“Hot Patching” – Protegendo perfeitamente os roteadores de seus clientes SMB

A Agência de Segurança Nacional dos EUA (NSA) recomenda mudar para um roteador comprado pessoalmente para melhorar a segurança da rede doméstica, mas e quanto a proteger “todos” os dispositivos em uma rede doméstica? Como os ISPs podem ajudar o usuário médio a superar essa tarefa aparentemente impossível e diferenciar suas ofertas com recursos de hot patching em tempo real?

É um fato bem conhecido que a maioria dos dispositivos e redes domésticos e de pequenas empresas carecem de proteção adequada. Essa vulnerabilidade surge devido a vários motivos, incluindo o uso generalizado de dispositivos eletrônicos de consumo que se tornaram dispositivos IoT conectados por meio de roteadores domésticos. Embora algumas vulnerabilidades possam ser apenas um inconveniente para alguns usuários, outras podem abrir as portas para atividades maliciosas. Um dos desafios mais prementes no campo da IoT é o lento processo de descoberta para aplicação de patches pelos fornecedores de firmware, deixando os usuários expostos indefinidamente. Este problema destaca uma lacuna crítica na segurança doméstica, onde a resolução oportuna das vulnerabilidades da IoT é essencial.

Uma das recomendações mencionadas no comunicado da NSA mencionado acima para lidar com essas questões de segurança é baixar regularmente as atualizações de segurança para todos os dispositivos conectados, e isso também se aplica aos SOHOs. Mas essa é uma tarefa francamente além da capacidade de alguns e um fardo um tanto oneroso para outros, principalmente para aqueles que estão tentando administrar um negócio antes de mais nada!

Outra coisa interessante sobre a orientação da NSA é a recomendação de que os usuários troquem o roteador fornecido pelo ISP por um que eles próprios comprariam, sob o pretexto presumivelmente de que um usuário teria mais controle sobre um dispositivo que é realmente próprio em vez de alugado. Essa recomendação vem do fato de que o roteador é o dispositivo mais vulnerável nas redes domésticas. Para os hackers, as vulnerabilidades do roteador apresentam uma oportunidade melhor do que qualquer outro IoT ou outro dispositivo conectado, pois o roteador é o único gateway para todos os outros dispositivos na rede doméstica e o único caminho para esses dispositivos se conectarem à Internet.

Portanto, se estendermos a lógica de “ter seu próprio dispositivo significa maior segurança” para todo o ambiente de rede, isso significaria que um usuário seria responsável pela segurança da rede, compreendendo em média cerca de 20 dispositivos. No entanto, pelo que ouvimos em nossas discussões com provedores de serviços em todo o mundo, seus clientes precisariam de ajuda para serem seus próprios “pessoais de TI” e manter os níveis de segurança recomendados para o roteador e todos os dispositivos conectados.

E este ambiente de “maior consciência” dá aos ISPs uma excelente oportunidade para fornecer um serviço extremamente valioso – sob o princípio de que o gerente da conexão de rede (o roteador conectado à WAN), ou seja, o ISP, está na melhor posição para proteger todos dispositivos na rede SMB/SOHO. E essa proteção vem na forma de hot patching.

Em nosso blog anterior sobre “correção”, discutimos aplicação de correção virtual, que é um método usado por fornecedores de segurança para proteger dispositivos contra as ameaças de vulnerabilidade mais recentes, sem corrigir o próprio aplicativo (carregando novo firmware, etc.). Normalmente, um IPS ou um firewall de próxima geração examinará o tráfego de rede para detectar ataques e bloqueá-los antes que atinjam o aplicativo vulnerável dos usuários. Assim, mesmo que o aplicativo não seja realmente atualizado contra as ameaças mais recentes, ele ainda está protegido contra elas. Embora essa técnica seja comumente utilizada em grandes organizações e redes corporativas, ela fica aquém quando se trata de cenários como trabalho remoto (“WFH”) ou pequenas empresas e SOHOs, como descreveremos mais adiante.

Garantindo a segurança ininterrupta do roteador: quem é o guardião do monitoramento de vulnerabilidades?

O hot patching pode ser comparado ao “hot swapping” no escritório central, como na substituição de uma placa de linha em um rack com a energia ainda ligada, o que significa que não há tempo de inatividade da rede ao efetuar um reparo ou atualização. Hot patching então significa que você pode proteger os roteadores de seus clientes sem que eles percebam (o que eles fariam se o Wi-Fi e outros itens conectados ficassem offline por um tempo). Hot patching é baseado no que é conhecido como “inspeção profunda de pacotes” ou DPI. É uma técnica bem conhecida e antiga em que a carga útil dos pacotes que atravessam uma rede de dados é inspecionada. Ele pode ser usado para priorização de tráfego em redes Ethernet e para fins de segurança, “guarda de acesso”. O DPI difere crucialmente do firewall estáticoproteção, que está apenas filtrando pacotes com base em IP, portas ou protocolos.

