viernes, enero 29, 2016

The Shadow: Controlar el "Shadow IT" y el "Shadow IoT"

Ayer, durante el día de la privacidad de datos, aprovechamos para presentar un whitepaper sobre una reflexión que hemos hecho entre varias empresas y organismos sobre los riesgos que puede acarrear la creciente adopción de las tecnologías IoT. Ni mucho menos el documento pretende ser alarmista ni contrario al mundo del IoT, del que todos coincidimos que va a permitirnos transformar la sociedad donde vivimos, sino para hacer conscientes a personas y empresas de que hay que empezar a trabajar ya en la seguridad de IoT sin cometer los errores del pasado en el mundo IT.

Figura 1: The Shadow - Controlar el "Shadow IT" y el "Shadow IoT"

Pensar que la cantidad de dispositivos hardware que se han creado, y se van a crear, se van a hacer si ningún fallo de seguridad en su diseño es algo que ya sabemos que no va a pasar. La historia nos ha enseñado que tenemos que contar con ello. Pensar que las soluciones que se creen utilizando esos dispositivos no van a contar con ningún problema de seguridad es algo que ya sabemos que no va a suceder. Pensar que la utilización que le van a dar los usurarios a estas plataformas no va a generar ningún problema, es algo que sabemos que no va a ser así.

Hemos visto contraseñas hardcodeadas en dispositivos, hemos visto aplicaciones con bugs en las implementaciones de los programas y vemos a usuarios capaces de publicar fotos de sus tarjetas de crédito en Internet solo porque es cool, y en el mundo IoT aún no somos conscientes de a dónde van a llegar los riesgos a los que nos enfrentamos debido a la escala de conectividad a la que nos enfrentamos y a la cantidad de ámbitos a los que se van a aplicar las soluciones Internet of Things.
Llamarle IoT es quedarse, de partida, cortos con el término, ya que al final a lo que nos referimos es al famoso IoE (Internet of Everything) donde cualquier objeto va a tener una vida conectada a Internet. Desde sistemas industriales a humanos conectados para gestionar su salud, pasando por los elementos domóticos de un hogar o los medios de transporte de una ciudad. Todo objeto es susceptible de tener una conexión a la red para ser mucho más inteligente en su vida útil. Un vaso que puede avisar al camarero cuando el vino se calienta más de lo debido o una cocina sin nevera que trae los alimentos en drones cuando se va a cocinar.
También una impresora que compra el toner y el papel, un vídeo proyector que avisa a mantenimiento cuando falla la bombilla o un sistema de destrucción de documentos conectado que llama al reciclado de papel cuando el depósito está lleno. Cafeteras, máquinas de dispensación de dulces en la empresa o los papeles de publicidad corporativa que se usen en las oficinas. Tal escala abre la posibilidad a un montón de riesgos en la vida de las personas, pero también en las empresas y organizaciones, y por tanto hay que estar preparados para los riesgos que puedan suponer para la seguridad de la compañía.

Shadow IT

En el mundo de la empresa cada vez los empleados hacen más uso de lo que llamamos Shadow IT, o lo que es lo mismo, de su propia infraestructura IT para hacer su trabajo. Del BYOD donde los usuarios tienen su propio dispositivo móvil, hemos pasado al BYOIT (Bring Your Own IT), donde ya no solo traen su propio smartphone, sino que además traen sus propias cuentas de servicios de vídeo-conferencia, correo electrónico, transmisión de ficheros, conexión a Internet por medio de sistemas de tethering para evadir los controles de firewalls o proxy, sus propios sistemas de almacenamiento de documentos - que pueden crear hidden links en las redes - , tienen sus propios sitios webs e incluso sus propios servidores en la nube, que a veces usan para hacer sus propias webs de recursos, documentos o pruebas.

