Un estudio de Zscaler revela un aumento del 700% en el malware específico de IoT e informa que la mayoría de los ataques de IoT se originaron en China, Estados Unidos e India.
Zscaler, líder en seguridad en la nube, ha publicado un nuevo estudio que examina el estado de los dispositivos IoT que quedan en las redes corporativas durante una época en la que las empresas se vieron obligadas a trasladarse a un entorno de trabajo remoto.
El nuevo informe, IoT in the Enterprise: Empty Office Edition, analizó más de 575 millones de transacciones de dispositivos y 300.000 ataques de malware específicos de IoT bloqueados por Zscaler en el transcurso de dos semanas en diciembre de 2020, un aumento del 700% en comparación con los hallazgos prepandémicos. .
Estos ataques se dirigieron a 553 tipos de dispositivos diferentes, incluidas impresoras, señalización digital y televisores inteligentes, todos conectados y comunicándose con las redes de TI corporativas mientras muchos empleados trabajaban de forma remota durante la pandemia de COVID-19.
El equipo de investigación de Zscaler ThreatLabz identificó los dispositivos de IoT más vulnerables, los orígenes y destinos de ataques más comunes y las familias de malware responsables de la mayoría del tráfico malicioso para ayudar a las empresas a proteger mejor sus datos valiosos.
“Durante más de un año, la mayoría de las oficinas corporativas han permanecido abandonadas, ya que los empleados continuaron trabajando de forma remota durante la pandemia de COVID-19. Sin embargo, nuestros equipos de servicio notaron que, a pesar de la falta de empleados, las redes empresariales todavía estaban repletas de actividad de IoT ”, dijo Deepen Desai, CISO de Zscaler.
“El volumen y la variedad de dispositivos IoT conectados a las redes corporativas es enorme e incluye de todo, desde lámparas musicales hasta cámaras IP. Nuestro equipo vio que el 76% de estos dispositivos aún se comunicaban en canales de texto sin cifrar sin cifrar, lo que significa que la mayoría de las transacciones de IoT representan un gran riesgo para la empresa «.
¿Qué dispositivos corren mayor riesgo?
De más de 500 millones de transacciones de dispositivos IoT, Zscaler identificó 553 dispositivos diferentes de 212 fabricantes, el 65% de los cuales se clasificaron en tres categorías: decodificadores (29%), televisores inteligentes (20%) y relojes inteligentes (15%). La categoría de entretenimiento y automatización en el hogar tuvo la mayor variedad de dispositivos únicos, pero representaron el menor número de transacciones en comparación con los dispositivos de fabricación, empresariales y de atención médica.
En cambio, la mayor parte del tráfico provino de dispositivos en las industrias de fabricación y venta minorista: el 59% de todas las transacciones fueron de dispositivos en este sector e incluyeron impresoras 3D, rastreadores de geolocalización, sistemas multimedia automotrices, terminales de recopilación de datos como lectores de códigos de barras y terminales de pago. Los dispositivos empresariales fueron los segundos más comunes, representando el 28% de las transacciones, y los dispositivos de atención médica le siguieron con casi el 8% del tráfico.
ThreatLabz también descubrió una serie de dispositivos inesperados que se conectaban a la nube, incluidos refrigeradores inteligentes y lámparas musicales que aún enviaban tráfico a través de redes corporativas.
¿Quién es el responsable?
El equipo de ThreatLabz también examinó de cerca las actividades específicas del malware de IoT rastreado en la nube Zscaler. En cuanto al volumen, se observó un total de 18.000 hosts únicos y aproximadamente 900 entregas de carga útil única en un período de tiempo de 15 días. Las familias de malware Gafgyt y Mirai fueron las dos familias más comunes encontradas por ThreatLabz, representando el 97% de las 900 cargas útiles únicas.
Estas dos familias son conocidas por secuestrar dispositivos para crear botnets: grandes redes de computadoras privadas que se pueden controlar como grupo para propagar malware, sobrecargar la infraestructura o enviar spam.
¿A quién se dirige?
Los tres principales países objetivo de los ataques de IoT fueron Irlanda (48%), Estados Unidos (32%) y China (14%). Se observó que la mayoría de los dispositivos de IoT comprometidos, casi el 90%, enviaban datos a servidores en uno de los tres países: China (56%), Estados Unidos (19%) o India (14%).
¿Cómo pueden protegerse las organizaciones?
A medida que la lista de dispositivos «inteligentes» en el mundo crece día a día, es casi imposible evitar que entren en su organización. En lugar de intentar eliminar la TI en la sombra, los equipos de TI deben promulgar políticas de acceso que eviten que estos dispositivos sirvan como puertas abiertas a las aplicaciones y los datos comerciales más confidenciales.
Estas políticas y estrategias se pueden emplear independientemente de que los equipos de TI (u otros empleados) se encuentren en las instalaciones. ThreatLabz recomienda los siguientes consejos para mitigar la amenaza del malware de IoT, tanto en dispositivos administrados como BYOD:
- Obtenga visibilidad de todos sus dispositivos de red. Implemente soluciones capaces de revisar y analizar registros de red para comprender todos los dispositivos que se comunican a través de su red y lo que hacen.
- Cambiar todas las contraseñas predeterminadas. Es posible que el control de contraseñas no siempre sea posible, pero un primer paso básico para implementar dispositivos IoT de propiedad corporativa debería ser actualizar las contraseñas e implementar la autenticación de dos factores.
- Actualice y aplique parches con regularidad. Muchas industrias, en particular las de fabricación y atención médica, confían en los dispositivos de IoT para sus flujos de trabajo diarios. Asegúrese de estar informado de cualquier vulnerabilidad nueva que se descubra y de mantener actualizada la seguridad del dispositivo con los últimos parches.
- Implementar una arquitectura de seguridad de confianza cero. Aplique políticas estrictas para sus activos corporativos para que los usuarios y dispositivos puedan acceder solo a lo que necesitan y solo después de la autenticación. Restrinja la comunicación a las direcciones IP, ASN y puertos relevantes necesarios para el acceso externo. Los dispositivos de IoT no autorizados que requieren acceso a Internet deben pasar por una inspección de tráfico y estar bloqueados de todos los datos corporativos, idealmente a través de un proxy. La única forma de evitar que los dispositivos de IoT en la sombra representen una amenaza para las redes corporativas es eliminar las políticas de confianza implícita y controlar estrictamente el acceso a los datos confidenciales mediante la autenticación dinámica basada en la identidad, también conocida como confianza cero.
