Apesar de uma maior atenção à cibersegurança nos últimos anos, o número de violações de dados continua a aumentar. À medida que as empresas se concentram mais (e gastam mais) em segurança, os cibercriminosos estão a intensificar os seus esforços. Vemos isso especialmente no domínio das ameaças persistentes avançadas (APTs) dirigidas aos dispositivos da Internet das Coisas.
Os cibercriminosos actuais têm grandes incentivos, tanto financeiros como outros.
Os pacotes de ransomware estão facilmente disponíveis na Dark Web, e o ransomware proporciona uma forte motivação financeira aos criminosos. Os agentes de ameaças de estados-nação também entraram no cenário de ameaças, efectuando ataques com motivações políticas.
Por estas razões, entre outras, o número de estirpes de malware está a aumentar e o malware produzido está a tornar-se mais avançado à medida que as empresas intensificam os seus esforços de ciberdefesa.
Não é provável que esta tendência termine tão cedo, pois há demasiados incentivos para os maus da fita.
Vulnerabilidades na Internet das Coisas
A Internet das Coisas (IoT) refere-se à rede de dispositivos com acesso à Internet utilizados por consumidores e empresas. Tudo, desde um pacemaker ligado à rede a um detetor de fumo Nest ou a um Tesla com condução autónoma, é um dispositivo IoT.
A popularidade dos dispositivos IoT está a aumentar. Infelizmente, os ciberataques à IoT também estão a crescer em popularidade. Ataques IoT:
- São fáceis de iniciar graças ao código disponível publicamente, tanto na Dark Web como em repositórios de código como o GitHub
- Ter uma elevada taxa de sucesso
- São difíceis de detetar e remediar, permitindo às APTs
- Permitir que um atacante ganhe um ponto de apoio dentro da rede de uma organização
- Permitir que um atacante adicione mais dispositivos à sua rede de bots (as redes de bots podem ser utilizadas para ataques DDoS, envio de spam, etc.)
O número de vulnerabilidades está a aumentar em geral, e os ataques contra dispositivos da Internet das Coisas estão a aumentar particularmente.
Superfícies de ataque à Internet das Coisas
Os atacantes começam por procurar dispositivos IoT vulneráveis e tentam comprometê-los. Os atacantes podem fazer isto em massa. Podem dar-se ao luxo de não conseguir piratear dispositivos uma e outra vez, mas os dispositivos IoT só têm de sucumbir a um ataque uma vez para serem comprometidos.
Para piorar a situação, os dispositivos IoT têm muitas vezes uma série de vulnerabilidades, tanto conhecidas como desconhecidas. O número de vulnerabilidades da IoT está a aumentar e, muitas vezes, os utilizadores não aplicam patches ou não instalam actualizações atempadamente, o que torna muito mais fácil para os atacantes comprometerem os dispositivos.
Outra área de preocupação é que os dispositivos IoT vêm frequentemente com credenciais predefinidas que nunca são actualizadas. Isto torna a questão das vulnerabilidades e da aplicação de correcções praticamente discutível: se um atacante puder simplesmente aplicar força bruta às credenciais, ou obtê-las a partir de uma lista publicamente disponível, então o dispositivo pode muito bem já estar comprometido.
Algumas características das Ameaças Persistentes Avançadas da IoT
Técnicas de evasão
As ameaças persistentes avançadas são frequentemente concebidas para evitar a deteção através da ofuscação de código, da deteção de ambientes virtuais e de muitos outros métodos.
Técnicas de ocultação
Os cibercriminosos estão a melhorar a forma como escondem o malware que infecta um sistema.
Auto-propagação
Muitas APTs, para além de permanecerem num sistema de forma persistente, procuram outros sistemas para infetar.
Eficiência dos recursos
Este é um fator que separa as APT IoT das APT tradicionais num computador normal. As APT IoT precisam de menos de 5% do poder de computação de um dispositivo médio para funcionar e, por vezes, o malware é suficientemente inteligente para se ajustar após detetar a capacidade de memória do dispositivo.
A nova cadeia de morte cibernética da IoT
A cadeia de destruição cibernética é a série de etapas levadas a cabo pelos agentes da ameaça. Cada passo pode, em teoria, ser identificado e bloqueado pelas defesas cibernéticas. A Lockheed Martin descreveu a "Cyber Kill Chain" para APTs como
No entanto, para os dispositivos IoT, existem passos adicionais na cadeia de destruição que tornam os APTs IoT ainda mais ameaçadores. A nova cadeia de destruição da IoT tem o seguinte aspeto:
As APT IoT não têm apenas como objetivo infetar um único dispositivo ou rede; proliferam para outros dispositivos e escondem-se para poderem permanecer persistentes.
Estratégias de defesa da IoT
As actualizações do sistema são essenciais para corrigir as vulnerabilidades, mas são frequentemente inviáveis ou não são efectuadas por outras razões. Quando a correção é lançada, os atacantes podem fazer engenharia inversa da exploração, tornando vulneráveis os dispositivos não actualizados. Além disso, muitas vezes os fornecedores não conseguem ou não querem acompanhar a correção de todas as vulnerabilidades que são descobertas nos seus produtos.
A colocação em quarentena é uma solução possível quando ocorrem infecções. No entanto, devido a restrições do mundo real, pode ser impossível ou impraticável colocar dispositivos em quarentena. Por exemplo, pode ser difícil colocar em quarentena uma câmara de segurança que mostre sinais de estar comprometida, mas que seja essencial para monitorizar a segurança do edifício.
IoT APT: OPSWAT's Estratégias de defesa recomendadas
Para travar as APT da IoT, é necessário bloquear todas as ameaças escondidas nos dados. Mais uma vez, os cibercriminosos podem facilmente dar-se ao luxo de falhar, mas as defesas cibernéticas têm de ser sempre bem sucedidas.
As defesas baseadas na deteção são vulneráveis às técnicas de ocultação do malware. As ameaças avançadas podem até enganar as caixas de areia , executando-as aleatoriamente ou detectando se estão ou não num ambiente virtual antes de serem executadas. Além disso, mesmo a melhor tecnologia de deteção anti-malware pode não prever uma ameaça de dia zero.
OPSWAT acredita na combinação de estratégias baseadas na deteção com a prevenção avançada de ameaças. A nossa tecnologia de sanitização de dados (CDR) neutraliza as ameaças em quaisquer documentos ou imagens que entrem numa rede, desarmando e reconstruindo os ficheiros com a remoção de conteúdos potencialmente maliciosos. Qualquer ficheiro pode e deve passar por este processo, quer seja ou não detectada uma ameaça.
Para além de aproveitarem a sanitização de dados (CDR), as organizações que utilizam dispositivos IoT devem seguir as melhores práticas de segurança tanto quanto possível, actualizando os dispositivos regularmente e redefinindo as credenciais de início de sessão predefinidas. Por último, os dispositivos ligados em rede só devem ser ligados à Internet se tal for absolutamente necessário.
