A Claroty divulgou uma nova pesquisa de sua equipe de pesquisadores, do Team82, sobre a proliferação de ferramentas de acesso remoto e as exposições de risco que elas introduzem nos ambientes de tecnologia operacional (OT, Operational Technology). Dados de mais de 50.000 dispositivos habilitados para acesso remoto mostraram que o volume de ferramentas de acesso remoto implementadas é excessivo, com 55% das organizações possuindo quatro ou mais e 33% com seis ou mais.
A pesquisa do Team82 também descobriu que impressionantes 79% das organizações têm mais de duas ferramentas não corporativas instaladas em dispositivos de rede OT. Essas ferramentas não têm funcionalidades básicas de gerenciamento de acesso privilegiado, como gravação de sessão, auditoria, controles de acesso baseados em função e até mesmo recursos básicos de segurança, como autenticação multifator (MFA). A consequência do uso desse tipo de ferramenta é o aumento de exposições de alto risco e custos operacionais adicionais de gerenciamento para uma infinidade de soluções.
“Desde o início da pandemia, as organizações têm recorrido cada vez mais a soluções de acesso remoto para gerenciar os seus funcionários e fornecedores terceirizados de forma mais eficiente, mas, embora o acesso remoto seja uma necessidade dessa nova realidade, ele criou simultaneamente um dilema operacional e de segurança”, diz Tal Laufer, Vice-Presidente de Produtos, Secure Access na Claroty. “Embora faça sentido para uma organização dispor de ferramentas de acesso remoto para os serviços de TI e de OT, isso não justifica a proliferação de ferramentas dentro da rede sensível de OT, que identificamos em nosso estudo, o que leva a um maior risco e à complexidade operacional”.
Embora muitas das soluções de acesso remoto encontradas em redes de OT possam ser usadas para propósitos específicos de TI, sua existência em ambientes industriais pode potencialmente criar exposições críticas e preocupações de segurança que podem agravar, incluindo:
- Falta de visibilidade: em casos nos quais os fornecedores terceirizados se conectam ao ambiente de OT, usando as suas próprias soluções de acesso remoto, os administradores de rede de Tecnologia Operacional e a equipe de segurança, que não estão gerenciando de maneira centralizada essas soluções, têm pouca ou nenhuma visibilidade da atividade associada.
- Superfície de ataque ampliada: mais conexões externas no ambiente via ferramentas de acesso remoto, significam mais vetores de ataque em potencial por meio dos quais práticas de segurança abaixo do padrão ou credenciais vazadas podem ser usadas para penetração na rede.
- Gerenciamento de identidade complexo: múltiplas soluções de acesso remoto requerem esforços mais concentrados, para criar políticas consistentes de administração e governança em torno de quem tem acesso à rede, para quais razões e por quanto tempo. Essa complexidade crescente pode gerar pontos cegos no gerenciamento dos direitos de acesso.
De acordo com a Gartner, os líderes de gerenciamento de segurança e risco (SRM) devem “realizar um inventário completo das conexões remotas por toda a organização, já que um acesso remoto não visível provavelmente possa existir em todas as redes operacionais, particularmente em locais de campo” e “remover soluções de acesso remoto antigas ao implementar as mais recentes soluções de acesso remoto seguro nos sistemas ciberfísicos. Geralmente, as organizações implementam novas soluções sem se concentrar no que é deixado para trás e, com um número de vulnerabilidades exploradas em VPN crescendo, isso pode ser um ponto cego significativo.”
