En los últimos años, IoT ha ido en aumento y cada año se conectan miles de millones de nuevos dispositivos. El aumento de la conectividad se está produciendo en todos los mercados y sectores empresariales, proporcionando nuevas funcionalidades y oportunidades. A medida que los dispositivos se conectan, también quedan expuestos sin precedentes a la amenaza de ataques cibernéticos. Si bien la industria de la seguridad de IoT todavía está tomando forma, la solución aún no está clara. En este artículo, revisaremos los últimos conocimientos imprescindibles sobre la visibilidad y la seguridad de IoT y nos sumergiremos en nuevos enfoques para asegurar la revolución de IoT.
Visibilidad y seguridad de IoT en:
1. Seguridad de terminales de IoT frente a seguridad de red
Proteger los dispositivos IoT es un verdadero desafío. Los dispositivos IoT están muy diversificados, con una amplia variedad de sistemas operativos (sistemas operativos en tiempo real, basados en Linux o bare-metal), protocolos de comunicación y arquitecturas. A la gran diversidad se suman los problemas de los bajos recursos y la falta de estándares y regulaciones de la industria. La mayoría de las soluciones de seguridad actuales se centran en proteger la red (descubrir anomalías en la red y lograr visibilidad de los dispositivos IoT que están activos en la red), mientras que ahora se está consolidando el entendimiento de que los propios dispositivos deben estar protegidos. El hecho de que los dispositivos IoT puedan ser fácilmente explotados los convierte en un muy buen objetivo para los atacantes, cuyo objetivo es utilizar el dispositivo IoT débil como punto de entrada a toda la red empresarial., sin ser atrapado. Además de eso, es importante recordar que las soluciones de red son irrelevantes para los dispositivos IoT distribuidos (es decir, dispositivos médicos domésticos), que no tienen una red que los proteja.
Por lo tanto, los fabricantes de dispositivos IoT son clave para un entorno IoT seguro y cada vez más organizaciones están dispuestas a pagar más por la seguridad integrada en sus dispositivos inteligentes.
2. “ La criptografía normalmente se pasa por alto, no se penetra ” Ley de Shamir
En los últimos años hemos prestado mucha atención a la integridad de los datos de IoT, lo que básicamente significa cifrado y autenticación. Aunque es muy importante en sí mismo, es importante comprender que el cifrado no significa seguridad total. Cuando se centran principalmente en el cifrado y la autenticación, las empresas olvidan que los dispositivos todavía están expuestos a vulnerabilidades de ciberseguridad que pueden utilizarse para penetrar el dispositivo y recibir acceso a la información descifrada ., evitando así por completo la autenticación y el cifrado. En otras palabras, lo que se conoce desde hace años en la industria cibernética tradicional como la ley de Shamir ahora debería llegar a la industria de la seguridad de IoT: “La criptografía normalmente se evita, no se penetra” y, por lo tanto, las empresas deben invertir en proteger sus dispositivos contra ataques cibernéticos y no solo maneje la integridad de los datos. Para leer más sobre esto, visite la publicación de blog de dos partes de Sternum IoT Security .
3. Vulnerabilidades de IoT de terceros
Uno de los principales problemas de seguridad de IoT es la gran dependencia de los dispositivos de IoT de componentes de terceros para sus capacidades de comunicación, capacidades criptográficas, el sistema operativo en sí, etc. De hecho, esta dependencia es tan fuerte que ha llegado a un punto en el que es poco probable para encontrar un dispositivo IoT sin componentes de terceros en su interior. El hecho de que las bibliotecas de terceros se utilicen comúnmente en todos los dispositivos, combinado con la dificultad de protegerlas, las convierte en un punto ideal para que los piratas informáticos busquen vulnerabilidades de IoT y exploten muchos dispositivos de IoT a través de dichos componentes de terceros .
La vulnerabilidad en componentes de terceros es muy peligrosa. En muchos dispositivos IoT, no existe separación ni segmentación entre procesos y/o tareas, lo que significa que incluso una vulnerabilidad en una biblioteca de terceros está comprometiendo todo el dispositivo. Esto podría conducir a resultados letales: los atacantes pueden aprovechar la vulnerabilidad de terceros para tomar el control del dispositivo y causar daños, robar información o realizar un ataque de ransomware al fabricante.
No es sólo que los componentes de terceros sean peligrosos, sino que también son extremadamente difíciles de proteger. Muchos componentes de terceros se entregan en formato binario y no hay código fuente disponible. Incluso cuando el código fuente está disponible, a menudo es difícil profundizar en él y evaluar el nivel de seguridad o las vulnerabilidades que contiene. De cualquier manera, la mayoría de los desarrolladores utilizan los componentes de código abierto como cajas negras. Además de eso, las herramientas de análisis estático y los indicadores de seguridad del compilador carecen de la capacidad de analizar y proteger componentes de terceros y la mayoría de las soluciones de seguridad de IoT no pueden ofrecer protección en tiempo real en código binario.
Vulnerabilidades de VxWorks
Un ejemplo reciente de vulnerabilidad de terceros que afecta a millones de dispositivos se puede encontrar en los errores de seguridad encontrados en el sistema operativo integrado VxWorks . Estas vulnerabilidades expusieron a todos los fabricantes que utilizaron el sistema operativo VxWorks, incluso si se tomaron medidas de seguridad como pruebas de penetración, análisis estático, PKI y análisis de firmware.
En resumen, para brindar una protección de IoT sólida y holística, debe manipular y asegurar todas las partes del dispositivo, incluidos los componentes de terceros. Las soluciones de seguridad de Sternum IoT se centran en proteger de manera integral los dispositivos de IoT desde dentro y, por lo tanto, ofrecen una capacidad única de incorporar protección de seguridad y visibilidad en el dispositivo de un extremo a otro. La solución de Sternum también funciona durante la ejecución en tiempo real del dispositivo y previene todos los intentos de ataque en el punto exacto de explotación, al tiempo que alerta inmediatamente sobre el ataque y sus orígenes, incluso desde bibliotecas de terceros.
4. La regulación está entrando en vigor
En los últimos dos años, hemos visto un esfuerzo en todas las industrias para crear regulaciones y estándares para la seguridad de IoT. Esperamos que más de estos esfuerzos se conviertan en regulaciones reales que obliguen a los fabricantes a cumplirlas.
Un buen e importante ejemplo es la guía de ciberseguridad previa a la comercialización de la FDA que se publicó el año pasado y se espera que se convierta en una guía formal en. La guía incluye diferentes aspectos de la ciberseguridad en dispositivos médicos (que en muchos casos son esencialmente dispositivos de IoT), como integridad de datos, actualizaciones inalámbricas, protección en tiempo real, integridad de ejecución, responsabilidades de terceros y monitoreo en tiempo real de los dispositivos.
Otro ejemplo es la ley de ciberseguridad de Internet de las Cosas de California que establece: A partir del 1 de enero de, cualquier fabricante de un dispositivo que se conecte “directa o indirectamente” a Internet debe equiparlo con características de seguridad “razonables”, diseñadas para evitar el acceso no autorizado. , modificación o divulgación de información.
Esperamos ver más estados y países creando regulaciones en torno a la seguridad de IoT, ya que la falta de seguridad de estos dispositivos puede tener un efecto dramático en la industria, las ciudades y la vida de las personas. Las dos principales regulaciones que están a punto de publicarse son la nueva Ley de Ciberseguridad de la UE (basada en los estándares ENISA y ETSI) y el marco de Ciberseguridad e IoT del NIST.