Cómo construir un marco de IoT resistente


A pesar de todos sus beneficios, los dispositivos de IoT no se crearon pensando en la seguridad, y eso puede plantear enormes desafíos.

(Imagen: Buffaloboy a través de Adobe Stock)

(Imagen: Buffaloboy a través de Adobe Stock)

El World-wide-web de las cosas (IoT) ha aportado enormes beneficios. Sin embargo, también ha expandido y cambiado los riesgos comerciales y de TI. En los últimos años, han surgido informes sobre cámaras secuestradas, dispositivos médicos pirateadosy sistemas de regulate industrial comprometidos. A medida que 5G se afianza y aparecen dispositivos con capacidades de IoT integradas, es casi seguro que el problema empeore.

Lo que hace que IoT sea tan desafiante es que agrega una capa adicional de seguridad por encima de las protecciones existentes. Debido a que IoT potencialmente afecta todo dentro de una empresa, y también a los socios y las cadenas de suministro, involucra firmware, sistemas operativos, pilas de TCP / IP, diseño de crimson, herramientas de seguridad de datos y mucho más.

Dentro de este amplio ecosistema, «las vulnerabilidades son más fáciles de pasar por alto», dice Merritt Maxim, vicepresidente y directo de investigación de Forrester.

No es una preocupación menor. Identificar todos los dispositivos de IoT dentro de una crimson puede resultar extraordinariamente difícil. Pero eso no es todo.

«Muchos dispositivos de IoT no se diseñaron pensando en la seguridad. Las personas que implementan y configuran sistemas no siempre tienen una gran comprensión de la seguridad, y la introducción de numerosos dispositivos de diferentes fabricantes agrega complejidad», dice Joe Nocera, quien dirige el Instituto de Innovación Cibernética y de Privacidad en PwC.

Fuera de management
Cualquier discusión sobre la seguridad de IoT comienza con un hecho básico: Online de las cosas representa un marco de seguridad fundamentalmente diferente al de la TI convencional. Debido a que muchos dispositivos de IoT carecen de una interfaz de usuario, los ataques suelen tener lugar directamente en un dispositivo, o utilizan un dispositivo para acceder a una crimson empresarial. Maxim también señala que los ataques a menudo involucran una dinámica diferente a la del ransomware y otros ataques.

«La motivación a menudo es causar una escala más amplia de interrupciones», dice.

De hecho, los ataques pueden provocar dispositivos que no se pueden parchear ni reparar, o interrupciones comerciales que pueden tener motivaciones políticas o financieras. Por ejemplo, en febrero, un pirata informático violó una planta de tratamiento de agua en Florida a través de un sistema de control industrial e intentó alterar la calidad del agua. En 2018, los ladrones cibernéticos piratearon un casino de juego en el Reino Unido a través de un Termómetro conectado a Internet en un acuario ubicado en el foyer. Los ladrones robaron la foundation de datos de clientes del casino.

Un problema fundamental es que los fabricantes con frecuencia diseñan su propio firmware, protocolos y estándares de diseño, y no siempre hacen un buen trabajo al parchear y mantener los sistemas. Por ejemplo, muchos de los primeros dispositivos de IoT se basan en versiones más antiguas de sistemas operativos, como Linux y Home windows. Para agravar el dolor de cabeza: la maquinaria y los sistemas de management industrial que nunca fueron diseñados para ser parte de un mundo conectado ahora son parte del IoT.

Buscando protección
Notablemente, 74% de las empresas encuestadas por Ponemon Institute en junio pasado dijo que sus programas de gestión de riesgos de IoT no estaban a la altura de los riesgos planteados por el uso omnipresente de los dispositivos de IoT.

El primer paso para crear una protección sólida, dice Nocera de PwC, es saber qué dispositivos de IoT se están ejecutando en la red y qué datos contienen.

«Muchas empresas no tienen ni concept», dice.

