Llegamos a ustedes gracias a:



Reportajes y análisis

6 maneras en que la IoC va a transformar la seguridad empresarial

[23/05/2014] Es poco probable que la mayoría de las organizaciones de seguridad en las empresas tengan un refrigerador spammer encabezando la lista de las cosas por las que tienen que preocuparse. Pero la noticia de inicios de año respecto a que un refrigerador conectado a Internet fue agregado a una botnet que enviaba spam a decenas de miles de usuarios de Internet, seguramente ha llamado la atención de, al menos, unos cuantos.

El incidente mostró cómo inclusive un inofensivo electrodoméstico podría significar un peligro para las empresas, si se conecta a la Internet sin las protecciones de seguridad adecuadas.

En los próximos años, los analistas esperan que decenas de miles de millones de dispositivos se conecten a la Internet de manera similar. El fenómeno llamado Internet de las Cosas (IoT – Internet of Things) promete, o amenaza, dependiendo del punto de vista, con transformar nuestro entendimiento de la Internet y de un mundo conectado. Mucho de lo que quedará reflejado será en los productos orientados al consumidor. Pero como todo en tecnología, lo que sucede en el mundo de los consumidores, afectará inevitablemente a la empresa.

[¿Qué significa la IoC para la seguridad?]

Aquí, en ningún orden en particular, seis formas en que la Internet de las Cosas afectará a la seguridad de la empresa:

1. La IoT creará miles de millones de nuevos terminales (inseguros)
Firmas de analistas tienen diferentes cifras sobre el número de dispositivos o cosas que se conectarán a la Internet para el 2020. Los estimados van desde los 26 mil millones de dispositivos de Gartner, hasta la proyección de IDC de 212 mil millones de dispositivos instalados. Independientemente de quien tenga razón, lo es cierto es que un montón de dispositivos habilitados con IP un día encontrarán un hogar en las empresas. Los ejemplos incluyen sistemas inteligentes de calefacción e iluminación, medidores inteligentes, equipo de monitoreo y sensores de mantenimiento, robots industriales, sistemas de rastreo de activo, estantes inteligentes para retail, sistemas de control de planta y dispositivos personales como relojes, lentes digitales y productos de monitoreo de ejercicios físicos.

Muchos de los productos serán dispositivos de un solo propósito que se originan en el mercado del consumidor. Otros tendrán conectividad a Internet añadida, casi como una idea de último momento, a través de sensores baratos. Una gran mayoría tendrá poca o ninguna protección contra ataques comunes en línea. El sistema operativo, el firmware y el soporte de parches al que las organizaciones de TI han estado acostumbradas, no siempre estará disponible en esos dispositivos.

La IoT crea inherentemente miles de millones de nuevos terminales inseguros, señala Eric Chiu, presidente del proveedor de seguridad en la nube, Hytrust. Estos dispositivos con dirección IP crearán nuevos vectores de ataques diseñados ya sea para comprometer el dispositivo o para obtener acceso a la red empresarial.

[IoC: Inteligencia vs. Seguridad]

Los dispositivos de la IoT típicamente no estarán protegidos con ninguna infraestructura antispam, antivirus y antimalware, ni serán monitoreados rutinariamente por los equipos de TI o recibirán parches para abordar nuevos problemas de seguridad cuando surjan, agrega Chiu. La idea de que las empresas pueden de alguna manera controlar a quién dejan entrar, se está yendo por la ventana, añade Chiu. Las compañías tendrán simplemente que asumir que los chicos malos ya están ahí, y responder en consecuencia. Esto no significa abandonar las defensas de perímetro. Más bien significa adoptar una estrategia que comienza con presumir que los atacantes ya están en la red, anota.

2. La IoT inevitablemente se intersecta con la red empresarial
Así como ya no existen redes de control industrial ni redes de tráfico aéreo realmente independientes, no habrá redes empresariales realmente independientes en el mundo de la IoT, señala Amit Yoran, gerente general en RSA y exdirector dela División de Ciber Seguridad Nacional en el Departamento de Seguridad Nacional de los EE.UU.

Independientemente de las técnicas de segmentación de red y de las brechas aéreas que una empresa pueda utilizar, habrá puntos en los que la IoT se intersectará con la red empresarial. Esos puntos de contacto serán altamente vulnerables para atacar.

La IoT se conectará fuertemente a todo, incluyendo las redes empresariales, añade Yora. Hoy tenemos la red empresarial y la nube. Sabemos que tenemos usuarios empresariales que ingresan vía BYOD directamente a los recursos basados en la nube, sin siquiera atravesar las redes empresariales, agrega.

[Gartner: IoC impactará directamente en las cadenas de suministro]

La IoT exacerbará el problema al punto en que será increíblemente enredado intentar controlar los diversos dispositivos internos y externos que tienen acceso a los datos empresariales almacenados en forma local o en la nube.

La IoT y la red empresarial se intersectarán. Si puedes hackear un dispositivo habilitado para la web, el cual resulta que también tiene conectividad a la red o infraestructura corporativa, puedes crear un puente para pasar tráfico de ida y vuelta desde la empresa, señala Yoran.

Hay formas en las que podemos intentar mitigar el riesgo, anota. Pero al final, todo estará interconectado. No tiene que mirar muy lejos en los anales de la historia de la computación para saber que va a ocurrir. Nosotros, como sociedad, estamos quedando a la cabeza de esto.

3. La IoT será un mundo de dispositivos heterogéneos embebidos
La mayoría de las cosas en el mundo de la IoT serán dispositivos o appliances con aplicaciones embebidas en el sistema operativo, y envueltas firmemente alrededor del hardware, señala John Pescatore, director de investigación del SANS Institute.

En ese sentido, el universo de la IoT será muy diferente del modelo de software por capas al que están acostumbrados Ti y los grupos de seguridad de TI.

Por un lado, los dispositivos en sí mismos serán altamente heterogéneos y TI tendrá momentos difíciles haciendo que todos usen la misma tecnología, añade Pescatore.

Muchos de los protocolos de comunicaciones en el mundo de la IoT serán diferentes también. En lugar del TCP/IP, 802.11 y el HTML5, las organizaciones de TI tendrán que lidiar con nuevos protocolos como Zigbee, WebHooks e IoT6. Y en lugar de los típicos ciclos de vida de dos a tres años en TI, tendrán que acostumbrarse a ciclos de vida que van desde unos cuantos meses a más de 20 años, en el caso de algunos dispositivos, añade.

En una encuesta desarrollada por SANS, gerentes de TI dijeron que sus mayores preocupaciones con los dispositivos conectados a la Internet tienen que ver con edificios inteligentes, sistemas de control industrial, dispositivos médicos y dispositivos de consumo.

[¿La Internet de las Cosas o la Interne de las cosas malogradas?]

El uso de computación embebida en esos dispositivos, versus los sistemas operativos por capas y las aplicaciones en PC y servidores a los que TI está acostumbrado a manejar y a asegurar, ocasionará una ruptura importante en la gestión de TI actual y en la visibilidad de seguridad de TI, añade Pescatore.

4. La IoT permitirá daños físicos y psicológicos
Aunque las amenazas en línea afectan principalmente a los datos, en el mundo de la IoT también habrá riesgos físicos y psicológicos, señala Michael Sutton, vicepresidente de investigación de seguridad en Zscaler.

Los hackers ya han mostrado cómo las pompas de insulina habilitadas con IP, los monitores de glucosa y los marcapasos pueden ser alterados para causar daño físico al usuario de tales dispositivos. Los ataques como aquellos desplegados por Stuxnet muestran cómo el equipo físico puede ser dañado a través de ciberataques.

Con la IoT, tales ataques también serán posibles contra productos como carros, sistemas inteligentes de calefacción, ventilación y aire acondicionado, fotocopiadoras, impresoras y escáneres habilitados para la web, y virtualmente todo dispositivo con una dirección IP. La única razón por la que los atacantes no han ido tras esos dispositivos de manera importante, es porque hay otras frutas más a la mano para atacar, agrega Sutton.

En muchos casos, los chicos malos ni siquiera necesitarán fallas de software o hardware para comprometer un dispositivo. Uno de los mayores peligros que las empresas enfrentan en un mundo donde todo tiene una dirección IP son los errores de configuración, anota Sutton. Muchos de los dispositivos que las compañías permiten en sus redes, como impresoras habilitadas con IP, fotocopiadoras y webcams, serán puestos en línea con los ajustes de fábrica que permiten, casi a cualquiera con acceso web, tomar control.

5. La IoT creará una nueva cadena de abastecimiento
En la mayoría de casos, las empresas tendrán que confiar en los fabricantes de dispositivos para los parches, firmware y soporte de sistema operativo, o encontrar una forma de dar soporte a las tecnologías por su cuenta. Muchos de los dispositivos que se conectarán a la red empresarial en un futuro no muy lejano, serán de compañías con las que las organizaciones de TI no están familiarizadas.

Al igual que con el BYOD, las empresas tradicionales necesitarán adaptarse para desarrollar políticas y sistemas con los que se integren y manejen potencialmente muchos más dispositivos con los que TI haya trabajado antes, señala Jason Hart, CEO de Indentiv, un proveedor de autenticación de dispositivos y de tecnologías de gestión de identidad.

[Foro Level 3: La Internet de las Cosas]

Además de los empleados que traen nuevos dispositivos habilitados a los espacios de trabajo físicos y virtuales, los dispositivos tradicionales no conectados, desde una cafetera hasta una silla ergonómica, traerá nuevas cargas de trabajo en soporte de TI y seguridad de la información, aanota Hart.

Los proveedores que tendrán éxito en un ambiente de la IoT, son aquellos que pueden ayudar a las empresas a gestionar las interdependencias complejas que habrá entre los nuevos dispositivos con IP y la red empresarial, añade Crhis Yapp, un miembro de la Sociedad Británica de Computación y consultor independiente de seguridad.

Las empresas que tienen experiencia gestionando integraciones complejas de tecnología serán las que con mayor probabilidad tendrán éxito en un ambiente de la IoT, agrega. Más a menudo que no, los proveedores tradicionales de TI y seguridad están bastante detrás de la curva en comprensión de cómo la tendencia de la IoT afectará a la TI corporativa, anota.

El reto para los proveedores actuales es que tienden a tener un enfoque más angosto y tomará tiempo construir las sociedades y las habilidades in-house o las adquisiciones para competir con los integradores de sistemas, predijo Yapp.

6. La IoT exacerbará el volumen, el sigilo y la persistencia de los ataques en línea
En teoría al menos, las amenazas que plantea un mundo completamente interconectado no son muy diferentes de las amenazas que enfrenta la mayoría de organizaciones de TI hoy en día. Muchas empresas ya están muy familiarizadas con los retos planteados por los smartphones, las tabletas y otros dispositivos inalámbricos. Lo que es diferente con la IoT es la magnitud y el alcance del reto.

La IoT incluye todo dispositivo que está conectado a la Internet, señala Kevin Epstein, vicepresidente de seguridad avanzada en Proofpoint, un proveedor de seguridad como servicio, establecido en Sunnyvale, California.

Esto incluye todo, desde productos de automatización de hogares, incluyendo termostatos inteligentes, cámaras de seguridad, refrigeradoras, microondas, dispositivos de entretenimiento casero como televisores y consolas de juego, hasta maquinaria de control industrial y estantes inteligentes para retail que saben cuándo deben ser repuestos.

Hacer frente a la magnitud del problema podría ser un desafío enorme para las organizaciones de TI.

Los retos están alrededor del volumen, el sigilo y la persistencia de los ataques, señala Epstein. Incluso con las campañas actuales, los atacantes son capaces de penetrar relativamente fácil las defensas de la empresa, agrega Epstein. Ahora imagine el volumen de los ataques incrementados por [diez veces]… y que nadie pueda apagar el envío de los dispositivos.
Jaikumar Vijayan, Computerworld (EE.UU.)