Pesquisa de site

Voltando para o escritório? Proteja as máquinas

Portas abertas que direcionam o tráfego de e para máquinas no escritório podem se tornar um vetor de ataque, especialmente à medida que mais funcionários retornam a um ambiente de escritório físico. Se os invasores puderem acessar sua rede por meio de uma porta não segura e muitas vezes esquecida, seus dados confidenciais poderão estar em risco. Este artigo considera os riscos de segurança para portos relacionados a máquinas de escritório.

Dispositivos em rede criam novos riscos

Com muitas organizações implementando uma política de retorno ao escritório, os dispositivos em rede que estavam fora de uso nos últimos anos estarão de volta à ação. Impressoras, máquinas de café, controladores de dispositivos e outros dispositivos físicos conectados ao seu sistema devem ser contabilizados em seu plano de segurança de rede.

Uma impressora em rede pode não parecer o vetor de ataque oportuno para um cibercriminoso, mas o serviço exposto pode levar a acesso não autorizado, escalonamento de privilégios e captura de dados confidenciais. Por exemplo, em uma Avaliação de Risco e Vulnerabilidade de 2023 conduzida pela Agência de Segurança Cibernética e Infraestrutura (CISA), uma organização de saúde pública experimentou comprometimento simulado durante um teste de penetração em que o profissional de segurança aproveitou a impressora em rede para obter acesso e interceptar credenciais do usuário.

"Enquanto estava conectado à interface da impressora como administrador, a equipe 1) modificou a configuração "Salvar como arquivo" para usar o FTP (File Transfer Protocol) em vez do SMB (Server Message Block) e 2) alterou o nome do servidor e o caminho da rede para apontar para uma máquina controlada pela CISA executando o Responder [T1557]. Em seguida, a equipe executou um "Teste de Conexão" que enviou o nome de usuário e a senha por FTP [T1187] para a máquina CISA que executava o Responder, que capturou credenciais de texto não criptografado para uma conta de domínio não privilegiada (CONTA 2)." (CISA, Aprimorando o aviso de segurança de resiliência cibernética, página 5)

Os dispositivos físicos conectados à sua rede podem incluir opções mundanas, como uma impressora, bem como hardware crítico, como um controlador para máquinas industriais. Como esses dispositivos podem ter um impacto desproporcional em suas operações de negócios e como os invasores podem usar qualquer ponto fraco em seu ambiente de software, é fundamental permanecer vigilante com todo e qualquer ativo físico. Portas fechadas podem ajudar a evitar problemas de segurança de retorno ao escritório.

Dispositivos inócuos, como máquinas de café e impressoras, geralmente apresentam gerenciamento de patches ruim se não forem atualizados regularmente. Embora a máquina de café inteligente escondida no canto da sala de descanso possa não ser um alvo tão forte quanto o laptop corporativo de um funcionário, qualquer dispositivo em rede continua sendo um vetor de ataque em potencial. Dispositivos mais antigos, especialmente, podem depender de resolução de nomes herdada ou firmware desatualizado que atingiu o fim do suporte.

As equipes de segurança devem incluir esses dispositivos em qualquer programa de gerenciamento de ativos, mesmo que representem uma superfície de ataque menor. Use um sistema automatizado ou scanner de porta para identificar portas expostas em seus dispositivos em rede.

Riscos associados a máquinas de escritório

Os riscos de segurança transcendem os servidores para incluir redes complexas, como dispositivos que fazem parte da Internet das Coisas (IoT) e máquinas industriais, bem como dispositivos típicos em rede, como uma impressora ou uma máquina de café. Com essa variedade de superfície de ataque, é importante saber quais máquinas se comunicam pela rede para que possam ser protegidas.

O UpGuard Breachsight identifica automaticamente uma grande variedade de portas abertas, como as seguintes descobertas de risco para portas específicas do dispositivo:

  • Porta 'Status do café' aberta
  • Porta 'Máquina de café' aberta
  • Porta 'DVR SerialNo' aberta
  • Porta 'Gardasoft Controller' aberta
  • Porta 'Omron PLC' aberta
  • Porta 'OPC UA' aberta
  • Porta 'Impressora' aberta
  • Porta 'Status da impressora' aberta
  • Porta 'Ubiquiti' aberta

Embora algumas dessas máquinas sejam mais comuns do que outras, como uma máquina de café ou impressora, outras são específicas do setor, como o controlador lógico programático (PLC) OMRON usado para controle de dispositivos. Se você usar essas ou outras máquinas com portas dedicadas para gerenciamento de serviços e monitoramento remoto, configure a porta apenas para redes internas. Opcionalmente, você pode limitar o acesso a uma VPN ou apenas a endereços IP autorizados.

Se o seu ambiente de escritório incluir uma máquina de café inteligente e uma impressora em rede, o serviço deverá ser executado apenas em redes internas. Execute atualizações regulares de firmware e software para garantir que as máquinas não tenham vulnerabilidades não corrigidas que possam ser facilmente exploradas. Da mesma forma, uma porta DVR exposta pode permitir que um invasor acesse seu sistema de vigilância para reconhecimento.