Por exemplo, um ISP de primeira linha conduziu recentemente um teste operacional em larga escala envolvendo milhares de seus roteadores para aumentar a segurança e a qualidade da experiência. Como parte desse teste, eles tentaram carregar um novo arquivo de firmware, mas, graças à detecção e monitoramento em tempo real, o recurso hot patching detectou um ‘padrão de tráfego incomum’ e o bloqueou.

O DPI oferece benefícios como:

• Uma postura muito mais ativa e “prática” na medida em que olha para a própria carga útil
• O DPI apoiado por extensos conjuntos de dados sobre tráfego e equipamentos de rede e aumentado por técnicas de IA e ML aprimora a detecção e a resposta imediatas
• Permite que um ISP reconheça padrões relacionados a ataques conhecidos ou suspeitos ou tentativas de hacking, como esforços para entrar em uma rede e “explorar”

Além disso, a vantagem imediata de detecção e resposta é fundamental, pois pode levar muito tempo para os fabricantes de dispositivos fornecerem patches ou atualizações de firmware de segurança para seus produtos.

Um motivo, conforme mencionado no início, é que leva tempo para criar uma correção, testá-la em campo e, em seguida, distribuí-la. E para dispositivos IoT é uma questão completamente diferente, já que vários dispositivos têm segurança mínima e nenhum programa de correção de segurança em andamento. Ou os dispositivos não estão mais no mercado. Esse atraso cria uma significativa janela de oportunidade para hackers que estão bem cientes dessas vulnerabilidades e geralmente têm tempo suficiente para explorá-las antes que os fornecedores emitam uma solução, deixando os usuários finais vulneráveis ​​a ataques. Portanto, quem deve ser responsável por monitorar essas vulnerabilidades de segurança – o proprietário da rede ou o ISP?

Mesmo quando o patch estiver pronto para implantação, ainda resta a dúvida de como ele será implantado nos dispositivos dos usuários. Alguns dispositivos podem ser atualizados através do aplicativo correspondente no smartphone. Outros, no entanto, precisam ser atualizados manualmente – um processo demorado e bastante complicado até mesmo para quem entende de tecnologia.

Minimizando riscos e custos para ISPs e proprietários de pequenas empresas

Você pode resolver todos esses problemas com um programa de proteção único. Ao fornecer proteção de segurança cibernética no nível do roteador ou “CPE”, incluindo recursos avançados de hot patching, você pode dar a seus clientes a tranquilidade de se concentrar em seus negócios. Você se tornará, de fato, o “CISO automatizado” ao fornecer um serviço de valor agregado significativo além do pacote básico de conectividade.

Você pode fazer isso adicionando uma camada de serviços de segurança automatizados que incorporam hot patching e DPI avançado. Como visto na maior empresa de telecomunicações de Israel, Bezeq, e em outros lugares, essa camada pode ser implementada com bastante facilidade e sem problemas e eliminará todos os tipos de cenários problemáticos, como:

• Usuários finais (ou seja, seus clientes) esperando semanas ou meses para que “alguém” conserte brechas de segurança e carregue novo firmware em seus dispositivos vulneráveis
• Incerteza em relação aos padrões de tráfego que entram nos “guardiões do gateway” (também conhecidos como roteadores) das redes de seus clientes
• Instruindo seus clientes como fazer upload de patches de segurança de vários tipos
• Dispositivos fora do mercado – se não podem ser atualizados, a única alternativa geralmente é descartá-los, o que também é ruim para o meio ambiente
• Problemas da cadeia de suprimentos – o processo de determinar se há um problema de segurança com um chipset em um dispositivo, por exemplo, ou a possibilidade de um ISP ter que substituir milhares de roteadores infectados – o que pode custar uma quantia substancial de dinheiro

 

Quanto dinheiro? No nível dos fabricantes de dispositivos, existem soluções de segurança que levam algum tempo para serem implementadas e podem ter um impacto significativo nos cronogramas de produção e na entrega de novos equipamentos aos provedores de serviços. Esse cenário se enquadraria na categoria “tempo é dinheiro”. Quanto aos gastos em tempo real, houve casos recentes em que um ISP teve que enviar um número significativo de “técnicos de campo” para visitar as casas de milhares de clientes e trocar roteadores infectados.

 

Em conclusão, é muito provável que agentes mal-intencionados tentem invadir redes não gerenciadas com pouca proteção, como as encontradas nas residências e pequenas empresas de seus clientes. Ao implementar hot patching, você pode mitigar efetivamente todos os cenários problemáticos mencionados acima. Testadas em campo e comprovadas em ambientes operacionais do mundo real com ISPs líderes em vários países, as técnicas de hot patch fornecem uma solução confiável. Não deixe que a falta de segurança da IoT se torne um convite aberto para hackers. Com hot patching, você pode garantir proteção constante em tempo real e capacitar seus clientes com segurança abrangente de roteadores e dispositivos, eliminando as complexidades do gerenciamento de vulnerabilidades e suas correções.

 

Fonte: SAM