Na nossa recente conversa informal, dedicámos 45 minutos a uma falha de segurança que se esconde à vista de todos em quase todas as organizações: como os colaboradores se ligam realmente ao WiFi do escritório. A versão curta? A maioria das empresas depende de padrões que, para começar, nunca foram muito seguros, e a IA transformou silenciosamente um risco de baixa prioridade num risco urgente.
Eis o que abordámos e por que razão isto é importante para a sua rede.
O problema que quase todos partilham
Quando analisamos a fundo, a maioria das organizações liga os colaboradores ao WiFi da mesma forma. Como Andy Dancer referiu durante a sessão, normalmente "resume-se a uma palavra-passe partilhada". Muitas vezes, essa palavra-passe partilhada de colaboradores reside na mesma rede que o acesso de convidados, apenas com credenciais diferentes. É conveniente. Mas é também um risco sistémico, porque um único segredo partilhado é exatamente o tipo de coisa fácil de verter, adivinhar ou roubar.
Durante muito tempo, a ausência de incidentes de grande destaque fez com que isto parecesse um problema teórico. A realidade é mais simples: os atacantes escolhem o caminho mais fácil disponível e, até há pouco tempo, existiam alvos mais fáceis noutros locais. Esse cálculo está a mudar.
O que a IA mudou
A IA reduziu a barreira para ataques de WiFi em geral. O phishing e a recolha de credenciais são agora mais personalizados, mais escaláveis e mais difíceis de detetar. A quebra de palavras-passe é mais rápida e as ferramentas conseguem gerar palpites de palavras-passe plausíveis em massa. Nada disto exige que o atacante seja sofisticado; exige apenas que tenha acesso às mesmas ferramentas que todos os outros têm.
Um ponto sobre o qual vale a pena refletir: muitas vezes, um atacante não precisa de estar dentro do seu edifício. Parques de estacionamento, edifícios adjacentes e antenas direcionais podem dar a alguém uma presença "como se estivesse lá dentro" na sua rede a partir de uma distância considerável. Nas nossas demonstrações, mostrámos como um sinal de WiFi falso transmitido com mais força do que o SSID real, emparelhado com uma página de início de sessão falsa e convincente, pode recolher credenciais sem que ninguém se aperceba.
Por que razão "mais segurança no início de sessão" tem limites
O instinto é adicionar mais verificações no momento da ligação. Mas enquanto um ser humano tiver de introduzir credenciais, essas credenciais podem ser roubadas. Mais fricção para os colaboradores não elimina a exposição subjacente; apenas a desloca.
Existe um segundo problema que surge após a ligação. Muitas ferramentas de segurança assumem que a verificação já ocorreu no momento em que alguém está na rede. Assim, uma vez autenticado o atacante, este pode parecer inteiramente legítimo enquanto se movimenta, especialmente onde a separação entre colaboradores e convidados é fraca.
É também por esta razão que o Network Access Control (NAC) desaponta tantas vezes na prática. Como o Andy observou, "cerca de 70% das implementações de NAC acabam por ficar em modo de monitorização" em vez de aplicarem ativamente as políticas. A prevenção total é operacionalmente difícil e o volume de trabalho que gera para o suporte técnico tende a empurrar as equipas para a monitorização em vez do bloqueio.
Uma abordagem diferente: eliminar completamente a palavra-passe
Iain Jewitt resumiu o rumo de forma simples: "a resposta é retirar totalmente o colaborador da equação."
Esta é a lógica por trás da abordagem de WiFi para funcionários da Purple. Em vez de pedir às pessoas para se lembrarem e introduzirem uma palavra-passe partilhada, o acesso está associado à identidade. Obtém uma proteção de nível WPA Enterprise de referência, sem que os funcionários tenham de introduzir palavras-passe ou códigos. A implementação sincroniza-se com o seu fornecedor de identidade existente e os utilizadores instalam uma aplicação apenas uma vez.
Os benefícios indiretos são tanto operacionais como de segurança. Como o acesso está associado às contas do diretório, é desativado automaticamente quando alguém sai da empresa. Não há nenhum segredo partilhado para alterar, nem credenciais que um atacante possa obter por phishing.
Como é realmente a implementação
Surgiram algumas questões práticas por parte da audiência:
- É disruptivo? Não particularmente. Pode manter a sua configuração existente a funcionar em paralelo com a Purple durante a migração, e a aplicação liga os utilizadores sem necessidade de reconfigurar cada dispositivo manualmente. A maioria dos utilizadores precisa apenas de alguns dias para instalar e ligar. Durante a semana do evento, um administrador de TI configurou ligações seguras para colaboradores num modelo de trabalho híbrido quase instantaneamente.
- Substitui o NAC? Não necessariamente. O NAC é valioso quando está genuinamente a aplicar políticas. A Purple pode funcionar como uma camada de ligação segura mais simples ou como uma melhoria focada nos seus pontos de acesso mais sensíveis.
- Quem corre maior risco? Os serviços financeiros e tudo o que esteja ligado a dinheiro são alvos iniciais comuns, mas os ataques baseados em IA alargam consideravelmente o âmbito, incluindo ataques de interrupção com efeitos económicos indiretos mais amplos.
A conclusão
O WiFi para funcionários é uma superfície de ataque em crescimento, e a IA está a tornar a sua exploração mais barata e fácil. A solução não passa por introduzir mais fricção no ecrã de início de sessão. Passa por mudar para uma autenticação baseada em identidade e sem palavra-passe, que aplica um acesso mais forte ao mesmo tempo que reduz a carga de trabalho das TI e do suporte técnico.
Se gostaria de analisar como seria esta implementação no seu hardware de WiFi existente, entre em contacto connosco . Teremos todo o gosto em orientá-lo num plano de migração.
Apenas arranhámos a superfície. A conversa informal completa aprofunda as ameaças existentes, as potenciais implementações para ajudar e as perguntas e respostas do público.