El desafío se ve agravado por el hecho de que algunos fabricantes utilizan nombres o códigos encriptados que no identifican claramente los dispositivos. Nocera recomienda asignar responsabilidad a un grupo y realizar un inventario exhaustivo para identificar los riesgos y los posibles puntos de falla. En algunos casos, una organización puede requerir una solución de descubrimiento y gestión de activos especializada.

Establecer visibilidad y controles sobre todo el panorama de IoT es primordial.

«Una organización debe tener la capacidad de encender y apagar grupos de dispositivos y configurarlos adecuadamente», explica Nocera.

Con las herramientas adecuadas en su lugar, es posible asegurarse de que solo los servicios esenciales estén activos y en ejecución en un dispositivo, pero que los dispositivos antiguos y no autorizados estén apagados. La gestión de la configuración también resuelve otro problema: asegurarse de que los dispositivos no utilicen contraseñas predeterminadas y configuraciones de fábrica.

De hecho, cambiar las contraseñas con regularidad es esencial, dice Ulf Mattsson, estratega jefe de seguridad de la firma de seguridad de datos Protegrity. También sugiere el uso de herramientas específicas de protección de datos como tokens, anonimización de datos, autenticación multifactor (MFA) e incluso autenticación biométrica. También suele ser necesario el cifrado de datos en reposo y en movimiento, firewalls de próxima generación y un sistema de prevención de intrusiones (IPS). Mantener estos sistemas actualizados y parcheados es essential, dice.

La segmentación de la red es otra herramienta valiosa, señala Nocera. Es importante aislar los sistemas clave, como los controles industriales y las aplicaciones empresariales clave, para que los ciberataques no puedan abrirse camino en una red a través de un dispositivo IoT.

Por ejemplo, «si es una empresa de envío y logística, tal vez los dispositivos de IoT utilizados para la gestión de flotas no tengan que comunicarse con los dispositivos de IoT y otros sistemas utilizados en un almacén», dice. «De esa manera, si los dispositivos terminan comprometidos, solo perderá un almacén en lugar de todos sus almacenes».

Jugando seguro
Varias otras estrategias pueden ayudar a construir un marco de IoT más resistente. Estos incluyen bloquear las credenciales de la nube que se pueden usar para reconfigurar dispositivos, garantizar que una pink de IoT no se pueda modificar mediante el uso malintencionado de dispositivos USB, deshabilitar funciones que no se estén utilizando, auditar la infraestructura de IoT de forma frequent y retirar dispositivos innecesarios, asegurando que la protección contra malware esté actualizada y reemplazando los dispositivos más antiguos y menos seguros. También es importante prestar atención a cómo 5G afecta un marco de IoT.

Maxim dice que también es aconsejable buscar dispositivos IoT más nuevos que utilicen tecnologías seguras de silicio y raíz de confianza (RoT). Esto minimize en gran medida las probabilidades de que el dispositivo pueda ser manipulado a nivel del BIOS o del sistema operativo. Otra área más a tener en cuenta es el uso creciente de conectores e interfaces de programación de aplicaciones (API), que amplían y, a veces, enmascaran las fuentes de datos y dispositivos.

Al closing, la mejor defensa es un enfoque holístico que aprovecha una variedad de soluciones, herramientas y estrategias para garantizar que los dispositivos y los datos estén bloqueados. Cualquier sistema o dispositivo de IoT debería pasar por el mismo riguroso proceso de revisión que cualquier aplicación empresarial, y debería estar sujeto a fuertes estándares de seguridad una vez que se implemente, dice Maxim.

«El IoT presenta riesgos nuevos y, a veces, mayores que podrían perturbar el negocio o potencialmente causar la pérdida de vidas», agrega.

Samuel Greengard escribe sobre negocios, tecnología y ciberseguridad para numerosas revistas y sitios website. Es autor de los libros «Online de las cosas» y «Realidad virtual» (MIT Press). Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary