Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo la IoT cambia su modelo de amenazas: 4 consideraciones clave

[13/05/2020] Los sistemas de IoT en los entornos empresariales y operacionales han aumentado la superficie de ataque e introducido nuevos riesgos para la confidencialidad, la integridad y la disponibilidad de datos y sistemas críticos en muchas empresas.

Los líderes en materia de seguridad deben actualizar el perfil de amenazas de su organización para tener en cuenta esos riesgos y aplicar un plan oficial para gestionarlos de manera proactiva. De lo contrario, corren el riesgo de convertirse en blancos fáciles para los adversarios que buscan explotar los entornos vulnerables de IoT para espiar, robar datos, lanzar ataques distribuidos de denegación de servicio (DDoS), escalar privilegios e interrumpir las operaciones de otras maneras, según los analistas.

"Los dispositivos de IoT presentan un riesgo único porque las organizaciones suelen tener cientos de estos dispositivos en sus redes de TI y OT [tecnología operativa], cada uno de los cuales expande la superficie de ataque y aumenta el riesgo organizacional", señala Kyle Miller, ingeniero jefe y asociado principal de Booz Allen Hamilton.

En los últimos años, los dispositivos conectados a Internet han proliferado dentro de la TI tradicional y en los entornos operativos. Las organizaciones que buscan rehacerse como empresas conectadas han desplegado sensores y dispositivos de IoT en las plantas, en los equipos, en el campo y en otros lugares, lo que ha dado lugar a un enorme diluvio de datos.

Dentro de las empresas, todo, desde la gestión de las instalaciones y los sistemas de vigilancia de la seguridad, hasta las impresoras y los sistemas de iluminación, se están conectando a Internet. Los analistas esperan que en los próximos años las empresas desplieguen miles de millones de dispositivos de IoT para apoyar un sinnúmero de casos de uso. Eso obligará a las organizaciones a reconsiderar los siguientes factores al desarrollar sus modelos de amenaza.

¿Qué controles de proliferación de IoT existen?

Gran parte del uso de IoT dentro de las organizaciones se ha producido de manera incremental y no estratégica, con poca supervisión de TI o de seguridad, señala Robert Boyce, líder norteamericano de la ciberdefensa con la práctica de ciberseguridad global de Accenture. "Muchas organizaciones están desplegando dispositivos de IoT sin pasar por un proceso de gobierno formal", anota. Como resultado, pocas tienen una imagen clara del panorama de sus activos de IoT y los riesgos asociados. Los despliegues de IoT más pequeños a veces se pasan por alto por completo desde la perspectiva de las amenazas.

Por ejemplo, muchos de los dispositivos utilizados en entornos empresariales, como las cámaras IP, los asistentes digitales y otros dispositivos inteligentes, se conectan directamente a Internet."Muchos de estos dispositivos llaman a casa para actualizaciones", indica Boyce. "Y muchas veces, China es el hogar".

Del mismo modo, cuando los empleados y ejecutivos interactúan en grupo o individualmente con tecnologías como los asistentes virtuales activados por voz, la confidencialidad y la privacidad de los datos pueden convertirse en importantes preocupaciones, anota Dan Cornell, CTO del Denim Group.

Las conversaciones que ocurren en salas de conferencias o en una oficina ejecutiva pueden involucrar información privilegiada y protegida que se envía a la nube del fabricante del dispositivo, señala Cornell. Consideraciones como si los datos confidenciales se almacenan localmente o en la nube, dónde viajan los datos y qué tan rastreables son, se vuelven vitales para entender y mitigar la amenaza, añade.

El envío seguro de datos a través de sistemas de IoT es otro desafío, porque un alto porcentaje del tráfico no está encriptado. Las organizaciones también pueden subestimar el riesgo en torno a la identificación y autenticación de los dispositivos, el aprovisionamiento y el mantenimiento sin un modelo formal de amenaza, indica Cornell.

Las consecuencias de esos problemas son mucho mayores en un entorno tecnológico e industrial operativo que en una red de IoT. Los ataques a las vulnerabilidades de la IoT, o las fallas de seguridad resultantes de las debilidades de estos entornos, pueden provocar daños físicos y consecuencias relacionadas con la seguridad.

Cada vez más, las organizaciones están conectando dispositivos inteligentes a sistemas de control industrial (SCI) antiguos y nuevos, y a otras tecnologías operacionales. Los sistemas y redes de OT críticos que antes estaban a salvo en el mundo exterior, están ahora abiertos al acceso a Internet y, por lo tanto, son más vulnerables a los ataques. Donde los sistemas de OT rara vez se extendieron más allá del entorno operacional, ahora son accesibles para los usuarios de negocios, proveedores, vendedores y otros.

A este riesgo se suman los fabricantes de terceros que ponen nuevas funciones de acceso en los sistemas de control industrial críticos, y luego los bloquean para que otros no puedan actualizarlos. Esto ha dejado a muchas organizaciones en una situación en la que un tercero tiene una conexión directa y permanente con el entorno operacional, comenta Boyce de Accenture.

¿Cuánta visibilidad tiene en su red de IoT?

