Cómo identificar dispositivos IoT no autorizados en su pink



Los investigadores explican cómo los profesionales de la seguridad pueden reconocer cuándo un dispositivo aparentemente benigno podría ser malicioso.

Una Raspberry Pi flotando en su red puede no ser motivo de preocupación, al principio. Pero, ¿cuándo se unió a la crimson? ¿Qué está haciendo? ¿Es la única Raspberry Pi? Estas preguntas pueden ayudar a distinguir un dispositivo conectado benigno de un producto malicioso que intenta infiltrarse en una organización.

«La cantidad de dispositivos no administrados prácticamente se ha disparado en los últimos cinco años», dijo David Pearson, jefe de investigación de amenazas de Awake Security, en una charla en Interop Electronic la semana pasada. Más personas se están conectando a las redes corporativas con dispositivos que no se administran al nivel que esperaría que se administraran la infraestructura y los dispositivos corporativos.

Este es un problema creciente, en gran parte porque la mayor parte del tráfico de dispositivos de Net de las cosas (IoT) no está cifrado, explicó.

«Hay tanta información que se comparte, ya sea interna a interna o interna a externa, que está completamente clara», dijo Pearson.

Ahora, a medida que las personas llevan datos comerciales a las redes domésticas, garantizar la seguridad de los datos es aún más importante.

Hace aproximadamente un año, Pearson y el equipo de Awake Security plantearon la hipótesis de que serían capaces de analizar el comportamiento de un dispositivo y, al hacerlo, distinguir los dispositivos de IoT y tecnología operativa (OT) de los dispositivos móviles, traiga su propio dispositivo ( BYOD), infraestructura corporativa y dispositivos empresariales. No solo aprendieron que esto era posible, sino que descubrieron innumerables formas en que estos dispositivos conectados ponen en riesgo a las empresas.

Pearson y su colega de Awake Security, el principal cazador de amenazas de crimson Eric Poynton, comenzaron su charla con una discusión de los rasgos clave que pertenecen a cada categoría de dispositivo para que los asistentes puedan entender cómo reconocerlos en una crimson.

Los dispositivos empresariales (las computadoras portátiles y de escritorio que se utilizan para acceder a los servicios empresariales) suelen utilizar mecanismos de autenticación corporativos. Por lo standard, tienen esquemas de nomenclatura uniformes para que los grupos de seguridad y TI puedan comprender quién está usando qué, y generalmente usan muchas aplicaciones. Estos están en la crimson durante largos períodos de tiempo si bien pueden cerrar por la noche o entre reuniones, habrá un tramo significativo entre su primera y última aparición.

Los sistemas BYOD se superponen con los dispositivos empresariales, pero generalmente no utilizan mecanismos de autenticación corporativos para servidores y servicios. Tendrán varios esquemas de nombres, por ejemplo, «Macbook Pro de Jen», y notarás varios modelos de dispositivos. Al igual que los dispositivos corporativos, usan muchas aplicaciones pero no están administradas y, a menudo, hacen cosas como usar cuentas de correo electrónico personales. De manera very similar, los dispositivos móviles no usan autenticación corporativa, tienen varios esquemas de nombres y se mueven mucho. Algunos pueden tener más de 100 puntos de acceso en un par de meses.

La infraestructura corporativa incluye elementos que sirven a los servicios que utilizan las empresas: Energetic Listing, DNS y puntos de acceso. Estos existen durante largos períodos de tiempo, generalmente no usan el Protocolo de configuración dinámica de host (DHCP) porque son activos de alto valor y tienen la misma dirección IP de manera consistente. Usan pocas o ninguna aplicación, anotó Pearson.

