roubado, o mesmo vale para um smartwatch. A diferença é que, no caso deste, existe o risco de perda ou vazamento de informações, o que pode comprometer dados corporativos e aqueles contidos em emails e apps de anotações, por exemplo – sobretudo se o aparelho estava em um ambiente BYOD. Dispositivos perdidos ou roubados, portanto, são um outro problema para a segurança de BYOD, já que os dados que eles contêm podem ser usados como base para ações de sabotagem ou espionagem, ou outras atividades maliciosas. Perda e roubo de dispositivos contribuem para a ocorrência de grandes vazamentos de dados (incluindo divulgações involuntárias), fazendo disso um problema para empresas que apostam no BYOD – um estudo de 2012 da Trend Micro apontou que quase metade das empresas pesquisadas que permitiam a conexão destes produtos em suas redes sofreram algum tipo de vazamento.

  • Melhores práticas

Equipes de segurança de TI devem recomendar a ativação de configurações de segurança, revisando regularmente suas políticas de acesso e armazenamento em rede. Isso permite que elas revisem e ajustem sua segurança para tornar mais rígidas suas regras para acesso de rede, de acordo com os requisitos do negócio – especialmente levando em conta os requisitos de compliance ligados a normas e obrigações internacionais de privacidade e proteção de dados. Os colaboradores, complementarmente, devem informar as equipes de TI e segurança sobre eventuais equipamentos trazidos para o ambiente de trabalho, e usar autenticação multifator e criptografia nativas de seus aparelhos. Eles também devem notificar a TI em caso de perda ou furto de equipamentos; além de reforçar a capacidade de monitorar, detectar e bloquear ameaças e ataques antes que eles afetem a empresa, isso ajuda a determinar rapidamente o tipo de invasor, controlando vazamentos e perdas, e apontando precisamente o dispositivo alvo do ataque.

[Leia: Uncovering the truth about corporate IoT security]

Uma cultura de pensamento em segurança é particularmente importante em um ambiente que tenha dispositivos pessoais de colaboradores juntamente com equipamentos da empresa. Isso fica ainda mais importante com a tendência de crescimento do consumo de dispositivos IoT voltados para consumidor final dentro do escritório. Os programas BYOD, portanto, precisam ser reavaliados e restabelecidos, e isso é uma responsabilidade compartilhada entre empresas e colaboradores: a integração de segurança, desde sua conceituação à implementação, refletindo a contínua expansão da IoT.

 

Categorias

Veja outras publicações

Menu