3 fallas de seguridad en dispositivos inteligentes e IoT que necesitan …



El alcance y el peligro del hardware no seguro conectado a Net solo continuará aumentando.

Los rápidos cambios en la forma en que los dispositivos de Net de las cosas (IoT) que nos rodean interactúan entre sí han creado un panorama definido por vulnerabilidades de seguridad sin precedentes. Hay tres problemas de seguridad principales con ellos y algunas posibles soluciones.

En diciembre de 2020, Forescout identificó 33 vulnerabilidades que afectan a cuatro pilas TCP / IP de código abierto. Son utilizados por millones de dispositivos en todo el mundo. Permiten a los atacantes apuntar a una casa inteligente o un entorno industrial automatizado y utilizar casi cualquier dispositivo como punto de entrada a la purple.

Según IBM, el costo promedio de una violación de datos es poco menos de $ 4 millonesy las organizaciones tardan un promedio de 280 días en identificar y contener una infracción. Mientras tanto, el potencial destructivo de botnets ha crecido en los últimos años. Propagan malware, montan ataques distribuidos de denegación de servicio (DDoS) y difunden desinformación en las redes sociales.

Problema 1: conexiones API no seguras
Las interfaces de programación de aplicaciones se utilizan ampliamente para que los dispositivos se comuniquen entre sí, pero rara vez se construyen con una seguridad sólida. Por ejemplo, cuando un analista de datos accede directamente a una foundation de datos, la mayoría de los sistemas de seguridad registrarán el nombre y la función de ese usuario. Pero es posible que un usuario externo no tenga que ofrecer esas credenciales. Entonces, dos entradas de registro pueden ser como tales:

John Smith: Analista de datos – 172.20.118.97

Application_User: Cuenta de servicio – 172.20..159

Solo uno de estos le brinda información útil sobre la identidad del usuario. Si sus dispositivos inteligentes y equipos de IoT no recopilan datos útiles, carece de visibilidad de purple de extremo a extremo.

Ciberdelincuentes buscar en World wide web tokens API expuestos. Es una de las formas más fáciles de crear y aprovechar rápidamente una enorme botnet compuesta por dispositivos zombies de IoT.

Cómo resolver problemas de conexión de API
Los ingenieros de seguridad y los equipos de TI empresariales deben tratar las aplicaciones y las API como pasarelas de datos. Esto significa revisar las conexiones API para realizar cambios orientados a la seguridad.

Si un dispositivo de IoT tiene alguna capacidad de conexión externa, debe configurarse para categorizar de forma segura las solicitudes de usuarios entrantes y bloquear las no autorizadas. Los desarrolladores deben informar a los profesionales de la seguridad sobre «API de sombra«eso puede pasar desapercibido. Los equipos deben trabajar juntos para identificar las API obsoletas y obsoletas.

Restringir y monitorear el acceso a la API es posiblemente importante. Uso del OAuth estándar de la industria es un enfoque excellent. Incluye un parámetro de tipo de concesión de dispositivo que se adapta a dispositivos con capacidades de entrada limitadas, como la mayoría de los dispositivos de IoT.

Problema 2: Mecanismos de actualización de firmware obsoletos
IoT presenta la capacidad de comprometer un solo dispositivo para moverse lateralmente a través de una red completa. Estos dispositivos suelen recibir actualizaciones de firmware de forma inalámbrica, lo que los convierte en objetivos más atractivos y fáciles.

Pero no solo el hardware de consumo producido en masa está en riesgo. Las herramientas de infraestructura e industria pesada están sujetas a firmware malicioso. El ciberataque de 2015 a una importante central eléctrica de Ucrania involucró firmware malicioso.

Si los dispositivos de IoT continúan proliferando, será necesario tomar nuevas medidas de seguridad para protegerlos de actualizaciones de firmware maliciosas. Estos tipos de ataques serán cada vez más frecuentes a medida que todos sigan invirtiendo en herramientas administradas de forma remota que manejan sus propias actualizaciones de firmware.

Cómo solucionar los problemas de seguridad del firmware
Cualquiera que desee proteger las actualizaciones de firmware de IoT se encontrará de inmediato con un desafío fundamental. ¿Cómo se protege un dispositivo que no tiene credenciales de usuario / contraseña?

Uno puede usar un criptoprocesador seguro diseñado únicamente para la autenticación de usuarios. Utiliza un marco de clave público-privada para autenticar las solicitudes entrantes, incluidas las actualizaciones de firmware.

Las agencias gubernamentales, las organizaciones empresariales y la fabricación pueden establecer condiciones. Organizaciones tan grandes tienen el poder de dictar qué dispositivos usan y qué no usan. Incluso pueden modificar los dispositivos minoristas de los consumidores para adaptarlos a las necesidades de seguridad.

Además, las empresas controlan los recursos para desarrollar e implementar marcos de IoT seguros que pueden vehicle-autenticarse sin revelar datos internos. Hay marcos disponibles para hacer posible la autenticación y las actualizaciones seguras con un costo menor.

Problema 3: Protección de privacidad insuficiente
La protección y el cumplimiento de la privacidad se están convirtiendo rápidamente en la norma para las jurisdicciones de todo el mundo. Europa tiene GDPR. California tiene CCPA. Estas regulaciones han cambiado la forma en que operan las empresas de tecnología orientadas al consumidor de manera basic.

Los analistas de mantenimiento de datos deben informar las infracciones a los supervisores y se debe informar a las personas afectadas. Es fácil ver cómo funciona esto en una plataforma de redes sociales, pero ¿cómo funcionaría en un hospital? A diferencia de otros dispositivos, las brechas de seguridad asociadas con los dispositivos médicos de IoT pueden tener consecuencias inmediatas de vida o muerte.

En los EE.UU, HIPAA y DE ALTA TECNOLOGÍA normal la forma en que se utilizan los datos sanitarios. Pero estas reglas solo se aplican a dispositivos y empresas que trabajan con entidades sanitarias oficiales, y no a dispositivos de consumo.

Las empresas y organizaciones industriales se encuentran con problemas similares al desarrollar sistemas de IoT. Los dispositivos de una pink contienen datos confidenciales sobre los empleados. Estos datos deben protegerse. No hacerlo aumenta el riesgo de robo de identidad y fraude financiero.

Cómo resolver problemas de privacidad de datos
Cuando se trata de datos de identificación private, el resultado last es protegerlos de acuerdo con las regulaciones estándar de la industria. Esto es incluso si los reguladores no requieren que su empresa cumpla con la HIPAA.

Resolver este problema requiere un cambio cultural en la actitud hacia el valor inherente de la privacidad del usuario. No a todo el mundo le gusta compartir datos de seguimiento con los gigantes de las redes sociales. Tampoco todos los empleados quieren que se compartan sus puntuaciones de productividad.

Las organizaciones que cuentan con una sólida política de ciberseguridad estarán mejor posicionadas para responder a las preocupaciones de seguridad individual. Hay pocas organizaciones que mantienen estrictos estándares de privacidad de datos. Incluso menos dan un valor inherente a la privacidad del usuario independientemente de su ROI. Aquellos que lo hagan podrían convertirse en los creadores de tendencias del panorama de seguridad de IoT del mañana.

Empiece a pensar más allá de las amenazas actuales
Vivimos en una era en la que los teléfonos móviles, las lavadoras, los termostatos domésticos e incluso los paneles solares pueden integrarse en un servicio de botnet. Se pueden utilizar para realizar ataques DDoS devastadores en cualquier organización del mundo.

A medida que los dispositivos médicos de IoT se hacen realidad, el alcance y el peligro del hardware no seguro conectado a World-wide-web solo se profundiza. Hay muchos dispositivos que requieren expertos en seguridad ahora. Los dispositivos del futuro, como el IoT médico, también requieren que empiecen a pensar en las amenazas del mañana ahora.

Grigorii Markov es ingeniero de software package y fundador de Cerber Tech Inc. Estudió ingeniería de application y se graduó con una maestría en ciencias de la computación en 1998. Desde entonces, ha estado trabajando en los campos de desarrollo de computer software, seguridad de redes y administración de TI. .. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic