Os MSPs devem priorizar a segurança dos dispositivos móveis

Na semana passada, tivemos uma visão geral das preocupações e desafios de segurança crescentes em torno dos dispositivos móveis. Esta semana, continuamos a conversa sobre dispositivos móveis com Eric O'Neill. Eric é um ex-agente de contraterrorismo e contrainteligência do FBI, orador principal em cibersegurança e fundador do The Georgetown Group e Nexasure AI.

Provedores de serviços geridos (MSPs) e outros frequentemente negligenciam os dispositivos móveis porque podem ser facilmente descartados como "dispositivos pessoais". Especialmente no mundo pós-pandémico, a linha entre trabalho e casa tornou-se cada vez mais difusa.

“Os dispositivos móveis que se conectam a redes seguras e sistemas de dados devem receber a mesma atenção e os mesmos controles de cibersegurança que os portáteis administrados pela organização de TI da empresa”, afirma O'Neill. Ele acrescenta que cada telemóvel é um endpoint que pode conceder acesso a sistemas de dados, dizendo: “Os MSPs e CISAs devem garantir que uma segurança robusta de endpoint seja instalada e priorizada através de políticas em todos os dispositivos móveis, empresariais e pessoais, que acedem a redes críticas.”

Desafios de segurança móvel e melhores práticas

Tal cibersegurança inclui encriptação para dados empresariais e e-mail, identificação multifator ativada para cada dispositivo e uma política que exige senhas e códigos de desbloqueio robustos. O'Neill também destaca que os telemóveis precisam de acesso "necessário saber" a dados sensíveis e controlo de aplicações. Isto serve para prevenir a instalação de aplicações maliciosas.

Ainda assim, por mais difundidos que os dispositivos móveis sejam, eles representam uma ameaça à segurança?

O'Neill diz que sim. “Os dispositivos móveis são alvos principais para os criminosos cibernéticos,” alerta ele. Não é sempre necessário um hacker de alta tecnologia que está a usar as ferramentas mais recentes. “Os criminosos irão 'surfear sobre os ombros' de um alvo potencial em lugares públicos e esperar que o indivíduo desbloqueie o seu telefone com um código. Uma vez memorizado o código, irão roubar o telefone e rapidamente mudar o código e as senhas da conta de cloud, controlando essencialmente o telefone.”

Os utilizadores móveis também tendem a deixar um rasto de downloads, o que O’Neill explica que pode tornar uma pessoa ou empresa vulnerável. “Os utilizadores móveis descarregam uma grande variedade de aplicações, muitas das quais não implementam segurança robusta ou podem ser elas próprias maliciosas,” partilha O’Neill. Ele acrescenta que as salvaguardas de segurança não são tão sofisticadas para telemóveis como são para desktops. “Isso coloca grande parte da responsabilidade pela segurança no proprietário do dispositivo móvel, o que nunca é uma boa estratégia de cibersegurança.”

Protegendo dispositivos móveis

É mais comum do que se pensa que os funcionários possam usar dispositivos móveis pessoais para trabalho empresarial sem uma política robusta de bring your own device (BYOD) em vigor. “Os cibercriminosos sabem que as organizações muitas vezes negligenciam os telemóveis como uma porta de entrada principal para o lançamento de ataques cibernéticos sofisticados”, diz O'Neill.

"Estes dispositivos podem não implementar controlos de segurança móvel críticos como encriptação, acesso “necessário” a redes seguras, autenticação multifator e controlo de palavra-passe," continua ele, acrescentando que devido a esta negligência, a maioria dos sites de phishing agora visa dispositivos móveis, bem como computadores de secretária.

"Estatisticamente, um utilizador tem muito mais probabilidade de clicar num link malicioso enviado via SMS para um telefone móvel do que num e-mail de spear phishing enviado para a sua caixa de correio do computador", diz O'Neill. Ele destaca que os telefones móveis só vão tornar-se mais enraizados nas nossas vidas à medida que o tempo passa. Os fornecedores de serviços geridos e os especialistas em segurança devem tratá-los como vulnerabilidades empresariais.

"Os nossos telemóveis não são simplesmente repositórios dos nossos dados mais pessoais, são agora as nossas identidades digitais. Substituímos a carteira cheia do nosso pai ou a bolsa cheia da nossa mãe pelo equivalente digital de identificações, cartões de crédito e bancários, e cartões de membro", afirma O’Neill. "O futuro da tecnologia móvel deve seguir as melhores práticas de cibersegurança para outros endpoints. Isto inclui segurança intrínseca baseada na confiança zero. Os dispositivos móveis futuros serão construídos desde o início com múltiplos e redundantes controlos de segurança em vigor. Estarão biometricamente ligados a um único utilizador e monitorizados por inteligência artificial (IA) de caça a ameaças."

Até que isso aconteça, os utilizadores precisam de estar atentos. Além disso, os Provedores de Serviços Geridos beneficiariam ao oferecer segurança de dispositivos móveis como um serviço separado.

Nota: Isto foi originalmente publicado em SmarterMSP.