[04/11/2022] Freeman Health System tiene más de ocho mil dispositivos médicos conectados en sus 30 instalaciones en Missouri, Oklahoma y Kansas. Muchos de estos dispositivos tienen el potencial de volverse mortales en cualquier momento. "Ese es el escenario apocalíptico al que todos le temen”, señala Skip Rollins, CIO y CISO de la cadena de hospitales.
A Rollins le encantaría poder escanear los dispositivos en busca de vulnerabilidades, e instalarles software de seguridad para asegurarse de que no estén siendo hackeados. Pero no puede.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Los proveedores son muy poco cooperativos”, señala. "Todos tienen sistemas operativos y herramientas patentadas. No podemos escanear estos dispositivos. No podemos instalarles software de seguridad. No podemos ver nada de lo que hacen. Y los proveedores los entregan intencionalmente de esa manera”.
Los proveedores afirman que sus sistemas no pueden ser hackeados, indica. "Y nosotros les decimos: 'Pongamos eso en el contrato'. Pero no lo harán”.
Probablemente esto se deba a que los dispositivos podrían estar plagados de vulnerabilidades. Según un informe publicado a principios de este año por la empresa de ciberseguridad de atención médica Cynerio, el 53% de los dispositivos médicos tienen al menos una vulnerabilidad crítica. Por ejemplo, los dispositivos suelen venir con contraseñas y configuraciones predeterminadas que los atacantes pueden encontrar fácilmente en línea, o ejecutan versiones anteriores y no compatibles de Windows.
Y los atacantes no están durmiendo. Según la investigación de Ponemon, los ataques a dispositivos médicos o IoT representaron el 21% de todas las vulneraciones en atención médica, el mismo porcentaje que los ataques de phishing.
Al igual que otros proveedores de atención médica, Freeman Health Systems está tratando de que los proveedores de dispositivos tomen la seguridad más en serio, pero hasta ahora no ha tenido éxito. "Nuestros proveedores no trabajarán con nosotros para resolver el problema”, asegura Rollins. "Es su modelo de negocio patentado”.
Como resultado, hay dispositivos ubicados en áreas de acceso público, algunos con puertos USB accesibles, conectados a redes y sin forma de abordar directamente los problemas de seguridad.
Con presupuestos ajustados, los hospitales no pueden amenazar a los proveedores para que se deshagan de sus dispositivos antiguos y los reemplacen por otros nuevos, aunque existan alternativas más nuevas y seguras. Entonces, en su lugar, Freeman Health utiliza estrategias de mitigación basadas en la red y otras soluciones para ayudar a reducir el riesgo.
"Monitoreamos el tráfico que entra y sale”, explica Rollins, utilizando una herramienta de monitoreo de tráfico de Ordr. Los firewalls pueden bloquear las comunicaciones con ubicaciones sospechosas y la segmentación de la red limita el movimiento lateral a otros sistemas hospitalarios.
"Pero eso no significa que el dispositivo no pueda verse comprometido mientras atiende al paciente”, afirma.
Para complicar aún más las cosas, bloquear la comunicación de estos dispositivos con, por ejemplo, otros países, puede impedir que se instalen actualizaciones críticas.
"No es nada inusual que los dispositivos se comuniquen con China, Corea del Sur o incluso Rusia porque los componentes se fabrican en todas esas zonas del mundo”, afirma.
Rollins dice que no tiene constancia de los intentos de dañar físicamente a las personas hackeando sus dispositivos médicos en la vida real. "Al menos hoy en día, la mayoría de los hackers buscan dinero y no lastimar a las personas”, señala. Pero un ataque de estado-nación similar al ataque cibernético de SolarWinds, dirigido a los dispositivos médicos, tiene el potencial de causar daños incalculables.
"La mayoría de los dispositivos médicos están conectados a un dispositivo central, en una especie de red hub-and-spoke”, anota. "Si comprometieran esas redes, pondrían en peligro las herramientas que utilizamos para atender a nuestros pacientes. Esa es una amenaza real".
