Las redes empresariales actuales son entornos complejos con diferentes tipos de dispositivos cableados e inalámbricos que se conectan y desconectan. Las soluciones de descubrimiento de dispositivos actuales se han centrado principalmente en identificar y monitorear servidores, estaciones de trabajo, computadoras portátiles y dispositivos de infraestructura como firewalls de red, conmutadores y enrutadores, porque los activos de información más valiosos de las organizaciones se almacenan, procesan y transfieren a través de esos dispositivos. por lo tanto, los convierte en el objetivo principal de las violaciones de seguridad e intrusiones.
Sin embargo, ha surgido una nueva tendencia en los últimos cuatro años, donde los atacantes han estado apuntando a dispositivos conectados especialmente diseñados como impresoras de red y sistemas de videoconferencia como punto de entrada y ruta de exfiltración de datos.
Estos dispositivos no pueden ser identificados correctamente por las soluciones actuales de descubrimiento de activos de TI por las siguientes razones principales:
- Los protocolos propietarios a menudo se usan para administrar y monitorear dichos dispositivos que no son conocidos por la solución de descubrimiento de activos.
- El descubrimiento de activos basado en agentes no es posible porque la mayoría de los dispositivos conectados son sistemas con recursos limitados con sistemas operativos patentados que no permiten la instalación de software de agente de descubrimiento en ellos.
Solución de evaluación de vulnerabilidades IoT de Firmalyzer (IoTVAS) supera estas limitaciones y proporciona:
- Identificación precisa del fabricante del dispositivo conectado, nombre del modelo, tipo de dispositivo, estado de fin de vida útil del dispositivo, versión de firmware y fecha de lanzamiento del firmware
- Informe de lista de materiales (BOM) de firmware en tiempo real que enumera los componentes de software y las bibliotecas dentro del código de firmware de cada dispositivo sin necesidad de que el usuario cargue los archivos de firmware del dispositivo.
- Identificación de vulnerabilidades públicamente desconocidas del dispositivo que incluye componentes vulnerables de terceros, credenciales predeterminadas, claves criptográficas, certificados y problemas de configuración predeterminados
- Identificación de las vulnerabilidades conocidas públicamente (CVE) del dispositivo
IoTVAS puede funcionar como una solución de evaluación de riesgos y descubrimiento de IoT independiente o integrarse en el descubrimiento de activos de TI existente, los escáneres de puertos de red y las herramientas de escaneo de vulnerabilidades de TI a través de API REST de IoTVAS.
Descubrimiento de IoT con IoTVAS
IoTVAS identifica los dispositivos en función de las huellas dactilares derivadas de los anuncios de servicios de red del dispositivo. La dirección MAC del dispositivo también se puede usar junto con esta huella digital para mejorar la precisión de detección, pero no es un requisito para IoTVAS, a diferencia de otras soluciones de detección de dispositivos. Las huellas dactilares de nuevos dispositivos se agregan continuamente a la base de datos de huellas dactilares de IoTVAS, según la solicitud API entrante y la investigación interna.
En el momento de escribir este artículo, esta base de datos contiene más de 50 000 huellas dactilares de más de 2300 fabricantes de dispositivos. IoTVAS utiliza la siguiente respuesta de servicio de red y banners para la generación de huellas digitales:
- Cadena SysDescr OID del servicio SNMP
- SysObjectID Cadena OID del servicio SNMP
- Bandera de servicio FTP
- Bandera de servicio Telnet
- Nombre de host del dispositivo
- Respuesta sin procesar del servidor web del dispositivo (servicios http y HTTPS)
- Respuesta de descubrimiento UPnP
- Dirección MAC opcional de la interfaz de red del dispositivo
IoTVAS necesitaría al menos una de las características anteriores para identificar un dispositivo IoT. Los banners de servicios de red pueden recopilarse mediante escáneres de puertos de red existentes o escáneres de vulnerabilidades de TI.
En el modo independiente, IoTVAS utiliza un software de identificación de servicios de red liviano que sondea los dispositivos en la red de destino para extraer las funciones antes mencionadas. La capacidad de descubrimiento de dispositivos IoTVAS también se puede integrar en las herramientas de seguridad existentes a través de un punto final de API REST.
Auditoría de seguridad IoT con IoTVAS
Una vez que se identificaron el fabricante del dispositivo, el modelo y la versión de firmware, IoTVAS va más allá de simplemente buscar los CVE asociados con el dispositivo y la versión de firmware. Mediante el uso de la base de conocimientos de riesgo de firmware patentada de Firmalyzer, IoTVAS recupera la lista de materiales del firmware y un análisis de riesgo detallado que incluye componentes vulnerables de terceros en el firmware en las siguientes categorías: «servicios de red» (servidor UPnP, servidor web, etc.), «bibliotecas criptográficas » (OpenSSL, GnuTLS, etc.), «kernel del sistema operativo Linux» y «herramientas de cliente» (busybox, etc.).
IoTVAS también proporciona una lista de credenciales predeterminadas, claves criptográficas integradas en el firmware del dispositivo, certificados digitales activos y vencidos, claves y certificados criptográficos débiles y problemas de configuración predeterminada. Esta información detallada permite a los administradores de seguridad detectar de manera proactiva los dispositivos conectados de alto riesgo en la red e iniciar esfuerzos de mitigación antes de que estos dispositivos se vean comprometidos. Esto también automatiza el proceso de inventario de BOM de IoT y dispositivos integrados en la organización al eliminar la necesidad de descargar firmware manualmente y el análisis binario de firmware para varios dispositivos IoT implementados en redes empresariales.
De manera similar a la capacidad de descubrimiento de dispositivos, también se puede acceder a la evaluación de riesgos del firmware de IoTVAS a través de un punto final de API REST.
IoTVAS en acción
La siguiente figura muestra el informe de evaluación de riesgos de una impresora de red Xerox en la edición IoTVAS SaaS, incluida la lista de materiales del firmware y los detalles de vulnerabilidad de los componentes de software.
 |
| Figura 1: página de detalles de riesgo del dispositivo en IoTVAS SaaS |
La API de IoTVAS permite a los proveedores de soluciones de seguridad de TI y a los equipos de SecOps integrar las capacidades de auditoría de riesgos de IoT y descubrimiento de IoTVAS en sus herramientas y ofertas existentes. Como ejemplo, Firmalyzer desarrolló Complemento IoTVAS para el escáner NMAP que le permite descubrir y auditar con precisión dispositivos IoT mientras escanea una red de destino.
El siguiente ejemplo muestra cómo los scripts IoTVAS NSE permiten que NMAP detecte con precisión el fabricante, el nombre del modelo, la versión de firmware de una impresora empresarial, junto con sus CVE conocidos y riesgos de firmware. El análisis de riesgo del firmware revela cuentas y credenciales predeterminadas «root» y «postgres» para la cuenta «intFTP», una lista de certificados caducados y certificados con algoritmo de huellas dactilares débiles (MD5) y una configuración predeterminada del demonio SSH que permite el inicio de sesión raíz remoto.
 |
| Figura 2: Complemento IoTVAS para NMAP |
Para comenzar con la API de IoTVAS, regístrese para obtener una clave de API de prueba. La página de documentación de la API incluye una interfaz de usuario swagger que le permite evaluar los puntos finales de IoTVAS directamente desde su navegador sin escribir ningún código.
Si está interesado en una demostración de IoTVAS SaaS o una personalización, no dude en ponerse en contacto con Firmalyzer para una demostración en vivo o una cuenta de prueba.
