Nos casos da ferramenta de gerenciamento de dispositivos do hospital e da ferramenta de análise da empresa financeira, essas foram violações das leis de segurança de dados e poderiam expor a empresa a riscos legais, mesmo que isso estivesse acontecendo sem o conhecimento da empresa.
O produto de gerenciamento de dispositivos médicos do hospital deveria usar a rede Wi-Fi do hospital apenas para garantir a privacidade dos dados dos pacientes e a conformidade com a HIPAA. O ExtraHop notou que o tráfego da estação de trabalho que estava gerenciando a implementação inicial do dispositivo estava abrindo conexões SSL:443 criptografadas para o armazenamento em nuvem de propriedade do fornecedor, uma violação grave da HIPAA.
O ExtraHop observa que, embora possa não haver nenhuma atividade mal-intencionada nesses exemplos, isso ainda é uma violação da lei, e os administradores precisam ficar de olho em suas redes para monitorar o tráfego em busca de atividades incomuns.
“Para ser claro, não sabemos por que esses fornecedores estão enviando dados para casa. Todas as empresas são fornecedores respeitados de segurança e TI e, com toda a probabilidade, o envio de dados para casa foi feito para uma finalidade legítima, dado seu projeto de arquitetura, ou como resultado de uma configuração incorreta”, diz o relatório.
Como mitigar os riscos de segurança de phoning-home
Para resolver esse problema de negligência de segurança, o ExtraHop sugere que as empresas façam estas cinco coisas:
- Monitorar a atividade do fornecedor: Fique atento às atividades inesperadas dos fornecedores em sua rede, sejam eles fornecedores ativos, ex-vendedores ou até mesmo fornecedores pós-avaliação.
- Monitore o tráfego de saída: Esteja atento ao tráfego de saída, especialmente de ativos confidenciais, como controladores de domínio. Quando o tráfego de saída for detectado, sempre o associe a aplicativos e serviços aprovados.
- Rastreie a implementação: Enquanto estiver sendo avaliado, rastreie as implantações de agentes de software.
- Entenda as considerações regulatórias: Informe-se sobre as considerações regulatórias e de conformidade dos dados que cruzam fronteiras políticas e geográficas.
- Entenda os acordos contratuais: Acompanhe se os dados são usados em conformidade com os contratos com os fornecedores.