Lucha por la visibilidad de IoT
El primer desafío de la seguridad de IoT es identificar qué dispositivos están presentes en el entorno empresarial. Pero muchas veces los dispositivos son instalados por unidades empresariales o empleados individuales, y están bajo el control de operaciones, edificios y mantenimiento, y otros departamentos.
Muchas empresas no tienen una sola entidad responsable de proteger los dispositivos IoT. Designar a alguien es el primer paso para tener el problema bajo control, sostiene Doug Clifton, quien lidera los esfuerzos de OT y TI para las Américas en Ernst & Young.
El segundo paso es realmente encontrar los dispositivos.
Según el analista de Forrester, Paddy Harrington, varios proveedores ofrecen escaneos de red para ayudar a las empresas a hacerlo. Los equipos de Checkpoint, Palo Alto y otros pueden ejecutar escaneos pasivos de forma continua y, cuando se detectan nuevos dispositivos, aplicarles políticas de seguridad automáticamente. "No resolverá todo”, explica, "pero es un paso en la dirección correcta”.
Aun así, hay dispositivos que no encajan del todo en las categorías conocidas y son difíciles de dirigir. "Hay una regla de 80-20”, comenta Clifton. "El 80% de los dispositivos se pueden recopilar mediante tecnología. Para el otro 20%, es necesario que haya algún trabajo de investigación”.
Las empresas que aún no tienen una herramienta de escaneo de IoT deben comenzar hablando con los proveedores de seguridad con los que ya están trabajando, indica Harrington. "Vea si tienen una oferta. Puede que no sea la mejor, pero ayudará a cerrar la brecha, y no tendrá que tener una tonelada de infraestructura nueva”.
Las empresas suelen utilizar hojas de cálculo para realizar un seguimiento de los dispositivos de IoT, señala May Wang, CTO de Palo Alto para la seguridad de IoT. Cada área del negocio puede tener su propia lista. "Cuando vamos a un hospital, recibimos una hoja de cálculo del departamento de TI, del departamento de instalaciones y del departamento de dispositivos biomédicos, y las tres hojas de cálculo son diferentes y muestran distintos dispositivos”, explica.
Y cuando Palo Alto ejecuta un análisis de los entornos, estas listas generalmente se quedan cortas -a veces en más de un orden de magnitud. Wang comenta que muchos son dispositivos más antiguos, instalados antes de que los dispositivos IoT fueran reconocidos como amenazas de seguridad. "La seguridad de red tradicional no ve estos dispositivos”, asegura ella. "Y los enfoques tradicionales para proteger estos dispositivos no funcionan”.
Pero las empresas no pueden aplicar políticas de gestión de vulnerabilidades o seguridad de punto final a los dispositivos hasta que estén todos identificados. Palo Alto ahora incluye detección de dispositivos IoT basada en aprendizaje automático integrada en su firewall de última generación.
"Podemos decirle qué tipo de dispositivos tiene, qué tipo de hardware, software, sistemas operativos, qué protocolos está usando”, indica Wang. Los sistemas de Palo Alto no pueden detectar ni obtener información completa de todos los dispositivos. "Puede que la información de algunos no sea tan detallada, pero podemos conseguir casi toda para la mayoría de los dispositivos. Eso proporciona visibilidad para el descubrimiento de dispositivos”.
Dependiendo de cómo se implemente la tecnología, Palo Alto también puede detectar dispositivos en función de sus comunicaciones internas y laterales, y sugerir o implementar automáticamente políticas de seguridad para los dispositivos recién descubiertos.
Cuando los dispositivos IoT usan comunicaciones celulares, esto crea un problema mayor. "Muchos dispositivos IoT son 5G, y esto hará que el problema sea aún más grande”, asegura. "Tenemos una división que trabaja en la seguridad 5G. Definitivamente presenta más desafíos”.
Mirada dentro del IoT
Una vez que los dispositivos IoT son descubiertos e inventariados de manera confiable, deben ser gestionados y protegidos con el mismo rigor que otros dispositivos de red. Eso requiere gestión de configuración, escaneo de vulnerabilidades, monitoreo de tráfico y otras capacidades.