O Gardasoft Controller é uma peça de hardware usada para controlar a potência, intensidade e tempo das luzes LED Gardasoft. Um controlador de iluminação fornece controle de precisão para visão de máquina. Se um invasor obtiver acesso ao controlador por meio de uma porta exposta, ele poderá comprometer o sistema ou interceptar e modificar os dados transmitidos. O acesso deve ser limitado apenas a endereços IP autorizados.

O PLC da Omron é um controlador frequentemente usado em automação industrial. Um controlador Omron comprometido pode interromper as operações, danificar equipamentos e criar riscos de segurança para os trabalhadores. Para proteger a lógica de controle e os dados de produção, feche a porta em uso (porta TCP [.rt-script]102[.rt-script] por padrão) e exija autenticação VPN para qualquer pessoa que precise acessar o controlador.

O OPC UA (Open Platform Communications Unified Architecture) fornece comunicação máquina a máquina para automação e Internet das Coisas (IoT). O OPC UA usa a porta [.rt-script]4840[.rt-script] por padrão, que deve ser fechada para a Internet.

Se sua organização usa produtos Ubiquiti para gerenciar redes sem fio, implemente medidas de segurança para proteger o controlador de software central. As portas Ubiquiti devem ser fechadas para a Internet e exigir autenticação VPN para que um usuário acesse ou gerencie dispositivos.

O UpGuard está constantemente adicionando novas detecções para portas expostas. Entre em contato com nossa equipe de suporte se quiser discutir uma porta não abordada neste artigo. Além dessas portas de máquina, o UpGuard identifica uma variedade de outros serviços e riscos potenciais que afetam seu sistema. Para obter mais informações sobre descobertas de risco, consulte os artigos em nossa categoria Riscos e vulnerabilidades.

Como proteger portas expostas

Depois de identificar os serviços expostos por meio de verificação de portas e auditorias de rede, você precisa atualizar a configuração do dispositivo e as políticas de dispositivo em rede para levar em conta quaisquer novos fatores de risco.

Feche portas desnecessárias

A primeira ação para proteger as portas expostas é protegê-las limitando o tráfego. A menos que seja absolutamente necessário para fins operacionais, os portos não devem ser acessíveis ao público. Por exemplo, um não funcionário não precisa acessar as configurações de tempo de preparo na máquina de café da sua sala de descanso.

Fornecer segmentação de rede

Crie separação entre dispositivos e serviços implementando a segmentação de rede. Com um segmento físico que gerencia todos os seus dispositivos físicos, você pode fornecer distância entre dispositivos como uma máquina de café e dados confidenciais armazenados virtualmente. Enquanto isso, você pode aumentar sua segmentação virtual com firewalls e controle de acesso mais fortes.

Exigir acesso autenticado

Certifique-se de que os funcionários usem uma rede privada virtual (VPN) e autenticação multifator (MFA) para acessar dados confidenciais. Se os membros da equipe estiverem gerenciando as definições de configuração para qualquer dispositivo físico, encaminhe esse processo de gerenciamento e configuração por meio de uma etapa de autenticação.

Automatize atualizações de software

Configure seus dispositivos físicos para executar atualizações automáticas quando disponíveis, para que seus recursos possam se concentrar na segurança geral e não apenas nas atualizações manuais. Crie um plano de manutenção que garanta que todos os ativos recebam cuidados e revisões de rotina, descontinuando qualquer coisa que chegue ao fim de sua vida útil.

Verificar se há serviços expostos

Verifique sua rede regularmente e audite portas abertas. Você pode usar uma ferramenta de varredura de rede como o nmap para avaliar os riscos de segurança relacionados a uma porta específica ou pode usar uma solução automatizada como o UpGuard. Depois de encontrar o serviço exposto e seu número de porta associado, você pode atualizar seu firewall para limitar o tráfego nessa porta.

O UpGuard BreachSight ajuda você a entender os riscos que afetam sua postura de segurança externa. Com nossa plataforma amigável, você pode visualizar rapidamente a segurança cibernética da sua organização e se comunicar internamente sobre riscos, vulnerabilidades ou incidentes de segurança atuais.

Para saber mais sobre as práticas do seu domínio específico em relação a essas descobertas de porta expostas e outras preocupações de segurança, acesse seu Perfil de Risco no BreachSight para pesquisar cada descoberta por nome. Depois de identificar as preocupações, você também pode gerenciar seu processo de correção no UpGuard. Você pode entrar em contato com nossa equipe de suporte para investigar e verificar quaisquer descobertas de porta que tenham sido identificadas para seus ativos.

Se você não é um usuário atual do UpGuard e deseja revisar seus ativos voltados para o público para essas descobertas e muito mais, inscreva-se para uma avaliação.