1. Detección y administración de dispositivos

No puedes proteger lo que no puedes ver.

Es uno de los adagios de seguridad más antiguos que existen. Antes de pensar en la seguridad de la red y los dispositivos, es importante saber exactamente qué se debe proteger.

El escaneo de puertos, el análisis de protocolos y otras técnicas de detección pueden determinar qué dispositivos se están conectando a las redes corporativas. Hay disponibles herramientas gratuitas, como Nmap, Shodan y Masscan, así como productos y servicios comerciales que descubren, identifican y administrar dispositivos IoT.

En el momento que todos los DARWINs coticen incluyendo los deslizamientos Dispositivos de IoT son descubiertos, realice una evaluación de riesgos de IoT para comprender a qué pueden (y deben) tener acceso los dispositivos y por qué. Enumere los dispositivos aprobados en un registro de activos empresariales, junto con los procesos de administración de parches asociados de cada dispositivo y la información del ciclo de vida. Asegúrese de incluir también los dispositivos conectados en las pruebas de penetración. Establezca políticas y capacidades para administrar dispositivos perdidos o robados, como el borrado remoto y la desactivación de la conectividad.

Los dispositivos conectados vulnerables no siempre son amenazas obvias y, a menudo, caen en la categoría de TI en la sombra. Asegúrese de considerar impresoras conectadas, refrigeradores inteligentes y sensor añadido a la maquinaria. ¿Recuerdas la violación de datos en el punto de venta de Target? Fue causado por alguien que usó indebidamente el inicio de sesión de un contratista en el sistema HVAC conectado de la empresa. Esté al tanto de cualquier dispositivo IoT en la sombra a través del descubrimiento de dispositivos.

Considere también los dispositivos IoT de consumo, especialmente con muchos empleados que trabajan de forma remota en medio de la pandemia de COVID-19. Los parlantes inteligentes conectados a la misma red que una computadora portátil corporativa pueden crear un desastre de privacidad. Realice capacitaciones de concientización sobre seguridad para advertir a los usuarios sobre los dispositivos IoT y establezca políticas para evitar que se conviertan en un problema.

2. Autenticación, autorización y control de acceso

Los dispositivos IoT, por definición, tienen un identificador único que puede ayudar con la autenticación y la autorización. Después de descubrir qué dispositivos se conectan a la red, decida a qué pueden acceder y hablar. Sin embargo, con cientos o incluso miles de identificaciones únicas con las que lidiar, esta tarea puede parecer desalentadora.

Operar en el principio de menor privilegio para permitir que los dispositivos solo vean y accedan a lo que sea necesario para que hagan su trabajo. Actualice cualquier dispositivo que venga con una contraseña instalada de fábrica. Las contraseñas seguras ayudan a combatir los riesgos de IoT. Siempre que sea posible, se debe utilizar la autenticación de dos factores o multifactor.

En términos generales, las raíces de confianza basadas en hardware se consideran la opción de seguridad de IoT más sólida. Estos se integran directamente en el hardware y se integran en un dispositivo. Certificados digitales emitidos desde una infraestructura de clave pública confiable (PKI) también se pueden usar, aunque algunos dispositivos no tienen la capacidad de procesarlos. En este caso, se pueden usar otros algoritmos criptográficos livianos; más sobre eso a continuación.

Las tecnologías más nuevas, como la biometría y la cadena de bloques, también se pueden utilizar para autenticar dispositivos IoT. Tomar una enfoque de confianza cero también es una opción efectiva para controlar dispositivos y derechos de acceso. Las plataformas comerciales de IoT también ofrecen funciones para administrar dispositivos y controlar a qué datos, otros dispositivos y redes pueden acceder.

3. Contraseñas de IoT

Las contraseñas problemáticas están relacionadas con la autenticación, la autorización y el control de acceso. La infiltración de los ataques Mirai de otoño de 2016 se remonta a cámaras conectadas y otros dispositivos IoT que tenían contraseñas predeterminadas de fábrica o codificadas. Los ciberdelincuentes se infiltraron en los servidores utilizando estos dispositivos y una lista de credenciales conocidas, una lista que, según algunas cuentas, solo tenía 60 combinaciones de nombre de usuario y contraseña.