Incluso un dispositivo que no está conectado a una red externa puede convertirse en un punto intermedio o un escondite para un atacante decidido que se desplaza lateralmente por la empresa.
Marcos Marrero, CISO de H.I.G. Capital, se enfrentó precisamente a este dilema hace un año.
H.I.G. es una empresa de inversión global con más de 50 mil millones de dólares de capital social gestionado y 26 oficinas en cuatro continentes. La empresa tiene cientos de dispositivos en sus redes, como cámaras, dispositivos de seguridad física y sensores que monitorean la temperatura, la humedad y la energía dentro de sus salas de cómputo. La seguridad de los dispositivos IoT "es un gran problema”, señala Marrero. "Y está en constante evolución y haciéndose más grande".
Como empresa financiera, H.I.G. es extremadamente consciente de la seguridad; el equipo de seguridad supervisa cada dispositivo que está instalado en sus redes. "Hasta ahora, no nos hemos encontrado con ningún IoT deshonesto en nuestro entorno”, anota Marrero.
Pero ser capaz de localizar dispositivos es solo el comienzo del viaje. "Luego está la visibilidad de las vulnerabilidades y configuraciones”, señala.
Hace aproximadamente un año, Marrero realizó un análisis de vulnerabilidades en uno de los dispositivos de alerta de la sala y encontró puertos abiertos que no requerían autenticación. La empresa se puso en contacto con el fabricante y pudo obtener instrucciones sobre cómo fortalecer el dispositivo. "Pero tuvimos que pedirlo, no fue información que nos dieron de inmediato”, indica.
Y el análisis de vulnerabilidades que realizó la empresa solo examinó el dispositivo desde afuera; encontró puertos abiertos y el tipo de sistema operativo, pero no mucho más. "Hay toda una serie de vulnerabilidades en el software de código abierto utilizado en estos dispositivos”, señala.
Para abordar el problema, H.I.G. recurrió a una herramienta de escaneo de firmware de Netrise.
"Hicimos una prueba de concepto y cargamos una de las imágenes del firmware, y nos devolvió un montón de datos de vulnerabilidad y otra información”, cuenta. "Eso es lo que nos convenció”.
Cargar las imágenes fue un proceso manual que tomó un par de minutos por imagen. Como había muchos dispositivos duplicados del mismo tipo, la empresa tuvo que cargar menos de 20 imágenes en total. Como resultado de los escaneos, el inventario de vulnerabilidades de la empresa aumentó en un 28%.
"No teníamos idea de que existían en nuestro entorno”, afirma. "Sí, nuestra tendencia de vulnerabilidad tuvo un pico, pero saber que se tenían esas vulnerabilidades en primer lugar es como ganar la mitad de la batalla”.
Una vez descubiertas las vulnerabilidades, H.I.G. se puso en contacto con los proveedores de dispositivos y tomó otras medidas de mitigación. Una de esas medidas "podría ser retirar el dispositivo si es demasiado peligroso, y supone un riesgo excesivo para nuestro entorno”, señala, "o colocar controles adicionales en torno a este”.
Por ejemplo, algunos dispositivos fueron separados de la red, con listas de control de acceso para limitar qué otros sistemas y usuarios podían acceder a ese dispositivo. "Por ejemplo, una cámara de seguridad solo puede comunicarse con activos tecnológicos que soporten ese dispositivo”, explica. "Eso limita el riesgo de cualquier explotación negativa”.
Luego, cualquier futura actualización de firmware se ejecuta a través de la herramienta Netrise antes de implementarse, en caso de que el fabricante haya introducido nuevas vulnerabilidades.
Otras políticas de gestión de IoT que la empresa tiene en marcha incluyen la revisión de la seguridad durante las decisiones de compra iniciales.
"Antes de adquirir nuevos activos, nos aseguramos de que tengan algún nivel de registro que podamos enviar a nuestro entorno de registro centralizado”, señala, refiriéndose al sistema de gestión de eventos e información de seguridad (SIEM) de la empresa. "Lo que hace nuestro SIEM es tomar todos los diferentes registros que le enviamos y correlacionarlos para reducir el nivel de alertas falsas”.
