Existe um risco difícil de se detectar que sorrateiramente cresce todos os dias, afetando todas as organizações virtualmente. À medida que se proliferam os recursos não gerenciados, como Industrial Internet of Things (IIoT), controles de sistemas industriais (ICS), e até mesmo eletrônicos de consumo inteligente, a lacuna de gerenciamento de segurança entre os que são gerenciados e os não gerenciados, também continua a crescer. Entretanto, essa lacuna é impossível de se visualizar, porque as ferramentas de segurança tradicionais não podem identificá-la apropriadamente e monitorar os recursos não gerenciados. Para piorar, as empresas geralmente não corrigem os ativos não gerenciados quando as vulnerabilidades são descobertas.
O resultado? Quando uma organização não pode proteger dispositivos não gerenciados, os criminosos podem facilmente explorá-los, geralmente sem ativar os alarmes até que os danos estejam feitos. Por exemplo, em outubro de 2019, a Armis relatou a descoberta de 11 vulnerabilidades urgentes que afetam o sistema operacional VXWorks, que controla mais de dois bilhões de dispositivos da área da saúde, manufatura e empresarial. Entretanto, em dezembro de 2020, 97% dos dispositivos afetados continuavam sem correção. A falta de uma visibilidade organizacional dos dispositivos foi, sem dúvida, um dos principais culpados.
Vulnerabilidades como as URGENT/11 e semelhantes, colocam às organizações em risco de invasões, ataques ransomware e violações de dados, que podem custar em média de US$4,24 por incidente, o maior número em 17 anos até 2021.
Mas afinal, como saber se uma organização sofre de um gap em ativos gerenciados-não gerenciados, que precisa ser fechado? É preciso entender por que eles existem e quais as ferramentas são necessárias para eliminá-los.
O que está por trás dos gaps?
Existem duas grandes razões para a divisão. A primeira é que os números de ativos não gerenciados estão explodindo. Cerca de 50 bilhões de ativos conectados já estavam em campo no final de 2021, de acordo com pesquisas. Analistas projetam que esse número ultrapassará 75 bilhões até 2025.
Esses ativos incluem a maioria das ferramentas e tecnologia que consideramos essenciais para o trabalho home office, como laptops, tablets e smartphones BYOD; dispositivos vestíveis como smartwatches e rastreadores fitness; e alto-falantes conectados e televisores. Ativos não gerenciados também incluem IIoT, ICS e dispositivos de tecnologia operacional (OT), além de servidores em nuvem e máquinas virtuais.
Essa expansão dos endpoints não gerenciados, cria desafios de segurança, porque esses dispositivos geralmente são invisíveis aos departamentos de TI. Em 2017, quando existiam menos bilhões de ativos não gerenciados em campo, a Armis descobriu organizações na qual faltavam 40% ou mais de recursos em seus ambientes. Conforme o número cresce, também aumenta o ponto cedo dos dispositivos — agora próximo de 70%. Para complicar as coisas futuramente, até mesmo recursos de TI, incluindo os laptops, desktops e servidores das companhias podem ficar sem monitoramento e sem gerenciamento devido a agentes perdidos ou desconfigurados.
No final do dia, a maioria das organizações simplesmente não conseguem ver os ativos operando em seus ambientes. Ao invés disso, eles geralmente têm visualizações incompletas e isoladas, enquanto um número significativo dos recursos não gerenciados passam completamente despercebidos.
Monitoramento padrão e ferramentas de segurança que entregam resultados fragmentados
Por que tantos ativos não são detectados? A maioria das organizações confia em plataformas de gerenciamento de assets para identificar dispositivos gerenciados nas suas redes de TI. Essas soluções frequentemente não conseguem visualizar dispositivos não gerenciados. Pior do que isso, essas soluções padrão podem às vezes romper as operações de dispositivos não gerenciados ou colocá-los offline.
Em resposta para os problemas de silos e invisibilidade, as companhias costumam adicionar mais soluções de segurança de nicho para cobrir os gaps, mas a adição de mais soluções somente amplifica a fragmentação, criando mais trabalho manual para os times de segurança. A fragmentação também pode contribuir para o desafio de entrar em concordância com os requerimentos de compliance e tornar mais difícil para as empresas a manutenção das boas práticas à medida que o cenário de segurança evolui.
A visibilidade de recursos não é somente a única lacuna a se considerar. Além da simples identificação de cada asset, os times de segurança precisam saber que sistema operacional e que software está sendo executado (e quais as versões), que outros recursos eles se comunicam, suas potenciais vulnerabilidades, e os seus perfis de risco. É impossível reunir todos esses dados e monitorá-los em tempo real com ferramentas legadas.
Consequências dos gaps de visibilidade de dispositivos
Sem informações abrangentes sobre cada dispositivo no ambiente, a prevenção, detecção e resposta a incidentes são exponencialmente mais difíceis. Às vezes, os ataques a assets conectados são limpos imediatamente. Na maioria dos casos, os invasores que obtêm acesso a um ambiente não são encontrados e eliminados das redes por uma média de 287 dias.
Sem monitoramento contínuo, as organizações também ficam sem a habilidade de isolar os equipamentos comprometidos e responder às intrusões em tempo real. Os gaps de visibilidade de ativos também impedem a automação das políticas e orquestração de respostas, forçando as organizações a corrigir manualmente as vulnerabilidades e ameaças (geralmente ativo por ativo). Os esforços de resposta manuais podem rapidamente sobrecarregar os recursos SOC. Enquanto isso, os criminosos ficam livres para causar mais dano e rupturas que exigem mais dinheiro, tempo e outros recursos para serem remediados.
Fechando os gaps na segurança de dispositivos não gerenciados—gerenciados
Com uma solução que é construída para visibilidade completa, as organizações podem fechar os gaps, identificar cada asset em seu ambiente e se beneficiar do monitoramento contínuo e automatização. Essas são vantagens que a plataforma Armis Asset Intelligence pode proporcionar.
Classificação e descoberta abrangente de ativos
A Armis Asset Intelligence começa usando uma aproximação sem agentes, contínua e passiva, para identificar todos os dispositivos através do ambiente sem perturbar as operações. Isso dá aos times de segurança um inventário de recursos completo que inclui ativos gerenciados, não gerenciados, cloud, e BYOD — incluindo dispositivos transitórios.
A Armis identifica os ativos, analisando automaticamente suas características e comportamento com a Armis Intelligence Engine, uma base de conhecimento que monitora continuamente mais de 2 bilhões de assets ao redor do mundo. Essa comparação permite que a Armis a classifique apropriadamente os dispositivos e compreenda o contexto do que o asset está fazendo versus o que ele deveria estar fazendo, detectando ameaças com um alto nível de precisão.
Avaliação de risco de ativo em tempo real
Escaneamentos agendados podem perder rapidamente ameaças emergentes e causar delay na resposta. A plataforma Armis Asset Intelligence monitora continuamente os atributos dos ativos e as atividades, comparando-os com o comportamento normal definido pela Intelligente Engine. Quando a plataforma identifica um problema, ela pode imediatamente enviar alertas ou automatizar e orquestrar respostas por meio de ferramentas de segurança existentes, como NACs, para acelerar a remediação — tudo sem realizar scans que possam interromper o funcionamento dos ativos.
Integração de todos os dados de ativos em um dashboard
Realizar o inventário de recursos manualmente toma muito tempo e geralmente requer que o time de segurança trabalhe por meio de múltiplas plataformas. O resultado pode incluir erros nas entradas de dados, assets perdidos, e dados de inventário point-in-time quase instantaneamente desatualizados.
A plataforma Armis Asset Intelligence traz todos os dados dos recursos para um único dashboard — ao identificar virtualmente cada ativo no ambiente e integrá-lo com o TI e ferramentas de segurança já existentes na empresa, garante uma única fonte de verdade. Essa visão unificada é continuamente atualizada à medida que a Armis monitora os ativos e observa as alterações.
Automação das políticas de segurança
Endereçar vulnerabilidades e riscos manualmente pode consumir tempo e pode não acontecer rápido o suficiente para parar os danos de um ataque. Quanto maior e mais complexa a organização for, menos prático é confiar em reforços de políticas de segurança manual. Com a Armis, o time de segurança pode automatizar políticas para isolamento de dispositivos, updates de softwares, alertas e muito mais, para remediar problemas em escala de tempo real.
Remediação mais rápida e mais eficiente
A Armis também orquestra a resposta de incidente ao:
- Alertar administradores;
- Iniciar tickets para que os times possam agir;
- Validar novos recursos conforme são inseridos online;
- Enviar atualizações em plataformas de gerenciamento;
- Colocar em quarentena os ativos afetados enquanto deixa os outros livre para operar;
- Corrigir assets que necessitam.
Ao identificar todos os ativos, catalogar e unificar os dados, e habilitar a automação, a plataforma Armis Asset Intelligence permite que as organizações fechem as brechas de visibilidade entre ativos gerenciados e não gerenciados. Com monitoramento em tempo real e abrangente, reforço de políticas de automação e remediação mais efetiva, é possível proteger os recursos, a receita e a reputação das organizações.
Conheça mais sobre a Armis clicando aqui e fale com a M3Corp para se tornar um canal revendedor Armis clicando aqui.