IoT y OT abarcan una gran categoría de dispositivos inteligentes y, por lo common, no son conocidos ni administrados por la empresa porque no pasan por TI y seguridad para estar en una red. Estos dispositivos no coinciden con ninguno de los perfiles mencionados anteriormente. Los equipos pueden notar protocolos no analizados a veces en dispositivos convencionales o con frecuencia en dispositivos personalizados. Los productos de IoT y OT a menudo aprenden sobre sus entornos a través de multidifusión. Algunos tienen esquemas de nombres específicos, como altavoces y cámaras inteligentes. Algunos aparecen en gran número, como cámaras inteligentes o televisores.

Cómo saber que un dispositivo de IoT es malicioso
El estudio de los investigadores encontró algunos casos en los que dispositivos maliciosos se infiltraban en las redes empresariales.

En una empresa de servicios públicos, por ejemplo, los investigadores encontraron un hueso Beagle, un pequeño dispositivo similar a una Raspberry Pi. Period el único en la purple, «lo que es una señal de alerta bastante buena cuando hablamos de este tipo de cosas», dijo Pearson.

Apareció dos meses después de haber observado esta red, estaba enumerando la pink y era accesible a través de SSH. Todos estos, dijo, eran indicadores que decían que esto no debería estar en la crimson y que algo estaba sucediendo.

Otro caso reveló una Raspberry Pi en la crimson de una institución financiera de consumo, «generalmente no es un lugar donde esperaría ver Raspberry Pis», dijo Pearson, y period la única Raspberry Pi en la purple. El dispositivo estaba canalizando todo su tráfico a través de la herramienta de acceso remoto TeamViewer, que fue «definitivamente algo que nos sorprendió bastante», agregó.

En algunos casos, los dispositivos que Pearson y Poynton descubrieron no eran maliciosos, pero podían presentar serios problemas de cumplimiento para la organización y presagiar futuros ataques. Poynton describió una organización en la que las bicicletas estáticas enviaban regularmente información de registro a sus bases de operaciones. Estos registros incluían nombres de cuentas, contraseñas, nombres de estaciones y direcciones MAC. El cuerpo del mensaje tenía las direcciones de correo electrónico, las edades, el peso, la altura y los perfiles de redes sociales de los usuarios.

Los registros estaban en una purple ICS y enviaban registros sin cifrar a través de World wide web, desconocidos para el equipo de seguridad y de TI y creando un «enorme agujero en su seguridad», dijo.

Otros ejemplos que vieron los investigadores incluyeron un sistema de bebidas inteligente que llamaba a casa en texto sin formato con información de Wi-Fi, docenas de cajeros automáticos remotos que comunicaban sus ubicaciones y transacciones de clientes a través de Internet en texto sin formato, y un sistema HVAC administrado a través del Protocolo de escritorio remoto (RDP) de forma remota por un proveedor externo, que permite que la IP del proveedor se comunique con el sistema HVAC de forma remota a través de Online y crea «cantidades de riesgo alucinantes», dijo Pearson.

¿Cómo puede identificar y abordar estos dispositivos antes de que causen problemas? Pearson explicó cómo el conocimiento de los dispositivos es esencial para amenazas complejas. Es essential comprender los productos de su crimson como dispositivos, dijo. De lo contrario, no puede comprender las pistas contextuales que él y Poynton pudieron discernir en su estudio.

El análisis del comportamiento y la comprensión de qué comportamientos son normales y cuáles no son igualmente importantes. Si un dispositivo es accesible externamente, es un gran riesgo. ¿Confía en que un proveedor externo tenga controles para mantener su seguridad a salvo? Si es completamente abierto y accesible internamente, dijo Pearson, está esencialmente comprometido.

Las comunicaciones dentro de la crimson también son clave: ¿están permitidas? ¿Estás siendo inteligente al respecto? ¿La información se envía y recibe externamente? Considere los riesgos que está aceptando: ¿Se está transmitiendo información private identificable? Si es así, ¿está de acuerdo con eso?

Finalmente, la segmentación debería ser lo más importante, dijo Pearson. La segmentación reduce el alcance de los ataques y poder hacer esto es elementary.

Kelly Sheridan es la editora de private de Dark Studying, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first