De vez en cuando, la empresa se encuentra con dispositivos que tienen niveles de registro muy inmaduros, anota. "Y he tenido que decir: 'No vamos a comprar eso'”.
Monitoreo y supervisión
Una vez que todos los dispositivos están identificados, clasificados por riesgo y, en la medida de lo posible, parcheados y actualizados, el siguiente paso es crear un marco de monitoreo en torno a los que tienen el potencial de causar el mayor daño a la empresa.
En algunos casos, las empresas pueden instalar software de protección de puntos finales en los propios dispositivos IoT para protegerlos contra ataques maliciosos, monitorear los ajustes de configuración, asegurarse de que estén completamente parcheados y monitorear actividad inusual. Esto puede no ser posible en el caso de algunos dispositivos más antiguos o patentados, como los equipos médicos.
Cuando los dispositivos se conectan a una red empresarial, esas comunicaciones pueden ser monitoreadas en busca de actividad sospechosa.
Las empresas están tomándose un respiro en este aspecto de la seguridad de IoT. Según Palo Alto, el 98% del tráfico de IoT no está cifrado. Además, los dispositivos IoT suelen hacer lo mismo una y otra vez.
"Tomemos como ejemplo un termostato”, sostiene Wang de Palo Alto. "Se supone que solo debe enviar la temperatura y listo. No debe hablar con otros servidores. Eso es algo bueno: facilita que los modelos de IA construyan una línea base de comportamiento”.
IoT y el futuro de confianza cero
A medida que las empresas se trasladan a arquitecturas de confianza cero, es importante no olvidar los dispositivos conectados.
Los principios de confianza cero y la seguridad por diseño deben usarse para fortalecer los dispositivos y las aplicaciones asociadas. Eso comienza con controles de protección, como la identificación y autenticación de dispositivos, así como actualizaciones de dispositivos confiables con resistencia a la manipulación de la cadena de suministro, comenta Srinivas Kumar, vicepresidente de soluciones de IoT en el proveedor de seguridad DigiCert. Y agrega que las comunicaciones también deben ser seguras.
Una de las organizaciones del sector que trabaja en la seguridad de los dispositivos IoT mediante la creación de estándares de autenticación y cifrado es WI-SUN, fundada hace unos 10 años para centrarse específicamente en los dispositivos utilizados por los servicios públicos, las ciudades inteligentes y la agricultura.
Las medidas de seguridad incorporadas en los estándares WI-SUN incluyen certificados para autenticar dispositivos cuando se conectan a una red, cifrado para garantizar que todos los mensajes sean privados y una verificación de integridad de los mensajes para evitar ataques de intermediarios.
Las crecientes tensiones geopolíticas dan a entender que asegurar estos medidores, y otros dispositivos clave para las operaciones de infraestructura crítica, es cada vez más urgente. "Si hay sensores de verificación de integridad estructural en un puente o vía férrea y alguien atasca todos los sensores, habría que cerrar la ciudad y se produciría un gran caos”, explica Phil Beecher, presidente y CEO de WI-SUN.
Y eso es solo el principio, asegura David Nosibor, líder de soluciones de plataforma y jefe del proyecto SafeCyber en UL Solutions, anteriormente Underwriters Laboratories. "Desde las interrupciones de las cadenas de suministro hasta la pérdida de alimentos, agua o energía, estos impactos pueden extenderse mucho más allá de las organizaciones afectadas”, indica.
Mientras tanto, los atacantes se están volviendo cada vez más sofisticados y hay escasez de expertise en seguridad cibernética en la fuerza laboral. Además, se avecina una ola de regulaciones a medida que los legisladores se dan cuenta de los riesgos.
"Estos retos están interconectados”, asegura Nosibor. "Y muchas organizaciones, por desgracia, tienen problemas para seguirle el ritmo a la complejidad”.
Basado en el artículo de Maria Korolov (Network World) y editado por CIO Perú
Puede ver también: