Llegamos a ustedes gracias a:



Reportajes y análisis

7 pasos para mejorar la seguridad de la IoT

[19/07/2019] Una de las mayores preocupaciones con la Internet de las cosas (IoT, por sus siglas en inglés) es asegurarse de que las redes, los datos y los dispositivos estén seguros. Ya se han producido incidentes de seguridad relacionados con la IoT, y las preocupaciones de los administradores de TI, seguridad y redes respecto a eventos similares están justificadas.

"En todos los ambientes, excepto en los más restrictivos, tendrá dispositivos de IoT con usted, afirma Jason Taule, vicepresidente de estándares y CISO de la compañía de seguridad y estándares, HITRUST. "La pregunta entonces no es si lo va a permitir, sino cómo va a permitir que tales dispositivos se conecten e interactúen con sus redes, sistemas y datos.

¿Qué pueden hacer las organizaciones para mejorar la seguridad de la IoT? Hay muchas opciones, incluidas algunas prácticas que pueden no ser tan obvias.

Seguridad de la IoT: Empiece pensando en pequeño

Para incorporar una mayor seguridad en la IoT, las organizaciones deben comenzar con el componente más pequeño en su infraestructura de red: el código, señala Laura DiDio, directora de la firma de consultoría e investigación, ITIC.

"La mayoría de los dispositivos de la IoT son muy pequeños, afirma DiDio. "Por lo tanto, el código fuente tiende a escribirse en la 'lengua común': los lenguajes C o C++ y C# que con frecuencia son víctimas de problemas comunes, como fugas de memoria y vulnerabilidades de desbordamiento de búfer. Estos problemas son el equivalente del resfriado común en la red.

Y como el resfriado común, son molestos y persistentes, afirma DiDio. "En los ambientes de IoT, pueden proliferar y convertirse en un gran problema de seguridad, que a menudo se pasa por alto, agrega. "La mejor defensa aquí es probar, probar y volver a probar. Existen varios tipos de herramientas de prueba muy recomendadas en el mercado, que se han utilizado para dispositivos IoT, afirma DiDio.

Los administradores de seguridad y de TI también pueden usar cookies de stack, señala DiDio. Éstas son cadenas de datos aleatorias que las aplicaciones deben escribir -eso les señala el código- en el stack justo antes del Instruction Pointer Register, hacia donde se desbordan los datos si se produce un desbordamiento de búfer. "En el caso de que se produzca un desbordamiento de búfer, la cookie de stack se sobrescribe, agrega. La aplicación se codificará aún más para verificar que la cadena de cookies del stack continuará coincidiendo con la forma en que se escribió inicialmente el código. Si la cookie de stack no coincide, la aplicación finaliza.

Implementar controles de acceso sensibles al contexto

Controlar el acceso dentro de un ambiente de IoT es uno de los mayores desafíos de seguridad que enfrentan las empresas al conectar activos, productos y dispositivos. Eso incluye controlar el acceso a la red para los propios objetos conectados.

Las organizaciones primero deben identificar los comportamientos y actividades que se consideran aceptables para las cosas conectadas dentro del ambiente de IoT, y luego implementar controles que tengan en cuenta esto, pero al mismo tiempo no obstaculicen los procesos, afirma John Pironti, presidente de la consultora IP Architects y experto en seguridad de la IoT.

"En lugar de usar una VLAN [LAN virtual] o un segmento de red separado que puede ser restrictivo y debilitante para los dispositivos de la IoT, implemente controles de acceso sensibles al contexto en toda la red para permitir acciones y comportamientos apropiados, no solo a nivel de conexión sino también en los niveles de comando y transferencia de datos, afirma Pironti.

Esto asegurará que los dispositivos puedan funcionar según lo planeado y, al mismo tiempo, limitará su capacidad para realizar actividades maliciosas o no autorizadas, señala Pironti. "Este proceso también puede establecer una línea de base de comportamiento esperado, que luego se puede registrar y monitorear para identificar anomalías o actividades que caen fuera de los comportamientos esperados en umbrales aceptables, agrega.