La responsabilidad aquí es doble. Las empresas y los usuarios finales deben ser diligentes en la actualización de las contraseñas predeterminadas, tener un política de contraseñas y usar contraseñas o frases de contraseña seguras. Pero esta no es una opción si las contraseñas están codificadas. Aquí es donde los fabricantes de dispositivos deben asumir su parte de culpa. Ningún dispositivo debe crearse con una contraseña codificada, nunca.

[Contenido incrustado]

4. Parches y actualizaciones

Actualizar y aplicar parches a los dispositivos es un componente crítico de cualquier estrategia de seguridad. Uno de los mayores desafíos de seguridad de IoT es el uso de software y firmware obsoletos, incluido el sistema operativo, las aplicaciones y la tecnología de comunicaciones.

Los entornos de IoT presentan varios desafíos únicos de parches y actualizaciones. Primero, algunos dispositivos son inaccesibles. Y si los sensores están dispersos a través de cientos de acres de tierras de cultivo para detectar la temperatura, la humedad y la humedad? ¿O qué pasa si están encima de un puente monitoreando su vibración y el clima?

En segundo lugar, no todos los dispositivos se pueden desconectar durante largos períodos de tiempo para realizar actualizaciones. Piense en el equipo de fabricación crítico que podría costarle a una organización industrial millones de dólares si está fuera de línea durante una hora o un minuto. de redes inteligentes del que dependen millones de personas para obtener calor o electricidad.

A continuación, agregue el hecho de que algunos dispositivos IoT no tienen interfaz de usuario ni pantalla, y algunos ni siquiera aceptan actualizaciones. ¿O qué pasa si un dispositivo acepta actualizaciones pero algo en una actualización lo corrompe y causa una falla en el sistema? ¿Cómo se revertirá el dispositivo a un estado bueno conocido?

Los proveedores también pueden crear problemas de parches. Algunos dispositivos pueden llegar al final de su vida útil y el fabricante ya no los admite. De manera similar, algunos proveedores son irresponsables y no publican actualizaciones de seguridad cuando se descubre una vulnerabilidad, lo que deja a sus clientes expuestos a posibles violaciones de seguridad.

Para garantizar las capacidades de aplicación de parches de IoT, ingrese cada dispositivo IoT en un registro de activos como parte del descubrimiento de dispositivos o proceso de adopción. Incluya qué versiones de software y hardware ejecuta cada dispositivo y realice un seguimiento de cuándo hay actualizaciones disponibles e instaladas. Además, realice un seguimiento de cuándo los dispositivos llegan al final de su vida útil y deben retirarse. El uso de dispositivos heredados en entornos en vivo crea muchas vulnerabilidades.

Si es posible, considere aplicar parches y actualizar los procesos antes de las implementaciones de IoT. Estar seguro actualizaciones por aire están disponibles y seguros. Además, decida entre actualizaciones automáticas o un cronograma periódico; cada uno tiene su propio conjunto de ventajas y desventajas.

Elija sabiamente una plataforma IoT. Muchos contienen funciones para facilitar los procesos de aplicación de parches y actualizaciones, como la automatización, y pueden administrar dispositivos que necesitan reversiones o reinicios. Mantenga un ojo en el Actualizaciones de software del Grupo de trabajo de ingeniería de Internet para el grupo de trabajo de Internet de las cosas, que está desarrollando un estándar para las actualizaciones de firmware de IoT.

5. Ataques IoT

Los entornos de IoT están sujetos a muchas de las mismas amenazas como otros entornos cibernéticos, incluidos ataques DDoS, botnets, malware y ransomware.

Para comprender completamente la gravedad de un ataque IoT DDoS, no busque más allá de los ataques Mirai de 2016. Si bien los ataques inicialmente se dirigieron a un servidor de Minecraft, el malware terminó afectando primero al sitio web del periodista de seguridad Brian Krebs y al servidor web francés OVH. Un mes después, la red de bots se usó para apuntar al proveedor de servicios de DNS Dyn, lo que resultó en tiempo de inactividad para varios sitios de alto perfil, incluidos Amazon, Netflix y Twitter.

Desafortunadamente, es casi imposible prevenir un ataque DDoS. Las organizaciones pueden tomar medidas para impedir que uno tenga éxito, sin embargo. Utilice sistemas de prevención/detección de intrusos (IPSes/IDSes) con características DDoS, o asóciese con un ISP que pueda detectar y filtrar paquetes DDoS antes de que lleguen a la red. Seguir otros básicos higiene cibernética prácticas, incluido el uso de firewalls, antimalware, plataformas de seguridad de punto final, detección y respuesta de punto final (EDR) y software de detección y respuesta extendida.

Para evitar botnets, ransomware y otros ataques de IoT, mantenga actualizado el software del dispositivo, cambie las contraseñas predeterminadas y controle el tráfico de la red. Segmente a qué datos y redes pueden acceder los dispositivos IoT y use firewalls para detener las intrusiones. Además, deshabilite las funciones innecesarias en los dispositivos y haga copias de seguridad de los datos de los dispositivos y las redes con regularidad. Una evaluación de riesgos de IoT también puede ayudar a determinar las amenazas potenciales y su impacto.

6. Seguridad física

Los dispositivos IoT deben protegerse no solo de las amenazas de ciberseguridad, sino también de las amenazas de seguridad física. Debido a que el hardware de IoT, incluidos los sensores de IoT, los dispositivos portátiles y los dispositivos de borde, es más fácil de acceder que otras piezas de una red, es sujeto a amenazas físicas más allá de las contraseñas codificadas, como daño físico, manipulación y robo.

Los dispositivos no seguros, si se rompen físicamente, pueden tener sus puertos conectados a un dispositivo que extrae datos. Los mecanismos de almacenamiento también pueden ser eliminados y los datos robados. Este acceso físico puede ser un punto de entrada a la red más grande.

Para evitar riesgos de seguridad física, los dispositivos IoT deben reforzarse. Incorporar seguridad en el dispositivo, garantice un control de acceso adecuado, restablezca las contraseñas predeterminadas, cifre los datos y las conexiones, y elimine o deshabilite los puertos no utilizados. Además, asegúrese de que los dispositivos IoT no se puedan desarmar fácilmente ni quitar ninguno de sus componentes. En algunos escenarios, es necesario colocar los dispositivos en un estuche a prueba de manipulaciones o inutilizar el dispositivo después de la manipulación física.

7. Cifrado y seguridad de datos

El cifrado se considera la forma más eficaz de proteger los datos. La criptografía es un mecanismo clave para prevenir riesgos de privacidad y proteger la integridad de los datos de IoT en reposo y en tránsito entre el usuario, la empresa, el cliente y otras personas o dispositivos. También ayuda a garantizar la privacidad de IoT y genera confianza entre las empresas y los usuarios, especialmente cuando la información de identificación personal y los datos confidenciales entran en juego, como con dispositivos médicos integrados y conectados. El cifrado también evita que los atacantes manipulen o falsifiquen datos.

El problema es que muchos dispositivos conectados (piense en pequeños sensores que recopilan datos de temperatura, humedad o humedad) causan las mayores preocupaciones de seguridad de IoT porque no tienen la potencia, el procesamiento o los recursos de memoria necesarios para ejecutar algoritmos de cifrado tradicionales, como el estándar de cifrado avanzado. (AES). Dichos dispositivos deben usar un algoritmo con alta seguridad pero poca computación, uno que considere el tamaño, el consumo de energía y las capacidades de procesamiento de los dispositivos con recursos limitados.