La visibilidad es clave para comprender y modelar las amenazas en el entorno de IoT, señala Cornell. Para mitigar el riesgo de Iot, necesita conocer sus activos e identificar las amenazas asociadas a cada uno de ellos de manera sistemática y planificada. Implica identificar todas las diferentes maneras en que un activo de IoT en particular puede convertirse en un pasivo para la seguridad, y luego aplicar medidas para mitigar la probabilidad de que eso ocurra, indica. Estas medidas pueden incluir la eliminación o desactivación de características de riesgo, el despliegue de controles de operaciones o la aplicación de la tecnología de manera diferente.

Cuando se construye un modelo de amenaza, no hay que mirar a los dispositivos de IoT de forma aislada, especialmente en entornos industriales y de OT, señala Mark Nicholson, ciberdirector de Deloitte Risk & Financial Advisory.Al evaluar las amenazas relacionadas con la IoT, las organizaciones deben considerar el ecosistema más amplio dentro del cual estos dispositivos podrían existir. Eso significa mirar cómo los dispositivos se conectan entre sí, con otros dispositivos y servidores y anfitriones, indica. "Si solo mira la seguridad de los dispositivos y no aprecia cómo interactúan con el resto del entorno y los datos, podría estar perdiendo parte del panorama", añade.

Obtener la visibilidad necesaria para hacer el modelado de amenazas puede ser difícil. La gran variedad de dispositivos de IoT, la falta de una arquitectura estándar y la inconsistente disponibilidad de características de seguridad en los dispositivos del mismo tipo pueden hacer que el modelado de amenazas sea un desafío. "Los dispositivos y sistemas de IoT vienen en una variedad de sabores y no todos están diseñados o construidos con el mismo grado de robustez de seguridad cibernética", indica Miller de Booz Allen Hamilton. Muchos dispositivos de IoT funcionan con sistemas operativos y marcos de software simplificados, en tiempo real o heredados, que no soportan el mismo nivel de protección de seguridad que los sistemas de TI tradicionales. Por estas razones, la visibilidad de los sistemas de IoT en un entorno empresarial se vuelve más difícil de lograr, dice.

"El primer paso que la mayoría de las organizaciones deberían dar es obtener una instantánea exacta de los dispositivos de IoT que ya están desplegados en sus redes", señala Miller. "Este es frecuentemente uno de los mayores puntos ciegos de nuestros clientes en lo que respecta al inventario de activos".

Hay disponibles múltiples herramientas activas y pasivas de descubrimiento de redes e inalámbricas que las organizaciones pueden utilizar para ayudar en el descubrimiento de activos de IoT, dice Miller. Una vez que una organización comprende sus activos de IoT, puede comenzar a implementar controles de seguridad como la segregación de la red y la supervisión de amenazas para ayudar a protegerlos.

¿Cómo se examina la seguridad de los dispositivos durante la adquisición?

Para futuros despliegues, el mejor lugar para empezar es con la adquisición, señala Cornell del Grupo Denim. Las empresas que adquieren dispositivos de IoT están en una buena posición para asegurarse de que el proveedor implemente las características de seguridad necesarias en sus dispositivos. El proceso de adquisición es un buen momento para hacer modelos y evaluaciones de amenazas para identificar los posibles riesgos y vulnerabilidades en los despliegues de IoT planificados, señala. "Tiene un palo mucho más grande para influir en el comportamiento del proveedor antes de completar el proceso de adquisición", que después.

Si los dispositivos de IoT que planea utilizar se centran en el consumidor, es poco probable que el vendedor tenga un canal de ventas para vender o apoyar los requisitos de seguridad de la empresa. Por lo tanto, las organizaciones deben tener cuidado con el lugar de origen de sus dispositivos, indica Cornell.

Para comprender plenamente los riesgos y crear salvaguardias contra ellos en el contrato, la adquisición de IoT debe realizarse en colaboración con la organización de seguridad. Obtener una lista completa de materiales y derechos de auditoría en torno a todos los componentes del entorno de IoT, indica Nicholson de Deloitte. Las organizaciones necesitan entender de dónde provienen los componentes y la procedencia de cualquier software de IoT que pretendan utilizar.

Si un tercero va a gestionar sus dispositivos de IoT -especialmente en las redes industriales y de OT- entonces el contrato debe hablar de las responsabilidades del vendedor o del contratista por cualquier incidente de seguridad, añade Boyce. "También recomendaría una revisión de seguridad del propio dispositivo físico", para asegurar que cumple con los requisitos de seguridad, añade.

¿Qué tan bien se comunican la TI y la OT sobre la seguridad de la IoT?

El paso más crítico para mitigar los riesgos de IoT es involucrar a la organización de seguridad de TI, dicen los analistas de seguridad. A menudo, las organizaciones que están aumentando su huella en IoT, especialmente en el ámbito industrial, apenas reconocen las posibles implicaciones de seguridad.

Algunas organizaciones han comenzado a construir capacidades de seguridad en sus entornos de ICS, pero en muchos casos, la OT y la TI apenas se comunican entre sí, señala Boyce. A pesar de las enormes implicaciones de seguridad, hay muy poca coordinación entre los dos grupos. Los grupos de OT suelen desconfiar de los equipos de seguridad de TI que introducen controles en el entorno sin comprender plenamente su posible impacto.

"Ya no se pueden operar estos grupos por separado", anota Boyce. "Tiene que haber una constante educación cruzada".