Responsabilizar a los proveedores por su equipo de IoT

Por supuesto, las organizaciones contratan todo tipo de proveedores de servicios y, en algunos casos, estos servicios se prestan a través de equipos que se ubican en las instalaciones del cliente. En la era de la IoT, existe una buena posibilidad de que la maquinaria esté conectada y, por lo tanto, sea vulnerable al hacking y otras intrusiones.

Depende del cliente asegurarse de que exista responsabilidad si algo sale mal.

"Un lugar para comenzar es la contratación, afirma Brian Haugli, socio de la consultora de seguridad, SideChannelSec, y ex ejecutivo de seguridad de la aseguradora Hanover Insurance Group. "¿Están sus proveedores presionando el uso de IoT en su empresa como parte de sus servicios o soluciones? Si es así, debe saberlo y ver que es parte de la contratación/adquisición.

Asegúrese de que esté claro quién es responsable de las actualizaciones y el ciclo de vida del equipo, así como si tendrá acceso a él en caso de un incidente, afirma Haugli. "He visto que las compañías de HVAC [calefacción, ventilación y aire acondicionado, por sus siglas en inglés] e impresoras no ceder el acceso, lo que llevó a un estancamiento en el esfuerzo de respuesta, afirma. "Esos mismos proveedores rechazarán las responsabilidades sobre los parchados rutinarios o los upgrades de los sistemas operativos.

En algunos casos, es posible que un contrato no especifique cuándo el cliente podría garantizar un nuevo equipo con un sistema operativo compatible, y el proveedor podría no estar dispuesto a asumir el costo, afirma Haugli. Como resultado, se podría permitir que un dispositivo vulnerable y no compatible permanezca en la red mucho más tiempo del que debería.

"Si no les estamos comunicando nuestros requisitos a nuestros proveedores, si no tomamos medidas para confirmar el cumplimiento y no los responsabilizamos, ¿qué base tenemos para esperar que se aborden estos problemas?, afirma Taule. "De la misma manera que todos los fabricantes de hardware y las compañías de software ahora esperan ser responsables de identificar y resolver rápidamente las debilidades en sus productos, también deberían hacerlo las compañías que nos proporcionan cámaras IP, dispositivos médicos, impresoras, puntos de acceso inalámbricos, refrigeradores, controles ambientales y el número incalculable de otros dispositivos IoT en los que confiamos cada vez más.

Las compañías deben aplicar los controles descritos en los marcos de seguridad comunes para los dispositivos de IoT, afirma Taule. Por ejemplo, incluya requisitos funcionales de seguridad en sus contratos; solicite exploraciones de vulnerabilidad recientes o haga valer el derecho de escanearlas usted mismo; obligar a los proveedores a proporcionar actualizaciones oportunas para abordar las debilidades identificadas; y vuelva a escanear los dispositivos después de cualquier actualización de firmware para asegurar que los problemas identificados se hayan resuelto y que no se hayan introducido nuevos problemas.

Defensa contra la falsificación de la identidad IoT

Los hackers y sus técnicas se han vuelto más competentes a lo largo de los años, y esto puede representar una gran amenaza para la seguridad de la IoT.

"Ellos continuamente mejoran sus estrategias de imitación y falsificación, señala DiDio. "El aumento exponencial en el número de dispositivos IoT implica que la superficie de ataque o el vector de ataque ha aumentado exponencialmente.

Eso hace imperativo que las empresas y sus áreas de seguridad y TI verifiquen la identidad de los dispositivos IoT con los que se están comunicando, y se aseguren de que son legítimos para las comunicaciones críticas, las actualizaciones de software y las descargas.