Figura 4: Reporte de activos descubiertos por Faast en la plataforma Vamps

Los administradores de IT y los responsables de seguridad se las ven y se las desean para controlar la cantidad de tecnologías que se meten en sus redes, que circulan por sus oficinas o que conectan sus sistemas informáticos con sistemas informáticos remotos en Internet. Hoy en día, un informe de vital importancia para una empresa puede estar en los adjuntos del correo electrónico personal de Gmail de un administrativo porque se lo envió a su casa para poder trabajar con él, y esa cuenta de Gmail es la misma que utiliza en su Android para bajarle apps a su hijo en el smartphone de su casa.  Los equipos de administración IT y seguridad en las empresas cada vez tienen menos control del IT que usan sus empleados. Y ese Shadow IT crece y crece cada día.

Figura 5: Seguimiento de activos en Vamps

Hoy en día, los sistemas de búsqueda de vulnerabilidades en la empresa, no solo ayudan a encontrar los bugs, sino también a descubrir el Shadow IT que ha podido crecer dentro de la organización. Con Vamps & Faast, los sistemas de gestión de vulnerabilidades y pentesting persistente que creamos en Eleven Paths, intentamos generar alertas con los nuevos activos que se descubren escaneo tras escaneo, lo que le permite conocer a un administrador si una nueva web o un nuevo servidor ha aparecido dentro de la red sin que el lo sepa. Es decir, sacamos provecho de los módulos de autodiscovery que usamos en las tecnologías de pentesting persistente para localizar y controlar el Shadow IT, independientemente de que luego se busquen vulnerabilidades en ellos.

Shadow IoT

Si el número de activos que aparecen en el mundo IT dentro de la empresa es grande, hay un subconjunto muy peculiar, que son los dispositivos IoT. A veces son dispositivos plug&play que se autoconfiguran, o sistemas autónomos con conexión que se conectan a una red y hacen todo el trabajo ellos. Pueden ser impresoras, termostatos, vídeo proyectores, teléfonos VoIP, sistemas de backup, relojes inteligentes, controles de puertas, sistemas de automatismo de persianas, reproductores de música en streaming, etcétera, etcétera. De todo hemos podido ver en el mundo de la empresa.

Figura 6: Vídeo proyector conectado a la red de la empresa publicado en Internet

Todos estos dispositivos, conectados, configurados y manipulados muchas veces por empleados con mayor o menor conocimiento técnico, se convierten en un punto importante del Shadow IT, es lo que nosotros llamados el Shadow IoT, y las herramientas tradicionales de escaneo de vulnerabilidades no los buscan en sus sistemas de discovery y escaneo de vulnerabilidades. Debido a esto, en Eleven Paths hemos estado trabajando en adaptar los sistemas de autodiscovery de Faast, nuestra plataforma de pentesting persistente, para localizar el IoT en las empresas que auditamos de forma continua. 

Figura 7: Módulos de IoT en Faast para detectar el Shadow IoT

No solo los módulos de autodiscovery de activos, sino también los plugins de búsqueda de vulnerabilidades, donde hemos ampliado la knowledge base de vulnerabilidades para centrarnos en todos esos pequeños sistemas que pueden abrir un gran fallo de seguridad en una organización. Un sistema de control de CCTV conectado a la red de la empresa con un bug conocido, sensores de control de barrera del parking con contraseñas por defecto o impresoras con gestión desde Internet que están automatizadas pueden suponer una brecha de seguridad importante, por lo que hay que crear una gran cantidad sistemas de detección que los busquen de forma automática.

Figura 8: Atacando una servidor en la DMZ desde una impresora conectada a Internet

En el próximo Mobile World Congress en Barcelona, en el stand de Telefónica, vamos a presentar nuestra evolución de Vamps & Faast hacia el mundo del IoT, para tener un sistema de Pentesting Persistente y Gestión de Vulnerabilidades capaz de descubrir los nuevos dispositivos conectados y los bugs en ellos. Todo, con el objetivo de que se pueda controlar el Shadow IT y el Shadow IoT un poco mejor dentro de la empresa.

Saludos Malignos! 

2 comentarios:

Anónimo dijo...

Un post tan bueno, no merecía que te lo hayas tirado convirtiéndolo en una venta de garaje para tus productos de elevenpath. Si le quitas la basura comercial, es quizás el mejor post que he leído en este portal.
No obstante felicitaciones.

Chema Alonso dijo...

@Anónimo, cuánto me alegra que te haya gustado. Saludos!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares