Vulnerabilidades de IoT de terceros: necesitamos …


Las únicas entidades equipadas para proteger los dispositivos de Web de las cosas contra los riesgos son los propios fabricantes de dispositivos IoT.

El descubrimiento de la Ripple20 vulnerabilidades, que afecta a cientos de millones de dispositivos de Online de las cosas (IoT), es el último recordatorio de los peligros que los errores de terceros representan para los dispositivos conectados.

Aunque lo estimado 31 mil millones de dispositivos IoT en el mundo realizan una amplia gama de funciones cruciales: alimentación herramientas médicas que salvan vidasfacilitando transporte eficientey transformando procesos comerciales críticos – estos dispositivos son alarmantemente vulnerables a los ataques. En gran parte, eso se debe a que los OEM confían en proveedores externos, como la compañía de program de Ohio en el centro de la tormenta de fuego Ripple20, que venden códigos plagados de posibles puntos de entrada para piratas informáticos maliciosos.

Sin embargo, un reciente Estudio del Instituto Ponemon descubrió que seis de cada 10 organizaciones no monitorean los riesgos cibernéticos de los dispositivos IoT desarrollados por terceros, lo que deja a miles de empresas e instituciones responsables del suministro de productos vulnerables y expuestos a grandes pérdidas financieras y daños a la reputación.

Las únicas entidades equipadas para proteger los dispositivos IoT contra estos riesgos son los propios fabricantes de dispositivos IoT, dado que los usuarios finales generalmente carecen de mecanismos de seguridad adecuados para proteger sus dispositivos conectados. Debido a que continuamente aparecerán nuevas vulnerabilidades cibernéticas, no hay una bala mágica, pero al asumir la responsabilidad y proteger cada dispositivo particular person, los fabricantes pueden prevenir ataques y asegurar la innovación de IoT.

Vulnerabilidades Proliferantes
¿Quién está más en riesgo por la ciberseguridad inadecuada de IoT? Casi todos. Tomemos el caso Ripple20, que se centra en 19 errores encontrados en el código vendido por la compañía de computer software Treck. El código de la compañía se encuentra en los dispositivos utilizados por todos, desde los dueños de tiendas familiares hasta las compañías Fortune 500, como investigadores de JSOF, que descubrieron las vulnerabilidades, célebre. Las industrias afectadas abarcaron toda la gama, incluida la médica, el transporte, la energía, el comercio minorista y más.

La noticia de los errores de Ripple20 llegó justo después de la revelación de que se habían descubierto 26 nuevas vulnerabilidades en el Sistema operativo en tiempo serious (RTOS) Zephyr, que alimenta dispositivos IoT y es suitable con proveedores como Intel, Nordic y Texas Devices.

En otro caso, la Administración de Alimentos y Medicamentos de EE. UU. Anunció en marzo el descubrimiento de 12 vulnerabilidades adicionales de terceros conocidas como «SweynTooth«que afecta a los dispositivos médicos de IoT, subrayando que el riesgo que representan las vulnerabilidades de ciberseguridad podría extenderse más allá de la propiedad y la reputación a la vida misma, con los piratas informáticos potencialmente capaces de robar datos médicos confidenciales o detener el funcionamiento de dispositivos como los monitores cardíacos.

La conclusión de estos casos: las vulnerabilidades dentro de los dispositivos IoT están proliferando. Entonces, ¿cómo pueden los fabricantes cumplir con la escala de la amenaza?

Nueva presión sobre los OEM
Afortunadamente, las últimas revelaciones de errores de IoT no han sorprendido a los responsables políticos. Las medidas reglamentarias están trasladando la carga de la responsabilidad a los fabricantes de dispositivos. Caso en cuestión: a nueva ley de California entró en vigencia en enero requiriendo que los OEM de IoT equiparan dispositivos con características de ciberseguridad que sean apropiadas para la naturaleza específica del dispositivo en sí y la información que recopila y transmite, al tiempo que evita el acceso o la manipulación no autorizados. La ley convirtió a California en el segundo estado, después de Oregón, en adoptar dicha ley.

Mientras tanto, el Departamento de Reino Unido para Electronic, Cultura, Medios y Deporte dio a conocer regulaciones similares a principios de este año, exigiendo a los fabricantes que proporcionen un punto de contacto público para informar y responder a las vulnerabilidades y declarar explícitamente la duración mínima de las actualizaciones de seguridad del dispositivo.

Los gobiernos de todo el mundo deberían unirse a este esfuerzo regulatorio, presionando a los OEM para que actúen rápidamente para salvaguardar los dispositivos críticos tanto para nuestras vidas como para nuestros medios de vida. El resultado closing: no debe permitirse ningún dispositivo IoT en el mercado si no se instala la seguridad adecuada en el dispositivo.

Un cambio de paradigma
El objetivo de la ciberseguridad de IoT no debería ser erradicar todas las vulnerabilidades eso estaría preparando a los fabricantes para el fracaso. Las vulnerabilidades siempre existirán, por lo que lo que se necesita en cambio es un cambio de paradigma en la forma en que los fabricantes piensan en proteger los dispositivos conectados.

Los fabricantes de dispositivos no pueden confiar en la seguridad de terceros proveedores. Como guardianes, los OEM deben implementar controles para proteger a sus clientes. La protección efectiva del diseño debe incluir no solo proteger el código del fabricante, sino también asegurar todos los componentes de terceros. Esta es la razón por la que el diseño seguro, el análisis estático e incluso la seguridad del hardware no responden completamente a las necesidades de protección de IoT, ya que la seguridad de la red de IoT es solo una pieza del rompecabezas y no puede proteger los dispositivos distribuidos.

Cuando los fabricantes finalmente descubren vulnerabilidades, deberían aplicar parches, pero los parches no deberían ser el punto focal de su estrategia de ciberseguridad. En cambio, los OEM deben buscar soluciones innovadoras que se centren en prevenir ataques, independientemente de las vulnerabilidades. Las nuevas técnicas en ciberseguridad para dispositivos IoT lo hacen posible. Los OEM pueden gastar menos tiempo y dinero buscando vulnerabilidades, ya que estarán mejor equipados para detener los intentos de explotación y responder de inmediato a los incidentes.

En la era de IoT, cada dispositivo individual sirve como un punto de entrada potencial para los atacantes, por lo que los fabricantes deben asegurarse de que la protección cibernética esté integrada en cada dispositivo. Dichas soluciones serán críticas ya que IoT en redes 5G está preparado para conducir $ 8 mil millones en ingresos para operadores para 2024.

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio website de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse

Natali aporta más de 10 años de experiencia, tanto como investigadora como líder de equipo, en el campo de la ciberseguridad ofensiva y el desarrollo de computer software. Después de graduarse magna cum laude B.Sc. en Informática a la edad de 19 años, como parte de un programa especial para superdotados y … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia original