Los 7 principales riesgos de IoT empresarial que considerar

1. Descubrimiento de dispositivos

No puede proteger lo que no puede ver.

Es uno de los adagios de seguridad más antiguos del mundo, y ciertamente es relevante en un mundo de IoT. Antes de siquiera pensar en proteger su red y dispositivos, es importante saber exactamente lo que va a proteger. Y con el problema de la TI en las sombras siempre presente, el conocimiento de los dispositivos se ha vuelto más difícil, y crítico, que nunca.

El escaneo de puertos, el análisis de protocolos y otras técnicas de detección pueden ayudar a las empresas a determinar qué dispositivos se conectan a la red corporativa. Las herramientas gratuitas, como Nmap, Shodan y Masscan, pueden ayudar. Y muchos proveedores ofrecen servicios que descubren, identifican y administran dispositivos IoT.

Una vez que descubra qué dispositivos se conectan a su red, realice una evaluación de riesgos de IoT para comprender a qué pueden y deben tener acceso, y por qué. Las organizaciones deben enumerar los dispositivos aprobados en un registro de activos empresariales, junto con los procesos de administración de parches asociados e información del ciclo de vida del dispositivo. También debe incluir estos dispositivos en sus pruebas de penetración regulares. Las capacidades para administrar dispositivos perdidos o robados, ya sea borrado remoto o al menos desactivación de su conectividad, serán fundamentales para tratar con dispositivos IoT comprometidos. Agregar otras políticas que ayuden a administrar BYOD en su plan de respuesta a incidentes también podría ser beneficioso.

A veces, los dispositivos vulnerables conectados pueden no ser tan aparentes como una impresora conectada, un refrigerador inteligente o sensores que ha agregado a la maquinaria. ¿Recuerda la violación de datos del punto de venta de Target? Fue causado por alguien que hizo un uso indebido del inicio de sesión de un contratista al sistema HVAC conectado de la empresa.

2. Autentificación y autorización

Los dispositivos de IoT, por definición, tienen un identificador único que puede ayudar con las tareas de autenticación y autorización. Una vez que haya descubierto qué dispositivos IoT están en su red, es hora de decidir a qué pueden acceder y con qué pueden hablar. Pero con cientos o miles de ID únicas para tratar, la tarea puede parecer desalentadora.

Primero, establezca qué es el dispositivo y qué hace, así como a qué debe acceder. Operar con el principio del privilegio mínimo, solo permitir que los dispositivos vean y accedan a lo que es necesario para que completen sus trabajos, es un buen comienzo. Además, asegúrese de actualizar cualquier dispositivo que venga con las contraseñas predeterminadas instaladas de fábrica. Las contraseñas fuertes pueden ayudar a combatir los riesgos de IoT; la autenticación de dos factores, o de tres o cuatro factores, es aún mejor.

En general, las raíces de confianza basadas en hardware se consideran la opción de seguridad de IoT más sólida, ya que están integradas directamente en el hardware y están integradas en el dispositivo. Los certificados digitales emitidos desde una infraestructura de clave pública de confianza (PKI) también se pueden usar, aunque algunos dispositivos no tienen la capacidad de procesarlos, por lo que se pueden usar otros algoritmos criptográficos ligeros; más sobre eso abajo. Las tecnologías más nuevas, como la biométrica y la cadena de bloques, se pueden usar para autenticar los dispositivos IoT. Muchas plataformas de IoT ofrecen características para administrar sus dispositivos y controlar a qué datos, otros dispositivos y redes pueden acceder.

3. Actualizaciones de dispositivos

La actualización y el parchado de dispositivos es un componente crítico de cualquier estrategia de seguridad. Sin embargo, un entorno de IoT presenta una serie de posibles desafíos de parches. Primero, algunos dispositivos son inaccesibles. ¿Qué sucede si los sensores se dispersan en cientos de acres de tierras de cultivo para detectar la temperatura, la humedad y la humedad? O, ¿qué pasa si están en la cima de un puente, controlando su vibración y el clima?

En segundo lugar, no se pueden desconectar todos los dispositivos durante largos períodos de tiempo: Piense en equipos de fabricación críticos que pueden costar millones a una organización industrial si están desconectados durante una hora, o redes inteligentes que tienen millones de personas que dependen de ellas para la calefacción o la electricidad.

Ahora, agregue el hecho de que algunos dispositivos IoT son sensores simples, sin interfaz o pantalla de usuario, o que algunos no pueden aceptar actualizaciones. ¿Qué sucede si un dispositivo acepta la actualización, pero algo en la actualización lo corrompe o causa una falla en el sistema? ¿Podrá revertirse a un buen estado conocido? Otros dispositivos llegan al final de su vida útil y ya no son soportados por sus fabricantes.

Uno de los mayores riesgos de IoT es el uso de software y firmware inseguros u obsoletos. Como parte del proceso de descubrimiento o adopción del dispositivo, asegúrese de ingresar cada dispositivo en su registro de activos. Además, asegúrese de incluir las versiones de software y hardware que ejecutan los dispositivos y realizar un seguimiento de cuándo están disponibles las actualizaciones y de cuándo deben retirarse los dispositivos.

Si puede, considere las actualizaciones de dispositivos antes de implementar su sistema de IoT. Asegúrese de que las actualizaciones por aire estén disponibles y sean seguras. Y decida si un dispositivo debe actualizarse automáticamente o en un horario periódico; cada uno tiene su propio conjunto de beneficios y desventajas.

Elija su plataforma de IoT con prudencia. Muchas contienen funciones para facilitar el proceso de actualización y pueden administrar cualquier dispositivo que necesite revertir o restablecer. Además, vigile el grupo de trabajo de actualizaciones de software de IETF para internet de las cosas: está desarrollando un estándar para las actualizaciones de firmware de IoT.

4. Interrupción, ataques DDoS y botnets IoT

Para comprender completamente la gravedad de un ataque de denegación de servicio  distribuido (DDoS) de IoT, no busque más que los ataques de Mirai de 2016. Si bien los ataques de Mirai apuntaron inicialmente a un servidor host de Minecraft, el malware terminó primero golpeando el sitio web del periodista de seguridad Brian Krebs y el servidor web francés OVH. Un mes más tarde, la botnet golpeó al proveedor de servicios del sistema de nombres de dominio Dyn, lo que resultó en un tiempo de inactividad para varios sitios web de alto perfil, incluidos Amazon, Netflix y Twitter.

Los ataques pudieron haber sido mucho peores. Un ataque DDoS contra un servidor de juegos es una molestia, pero con otros objetivos, Mirai podría ser perjudicial, o incluso mortal, para las empresas, los gobiernos y las personas.

Desafortunadamente, es casi imposible prevenir un ataque DDoS. Sin embargo, una organización puede tomar medidas para evitar que un ataque tenga éxito. Use los sistemas de prevención y detección de intrusos (IDS e IPS) con funciones DDoS o asóciese con un proveedor de servicios de internet que pueda detectar y filtrar paquetes DDoS antes de que lleguen a su red. También debe seguir otras medidas básicas de seguridad, como cambiar las contraseñas predeterminadas.

5. Contraseñas de IoT

La infiltración de los ataques Mirai de otoño de 2016 se remonta a las cámaras conectadas y otros dispositivos de IoT que tenían contraseñas predeterminadas de fábrica o codificadas. Los ciberdelincuentes se infiltraron en los servidores con estos dispositivos y una lista de credenciales conocidas, una lista que, según algunas cuentas, solo tenía 60 combinaciones de nombre de usuario y contraseña.

La responsabilidad aquí es doble. Las empresas y los usuarios finales deben ser diligentes en la actualización de contraseñas y el uso de contraseñas o frases de contraseña seguras, una opción que no tienen si las contraseñas están codificadas. Aquí, los fabricantes deben asumir su parte de la culpa. En pocas palabras, las contraseñas codificadas están pasadas de moda y nunca deben formar parte del proceso de diseño de un dispositivo. Los fabricantes también pueden solucionar el problema de seguridad de las contraseñas predeterminadas si requieren que los usuarios restablezcan las credenciales predeterminadas antes de que el dispositivo funcione.

6. Cifrado

El cifrado se considera la forma más eficaz de proteger los datos. La criptografía es un mecanismo clave para prevenir los riesgos de privacidad y proteger la integridad de los datos de IoT en reposo y en tránsito entre usuarios, empresas y otras personas o dispositivos. También ayuda a garantizar la privacidad de IoT y genera confianza entre las empresas y los usuarios, especialmente cuando entra en juego información personal identificable o datos confidenciales, como con dispositivos médicos integrados y conectados. El cifrado también evita que los ciberdelincuentes manipulen o falsifiquen datos.

