Lo que las organizaciones deben saber sobre el suministro de IoT …


Estos son algunos factores que las organizaciones deben considerar al tratar de limitar el riesgo que representan riesgos como Ripple20.

A medida que las organizaciones dejan miles de millones de dispositivos conectados en sus redes corporativas, ¿saben realmente de qué están hechos esos dispositivos y el riesgo que pueden presentar? La respuesta es possible: en realidad no.

Esto se debe a la complicada cadena de suministro de dispositivos de Internet de las cosas (IoT) y tecnología operativa (OT). Si bien una empresa puede comprar un dispositivo de un fabricante que conoce y en el que confía, es posible que no se dé cuenta de que algunos de los componentes y el program subyacente que podrían usarse para comprometer esos dispositivos probablemente sean fabricados por otro fabricante.

En el caso de lo recientemente divulgado Ondulación20, Se descubrieron 19 vulnerabilidades en la pila de redes TCP / IP creada por Treck que se puede encontrar en millones de dispositivos comunes de los principales proveedores, incluidos sistemas de handle industrial, dispositivos médicos, equipos de redes empresariales e impresoras.

Este no es el único caso de vulnerabilidades de la cadena de suministro en dispositivos IoT y OT en los últimos años y el problema se ha generalizado. atención en la comunidad de ciberseguridad. El año pasado surgieron otras preocupaciones sobre dónde se fabrican los dispositivos y sus componentes individuales, y el gobierno de EE. UU. Prohibió a varios fabricantes de dispositivos chinos, citando preocupaciones de seguridad nacional. Más recientemente, el presidente Trump firmó una orden ejecutiva que prohíbe la adquisición, importación, transferencia o instalación de equipos eléctricos de sistemas de energía a granel conectados a cualquier adversario extranjero y exige identificar este tipo de equipos que ya están en uso.

El riesgo que representan estos dispositivos se ve incrementado por la escala de IoT y OT en standard, con Gartner prediciendo que habrá 20 mil millones de dispositivos conectados para 2021. Una sola vulnerabilidad en un componente de la cadena de suministro podría afectar una gran parte de esos dispositivos en múltiples fabricantes . Se estima que Ripple20 solo afecta a cientos de millones de dispositivos.

Estos son algunos factores que las organizaciones deben considerar al tratar de limitar el riesgo que representa este tipo de vulnerabilidad:

Desafíos de la identificación de dispositivos con riesgo en la cadena de suministro
Cuando se trata de dispositivos IoT, IT y OT, no existe una lista de materiales de computer software (SBOM), aunque ha habido alguna industria pide uno. Eso significa que el fabricante no tiene la obligación de divulgarle qué componentes componen un dispositivo. Cuando se revela una vulnerabilidad típica de dispositivo o program, una organización puede usar herramientas con bastante facilidad, como la visibilidad del dispositivo y la administración de activos, para encontrar y parchear dispositivos vulnerables en su purple. Sin embargo, sin un requisito estándar de revelar qué componentes están bajo el capó, puede ser extremadamente difícil incluso identificar qué fabricantes o dispositivos pueden verse afectados por una vulnerabilidad de la cadena de suministro como Ripple20 a menos que el proveedor lo confirme.

Para las organizaciones, este desafío significa presionar a los fabricantes para obtener información sobre los componentes al tomar decisiones de compra. Si bien no es realista basar únicamente cada decisión de compra basada en la seguridad, la naturaleza de estos desafíos de la cadena de suministro exige al menos obtener información para hacer el mejor cálculo de riesgo.

Un riesgo, muchos dispositivos
Lo que hace que el riesgo de la cadena de suministro sea único es que una vulnerabilidad puede afectar muchos tipos de dispositivos. Ripple20, por ejemplo, afecta a una amplia gama de dispositivos en las redes de TI y OT, incluidos los sistemas de control industrial, dispositivos médicos, equipos de redes empresariales e impresoras. En whole, JSOF, la compañía que descubrió las vulnerabilidades, estima que podría afectar a muchos fabricantes y cientos de millones de dispositivos en todo el mundo. Si bien este es solo un ejemplo, este fenómeno aumenta el riesgo de esta categoría de vulnerabilidades.

Lo que esto significa para una organización es que el riesgo de las vulnerabilidades de Ripple20 probablemente ya esté dentro de su entorno. Si bien la lista de fabricantes afectados sigue siendo un trabajo en progreso, las organizaciones pueden comenzar identificando los dispositivos afectados conocidos y tomando las medidas adecuadas de mitigación de riesgos.

Dificultades para emitir parches
Cuando se encuentra una vulnerabilidad de este tipo, corresponde al fabricante del software package o componente emitir su parche. Sin embargo, el fabricante del dispositivo es responsable de distribuir el parche que deben aplicar los usuarios finales. Eso significa que un fabricante debe emitir un parche, luego reconocerlo e incorporarlo al menos por un segundo, y luego enviarlo a los usuarios finales, que deben aplicarlo ellos mismos, una compleja cadena de suministro propia.

Todos estos pasos suponen que el fabricante del dispositivo todavía está en condiciones de implementar estas soluciones. Es completamente posible que el fabricante esté fuera del negocio o que ya no sea appropriate con el dispositivo en cuestión, lo que significaría que las actualizaciones de seguridad necesarias no se pasarían al usuario last. En estos casos, las organizaciones deberán tomar la iniciativa de aislar estos dispositivos segmentando su crimson o eliminarlos de su purple por completo.

El desafío de aplicar parches
Incluso si se cumplen todos estos obstáculos para entregar un parche al usuario ultimate, aún puede ser imposible remediar la falla de seguridad. Esto puede suceder por muchas razones, incluida la incapacidad para tolerar el tiempo de inactividad, la incapacidad del dispositivo para actualizarse o la incapacidad de ejecutar aplicaciones heredadas junto con el computer software parcheado. Cualquiera sea la razón, depende de la organización mitigar ese riesgo con soluciones de seguridad como la segmentación de la red que puede limitar el impacto de los dispositivos vulnerables en otras partes de la pink.

¿Qué pueden hacer las organizaciones sobre el riesgo de la cadena de suministro?
Los primeros pasos que las organizaciones pueden tomar para protegerse se han descrito anteriormente y son similares a los que se toman al mitigar otros tipos de riesgo de ciberseguridad: inventariar y parchar dispositivos vulnerables conocidos, segmentar la purple para evitar el acceso inicial o el movimiento lateral a través de dispositivos riesgosos, y monitorear continuamente la purple en busca de signos de infracciones.

Antes de conectar cualquier dispositivo a la red, las organizaciones también deben evaluar a su fabricante haciendo las siguientes preguntas:

  • ¿Utiliza un ciclo de vida de desarrollo seguro, que incluye revisiones del código fuente y pruebas de penetración, que pueden reducir la cantidad de vulnerabilidades en los dispositivos IoT? ¿Incluye componentes de terceros en este proceso de prueba?
  • ¿Implementa mitigaciones de exploits, como la aleatorización del diseño del espacio de direcciones (ASLR) y la prevención de ejecución de datos (DEP), que pueden reducir el impacto de las vulnerabilidades que aún ocurren en sus dispositivos?
  • ¿Tiene un programa de actualización de seguridad, que puede corregir vulnerabilidades cuando se descubren? ¿Estas actualizaciones se entregan de forma segura? ¿Puedo controlar cuándo se aplican estas actualizaciones?
  • ¿Puedo saber qué componentes de computer software y hardware están presentes en los dispositivos del fabricante?
  • ¿Puedo rastrear el origen del fabricante y sus proveedores? (Esto es cada vez más importante, especialmente para las organizaciones gubernamentales).

Con base en las respuestas a estas preguntas, las organizaciones pueden tomar decisiones de riesgo informadas y monitorear de manera más efectiva la postura de seguridad de sus dispositivos IoT.

Contenido relacionado:

Regístrese ahora para el Black Hat United states of america totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio website de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse

Daniel dos Santos tiene un doctorado en ciencias de la computación de la Universidad de Trento, Italia, y ha publicado más de 30 artículos de revistas y conferencias sobre ciberseguridad. Tiene experiencia en desarrollo de computer software, pruebas de seguridad e investigación. Ahora es director de investigación en … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia primary