Todos los dispositivos IoT deben tener una identidad única, agrega DiDio. En ausencia de una identidad única, una organización corre un alto riesgo de ser víctima de falsificaciones -o afectada por hackers- desde el nivel del microcontrolador y los dispositivos de extremo en el borde de la red, hasta las aplicaciones y la capa de transporte, afirma.

Establezca conexiones 'unidireccionales' para los dispositivos IoT

Las compañías deben limitar la capacidad de los dispositivos de IoT para iniciar conexiones de red y, en su lugar, solo conectarse a ellos mediante firewalls de red y listas de control de acceso, señala Pironti.

"Al establecer un principio de confianza unidireccional, los dispositivos IoT nunca podrán iniciar conexiones a sistemas internos, lo que puede limitar la capacidad de un atacante para aprovecharlos como puntos de salto para explorar y atacar segmentos de la red, afirma Pironti.

Si bien esto no evitará que los adversarios ataquen los sistemas que han establecido conexiones con ellos directamente, limitará su capacidad de moverse lateralmente dentro de las redes, agrega Pironti.

Las empresas también pueden forzar que las conexiones a dispositivos IoT pasen a través de hosts de salto y/o proxies de red, comenta Pironti. "Al enviar la conexión a la red en un punto de embudo, una organización puede inspeccionar el tráfico de la red antes de proceder desde y hacia los dispositivos IoT, e interrogar [al tráfico] de manera más efectiva, señala. Eso le permite determinar si el tráfico y las cargas útiles que transporta son adecuados para que el dispositivo IoT esté recibiendo o transmitiendo.

Considere el uso de una red segregada

Muchos tipos de dispositivos de control, como los termostatos y los controles de iluminación, se conectan de forma inalámbrica. Sin embargo, la mayoría de las redes inalámbricas empresariales requieren WPA2-Enterprise/802.1x, afirma James McGibney, director sénior de ciberseguridad y cumplimiento de Rosendin Electric, contratista eléctrico.

"La mayoría de esos dispositivos no son compatibles con WPA2-Enterprise, señala McGibney. "Desarrollar un dispositivo más seguro sería ideal. Sin embargo, si el ambiente lo admite, puede colocar esos dispositivos en su propia red inalámbrica, segregándolos de la red de producción y únicamente permitiendo el acceso a Internet.

Eso requiere de la creación de un identificador de conjunto de servicios (SSID, por sus siglas en inglés) y una LAN virtual independientes, así como contar con la capacidad de dirigir ese tráfico, vía router, a través de un firewall, afirma McGibney. La red inalámbrica segregada se configuraría y administraría desde una ubicación centralizada, agrega.

"Hemos hecho esto para algunos dispositivos, como las máquinas expendedoras que requieren acceso a Internet, sobre las cuales no tenemos control, comenta McGibney. "Los colocamos en nuestra red invitada, que está segregada de producción. Se ejecuta en el mismo hardware, pero está en una VLAN separada, señala.

Incorpore seguridad en la cadena de abastecimiento

Los esfuerzos de IoT suelen llegar a través de múltiples socios en una cadena de abastecimiento, que incluye a los proveedores de tecnología, proveedores y clientes. La seguridad debe tener esto en cuenta.

"Si aún no lo ha hecho, acuda a sus contratos, finanzas o cualquier otro grupo de su organización que gestione la cadena de abastecimiento, señala Taule. "Inicie una conversación y una relación con ellos de tal manera que no se conceda aprobación para ninguna compra de IoT a menos que se haya provisto la concurrencia del equipo de seguridad.

Estas áreas cumplirán con entusiasmo si la seguridad se ofrece a asumir la carga del trabajo para el análisis, agrega Taule.

Taule comenta que la mejor manera de mejorar el proceso de selección de proveedores para la cadena de abastecimiento depende de la organización, pero recomienda que se considere a los fabricantes que permiten la validación independiente; abogar por un switch de escritura-protección en el lado del dispositivo, de modo que el firmware no pueda actualizarse sin su conocimiento; y solo gestionar productos auténticos en lugar de falsificaciones.