Sin embargo, hay un problema. Muchos dispositivos conectados (piense en los pequeños sensores que recopilan datos de temperatura, humedad o humedad) causan los mayores riesgos de IoT, ya que no cuentan con los recursos de potencia, procesamiento o memoria necesarios para ejecutar los algoritmos de cifrado tradicionales, como AES. Estos dispositivos deben usar un algoritmo con alta seguridad, pero bajo cálculo, uno que considere el tamaño, el consumo de energía y las capacidades de procesamiento de los dispositivos con recursos limitados.

Aquí entran los cifrados criptográficos ligeros.

La criptografía de curva elíptica, por ejemplo, proporciona el equivalente de seguridad de RSA, pero con tamaños de clave más pequeños y operaciones que requieren menos procesamiento, por lo que es una opción ideal para dispositivos con poco espacio de almacenamiento, potencia de procesamiento y vida útil de la batería. Otros cifrados ligeros incluyen Clefia, un AES ligero; Enocoro, un cifrado de vapor orientado al hardware; y Speck, un cifrado add-rotate-xor.

Los expertos también recomiendan el uso de protocolos de seguridad confiables, como Transport Layer Security o Datagram Transport Layer Security.

PKI es otra opción de seguridad probada y verdadera. PKI se puede incrustar en dispositivos a nivel de fabricación o empresa. PKI es compatible con la distribución e identificación de claves de cifrado públicas, lo que permite a los usuarios y dispositivos intercambiar datos de IoT de forma segura, y emite identidades únicas y certificados digitales a los dispositivos.

Además de utilizar la criptografía, asegúrese de definir los procesos adecuados de gestión del ciclo de vida de la clave de cifrado.

7. Asegurando la red

Más allá de proteger los dispositivos IoT y los datos que recopilan, es fundamental garantizar que las redes a las que se conectan dichos dispositivos permanezcan seguras. También es importante usar medidas de seguridad tradicionales, incluyendo IPS e IDS, antimalware y firewalls. Muchas mejores prácticas también sugieren segmentar la red de TI de la red de IoT.

Uno de los principales desafíos y riesgos de IoT es que las redes de tecnología operativa que se conectan a las redes de TI en general nunca se consideraron una amenaza. No se conectaron a internet y, aunque a veces estaban sometidos a hackeos, no representaban un riesgo inminente para las redes de TI. Además, estos sistemas heredados, de algunas décadas de antigüedad, a menudo ejecutan sus propios sistemas propietarios, lo que significa que los mecanismos de seguridad comunes pueden pasar por alto sus problemas durante las verificaciones de rutina. Debido a que los dispositivos y las máquinas no pueden ser reemplazados fácil o económicamente, las organizaciones deben actualizarlos, revisarlos y protegerlos.

Mediante la segmentación de redes, las organizaciones pueden colocar diferentes redes o partes de redes en diferentes zonas o subredes, por ejemplo, una para ventas, finanzas, operaciones, etc. Cada zona tiene sus propias políticas de seguridad personalizadas basadas en sus usuarios y dispositivos.

Si bien una queja común con la segmentación de la red es que puede impedir la eficiencia y la conectividad, el uso de una puerta de enlace puede mitigar estos problemas. Actuando como un intermediario entre el dispositivo y la red, una pasarela de seguridad tiene más capacidad de procesamiento, memoria y capacidades de cómputo que los dispositivos IoT que se conectan a ella. Por lo tanto, puede implementar medidas de seguridad más estrictas, como firewalls y antimalware, más cerca de los dispositivos, evitando que los problemas de seguridad pasen por la red.

Más allá de antimalware, firewalls, IDS e IPS, y la segmentación de la red, combata los riesgos de IoT garantizando la seguridad de los puertos, deshabilitando el reenvío de puertos y nunca abriendo puertos cuando no es necesario. También es crítico bloquear las direcciones IP no autorizadas.

El ancho de banda es otro riesgo común de IoT: Más dispositivos conectados que ingresan a la red equivalen a desafíos de continuidad empresarial. Si las aplicaciones críticas no reciben el ancho de banda requerido, la productividad y la eficiencia se verán afectadas. Para garantizar una alta disponibilidad de aplicaciones y servicios, considere agregar ancho de banda e impulsar la administración y monitoreo del tráfico. Esto no solo mitigará los riesgos de continuidad del negocio, sino que también evitará posibles pérdidas. Desde el punto de vista de la planificación de proyectos, las organizaciones deben realizar la planificación de la capacidad y observar la tasa de crecimiento de la red, de modo que se pueda satisfacer la demanda de ancho de banda.