Aquí es donde entran en juego los cifrados criptográficos ligeros. Criptografía de curva elíptica, por ejemplo, proporciona el equivalente de seguridad de Rivest-Shamir-Adleman pero con claves más pequeñas y operaciones que requieren menos procesamiento, lo que lo convierte en una opción ideal para dispositivos con menor espacio de almacenamiento, potencia de procesamiento y duración de la batería. Otros cifrados ligeros incluyen Clefia, un AES ligero; Enocoro, un cifrado de flujo orientado al hardware; y Speck, un cifrado add-rotate-xor.

Los expertos también recomiendan utilizar protocolos de seguridad confiables, como Transport Layer Security o Datagram TLS.

PKI es otro opción de seguridad probada y verdadera. Puede integrarse en dispositivos a nivel de fabricación o empresarial. PKI admite la distribución e identificación de claves de cifrado públicas, lo que permite a los usuarios y dispositivos intercambiar datos de forma segura. Emite identidades únicas y certificados digitales a los dispositivos.

Además de la criptografía, defina los procesos adecuados de gestión del ciclo de vida de la clave de cifrado.

8. Seguridad de la red

Si bien proteger los dispositivos IoT y los datos que recopilan es importante, es igualmente importante garantizar que las redes a las que se conectan esos dispositivos permanezcan a salvo de accesos y ataques no autorizados. Use IPSes/IDSes, antimalware, firewalls y detección y respuesta de red o EDR.

Otra práctica recomendada de seguridad de IoT es segmentar el entorno IoT del resto de la red. Uno de los principales problemas de seguridad de IoT en la actualidad es que las redes de tecnología operativa (OT) conectadas a las redes de TI generalmente nunca se consideraron una amenaza en el pasado. Las redes de OT no se conectaban a Internet y, aunque a veces estaban sujetas a ataques, no representaban una amenaza inminente para las redes de TI. Los sistemas OT heredados, que tienen algunas décadas, a menudo ejecutan sus propios sistemas patentados, lo que significa que los mecanismos de seguridad comunes pueden pasar por alto sus problemas durante las comprobaciones de rutina. Debido a que los dispositivos y máquinas de OT no se pueden reemplazar de manera fácil o rentable, las organizaciones deben actualizarlos, parchearlos y protegerlos. Con muchos tan antiguos que ya no tienen parches, esto puede convertirse en una tarea cada vez mayor para los equipos de seguridad.

A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos. segmentación de red, las organizaciones pueden poner diferentes redes o partes de redes en diferentes zonas para crear subredes. Por ejemplo, usar una zona para ventas, finanzas, operaciones, etc. Cada zona tiene sus propias políticas de seguridad personalizadas en función de sus usuarios, dispositivos y datos.

Una queja común con la segmentación de la red es que impide la eficiencia y la conectividad. Usando un Puerta de enlace de IoT puede mitigar estos problemas. Al actuar como intermediario entre el dispositivo y la red, una puerta de enlace de seguridad tiene más capacidad de procesamiento, memoria y capacidad informática que los dispositivos IoT que se conectan a ella. Por lo tanto, puede implementar medidas de seguridad más fuertes, como firewalls y antimalware, más cerca de los dispositivos, evitando que las amenazas de seguridad pasen a la red.

[Contenido incrustado]

Además de antimalware, firewalls, IPSes/IDSes y segmentación de red, combata los riesgos de IoT al garantizar la seguridad de los puertos, deshabilitar el reenvío de puertos y nunca abrir puertos cuando no se necesiten. Además, bloquee las direcciones IP no autorizadas.

El ancho de banda es otro desafío común de IoT. A medida que las redes IoT escalan y más dispositivos conectados se conectan a una red, surgen desafíos de continuidad empresarial (BC). Si las aplicaciones críticas no reciben el ancho de banda requerido, la productividad y la eficiencia se ven afectadas. Para garantizar una alta disponibilidad de aplicaciones y servicios, considere agregar ancho de banda y aumentar la administración y el monitoreo del tráfico. Esto no solo mitiga los desafíos de BC, sino que también evita posibles pérdidas. Desde el punto de vista de la planificación del proyecto, realice la planificación de la capacidad y observe la tasa de crecimiento de la red para poder satisfacer la mayor demanda de ancho de banda en el futuro.

Otra consideración con la seguridad de la red es qué Protocolos de comunicaciones IoT usar. No todos los protocolos son iguales, especialmente cuando se trata de funciones de seguridad. Desde Bluetooth y Bluetooth Low Energy hasta celular, MQTT, Wi-Fi, Zigbee, Z-Wave, considere el entorno de IoT y sus necesidades de seguridad antes de usar un protocolo. Las comunicaciones inseguras pueden dar lugar a escuchas ilegales y ataques de hombre en el medio.

9. Falta de estandarización

Un estándar es un conjunto de especificaciones, reglas o procesos generalmente acordados por una industria y una academia. Los estándares globales ayudan a garantizar la coherencia y la compatibilidad entre productos y aplicaciones, una necesidad para que los entornos de IoT funcionen sin problemas.

La industria de IoT se ha visto afectada por la falta de estandarización desde el principio, tanto en términos de seguridad como de otro tipo. Sin embargo, las cosas están cambiando; Los gobiernos y los organismos de normalización han comenzado a publicar leyes y reglamentos para garantizar que la seguridad esté integrada en los dispositivos.

Aprobado en 2018, SB-327 de California, "Privacidad de la información: dispositivos conectados", requiere que los fabricantes equipen los dispositivos con características de seguridad "razonables", incluida una contraseña única preprogramada para cada dispositivo y una configuración que requiere que se cree una nueva contraseña al usarlo por primera vez. Asimismo, en 2018, la Reino Unido publicado “Código de prácticas para la seguridad de IoT del consumidor”, que fue seguido por Especificación técnica del Instituto Europeo de Normas de Telecomunicaciones 103 645, un estándar para regular la seguridad de los dispositivos de consumo, en 2019. Ley de mejora de la ciberseguridad de IoT de 2020 requirió que NIST y la Oficina de Administración y Presupuesto de EE. UU. desarrollaran pautas y estándares en torno a las medidas de seguridad en los dispositivos IoT utilizados por el gobierno federal.

Las empresas deben mantenerse al tanto de cualquier nuevo estándar, ya sea del gobierno, del consumidor o de otro tipo. Estos influirán en los estándares de seguridad y fabricación de dispositivos IoT en el futuro.

10. Brecha de habilidades de IoT

La brecha de habilidades ha afectado a todas las industrias, e IoT no es diferente. Una cosa que distingue a IoT de otras industrias es que es una disciplina tan nueva. también es un convergencia de TI y OT, lo que significa que las personas que dominan OT probablemente no estén bien versadas en TI, y viceversa. Además, IoT no es una sola disciplina. Se requieren muchas habilidades para ser un profesional exitoso de IoT, desde la ciberseguridad y el diseño de UX hasta el aprendizaje automático y el conocimiento de IA para el desarrollo de aplicaciones.

Certificaciones específicas de IoT y han surgido capacitaciones, incluida una cantidad específica de seguridad de IoT, que brindan un conocimiento básico de los entornos conectados.

Cerrar la brecha de habilidades es un desafío en cualquier industria. Invertir en capacitaciones y certificaciones para empleados internos es una opción. La contratación de terceros y consultores para proyectos específicos de IoT es otra opción, aunque podría resultar costosa según la cantidad de proyectos en los que se deba trabajar. Los proyectos también se pueden externalizar por completo.

También es importante educar a los usuarios finales sobre el uso seguro de IoT. Es posible que muchos usuarios no se den cuenta de las amenazas de seguridad que los dispositivos domésticos inteligentes, como televisores inteligentes, parlantes y monitores para bebés, representan para ellos y su lugar de trabajo.