Nova pesquisa revela os ativos mais atacados e mais vulneráveis

Enquanto os dispositivos médicos são os mais suscetíveis a CVEs não corrigidas, os ativos de tecnologia operacional são os mais atacados.

Uma nova pesquisa da empresa de segurança Armis revelou os ativos mais arriscados que introduzem ameaças aos negócios globais. A pesquisa da Armis se concentrou em ativos conectados com o maior número de tentativas de ataque, vulnerabilidades e exposições comuns (CVEs) armadas e classificações de alto risco. Com base em dados do Armis Asset Intelligence Engine, descobriu-se que os ativos da internet das coisas médicas (IoMT) – dispositivos conectados usados em ambientes médicos/de saúde – são os mais suscetíveis a CVEs não corrigidas e armadas, enquanto os ativos de tecnologia operacional (OT) são os mais atacados.

Ativos IoMT mais suscetíveis a CVEs não corrigidas e armadas

Os pesquisadores da Armis identificaram um número significativo de ativos conectados à rede suscetíveis a CVEs não corrigidas e armadas, listando a maior porcentagem de dispositivos de cada tipo que tinham essas CVEs entre agosto de 2022 e julho de 2023. Sem correção, esses ativos introduzem riscos significativos para as empresas.

De acordo com a Armis, os ativos mais vulneráveis a CVEs não corrigidas e armadas são:

1. Media writers (IoMT), 62%
2. Bombas de infusão (IoMT), 26%
3. IP cameras (IoT), 26%
4. Reprodutores de mídia (IoT), 25%
5. Switches (IT), 18%
6. Computadores de engenharia (OT), 17%
7. Smartwatches (IoPT), 16%
8. Roteadores (IT), 15%
9. SCADA servers (OT), 15%

Não é surpreendente ver os ativos médicos no topo da lista. Em janeiro de 2022, o relatório State of IoMT Device Security da Cynerios constatou que mais da metade (53%) dos dispositivos de internet das coisas (IoT) e IoMT usados na saúde dos EUA apresentam riscos críticos de cibersegurança com vulnerabilidades significativas que poderiam comprometer a segurança do paciente, a confidencialidade dos dados ou a disponibilidade do serviço se exploradas1. Em junho deste ano, foi revelado que um terço dos Trusts do Serviço Nacional de Saúde (NHS) do Reino Unido não tem método para rastrear dispositivos IoT, expondo potencialmente informações e serviços a riscos significativos de segurança.

Ativos de OT são os mais atacados

Os 10 tipos de ativos com o maior número de tentativas de ataque estão distribuídos entre ativos de TI, OT, IoT, IoMT, internet das coisas pessoais (IoPT) e sistema de gerenciamento predial (BMS), segundo a Armis. Isso demonstra que os atacantes priorizam o acesso potencial aos ativos em vez do seu tipo, reforçando a necessidade de as equipes de segurança contabilizarem todos os ativos físicos e virtuais como parte de sua estratégia de segurança, disse a empresa.

Os 10 tipos de dispositivos com o maior número de tentativas de ataque são:

1. Computadores de engenheiros (OT)
2. Computadores de imagens (IoMT)
3. Reprodutores de mídia (IoT)
4. Computadores pessoais (IT)
5. Maquinas virtuais (IT)
6. UPSs (NoBreaks)
7. Servidores(IT)
8. Media writers (IoMT)
9. Tablets (IoPT)
10. Smartphones (IoPT)

Os agentes de ameaça visam intencionalmente esses ativos porque eles são acessíveis externamente, têm uma superfície de ataque extensa e intrincada e CVEs armadas conhecidas, disse Tom Gol, CTO de pesquisa da Armis. “O impacto potencial da violação desses ativos nos negócios e em seus clientes também é um fator crítico quando se trata do motivo pelo qual eles têm o maior número de tentativas de ataque”. Por exemplo, as estações de trabalho de engenharia podem ser conectadas a todos os controladores em uma fábrica, as estações de trabalho de imagem coletarão dados privados dos pacientes dos hospitais e os UPSs podem servir como ponto de acesso a entidades de infraestrutura crítica, tornando todos esses alvos atraentes para atores maliciosos, acrescentou.

Muitos ativos têm altas pontuações de vulnerabilidade, ameaças detectadas, tráfego não criptografado

A Armis também examinou os tipos de ativos com os fatores de alto risco mais comuns. Dispositivos físicos que levam muito tempo para serem substituídos – como servidores e controladores lógicos programáveis (PLCs) – geralmente executam sistemas operacionais no fim da vida (EOL) ou sem suporte (EOS). Isso os torna particularmente de alto risco, especialmente porque os ativos EOS não são mais ativamente suportados ou corrigidos para vulnerabilidades/problemas de segurança pelos fabricantes, afirmou a Armis.

Alguns ativos, incluindo computadores pessoais, demonstram o uso do SMBv1, um protocolo legado, não criptografado e complicado com vulnerabilidades que foram alvo dos infames ataques WannaCry e NotPetya. A Armis descobriu que 74% das organizações hoje ainda têm pelo menos um ativo em sua rede vulnerável ao EternalBlue, uma vulnerabilidade do SMBv1. Enquanto isso, a Armis descobriu que 50% dos sistemas de tubos pneumáticos – equipamentos técnicos nos quais recipientes cilíndricos são propelidos por uma rede complexa de tubos – têm um mecanismo inseguro de atualização de software.

Mais detalhes em CSO Magazine