¿Qué es la superficie de ataque de IoT?

En su nivel básico, una superficie de ataque es el número total de puntos de entrada para el acceso no autorizado al sistema. Una superficie de ataque de IoT va más allá de los puntos de entrada e incluye todas las posibles vulnerabilidades de seguridad para dispositivos IoT, software conectado y conexiones de red.

La creciente preocupación en torno a la seguridad de los dispositivos IoT incluye el hecho de que los actores de amenazas no solo pueden dañar la red y el software que admite los dispositivos IoT, sino también los propios dispositivos. Además, la adopción de dispositivos IoT avanza a un ritmo más rápido que los procesos y protocolos que brindan conexiones seguras y confiables.

Hay pasos que las organizaciones pueden tomar para proteger la superficie de ataque de IoT, pero estos requieren el personal y la experiencia técnica para establecer políticas que puedan detectar amenazas de manera proactiva y aplicar medidas de manera reactiva para reducir el tamaño de la superficie de ataque.

Principales riesgos de seguridad de IoT a abordar

Aquí hay seis vulnerabilidades comunes de IoT y seis amenazas externas que presentan los riesgos más significativos.

1. Una superficie de ataque ampliada y en expansión

Una de las mayores amenazas a la capacidad de una organización para proteger su entorno de IoT es su gran escala. Las estimaciones sobre la cantidad real de dispositivos conectados en el mundo varían de un investigador a otro, pero constantemente se encuentran en miles de millones y siguen creciendo. Por ejemplo, en su “Estado de IoT — Informe de primavera de 2023″, IoT Analytics calculó el número de terminales de IoT activos en 2022 en 14.3 18 millones, un aumento del 16 % con respecto al recuento del año anterior. E IoT Analytics estimó que la cantidad global de dispositivos IoT conectados crecerá un 2023 % en 16.7 para alcanzar los XNUMX XNUMX millones de terminales activos.

Por supuesto, una organización individual tiene muchos menos dispositivos que proteger; aún así, el número se suma rápidamente. Un informe reciente, “Gestión de riesgos y costos en el borde” realizado por Ponemon Institute y patrocinado por Adaptiva, encontró que la organización promedio administra aproximadamente 135,000 dispositivos de punto final. Además, los dispositivos IoT generalmente funcionan las 24 horas del día, los 7 días de la semana con muchos, aunque no todos, conectados continuamente.

2. Hardware inseguro

Un dispositivo de punto final individual en sí mismo puede presentar un riesgo para la seguridad de todo el ecosistema de IoT y, en última instancia, para el entorno de TI de la organización. Los dispositivos a menudo carecen de controles de seguridad incorporados debido a sus limitaciones, a saber, su pequeña capacidad computacional y su diseño de bajo consumo. Como resultado, muchos dispositivos no admiten funciones de seguridad como la autenticación, el cifrado y el control de acceso. E incluso cuando los dispositivos finales tienen algunos controles de seguridad, como contraseñas, algunas organizaciones aún los implementan sin usar o habilitar esas opciones de seguridad disponibles.

3. Retos de mantenimiento y actualización

Los desafíos para mantener adecuadamente los dispositivos de punto final y actualizar el software crean más vulnerabilidades de seguridad. Hay algunos factores que contribuyen aquí. En primer lugar, es posible que los proveedores de dispositivos no proporcionen actualizaciones, como un parche de seguridad para abordar una vulnerabilidad que los piratas informáticos podrían aprovechar, especialmente si el dispositivo de punto final es un modelo más antiguo. En segundo lugar, las limitaciones de conectividad, así como la capacidad de cómputo y la fuente de alimentación limitadas de un dispositivo, podrían hacer que imposible actualizar dispositivos desplegada en el campo.

4. Mala gestión de activos

Incluso cuando las actualizaciones son posibles, es posible que las organizaciones no sepan si tienen dispositivos para actualizar. El informe del Ponemon Institute encontró que la mayoría de las organizaciones no tienen visibilidad de todas sus implementaciones de puntos finales de IoT; de hecho, su encuesta mostró que un promedio del 48% de los dispositivos, o casi 65,000 por organización, están en riesgo porque "ya no los detecta el departamento de TI de la organización o los sistemas operativos de los puntos finales se han vuelto obsoletos". El informe encontró además que el 63% de los encuestados cree que su "falta de visibilidad de sus terminales es la barrera más importante para lograr una postura de seguridad sólida".

5. Sombra IoT

A el riesgo relacionado es shadow IoT — es decir, puntos finales de IoT implementados sin el apoyo o permiso oficial de TI o del departamento de seguridad. Estos dispositivos IoT no autorizados pueden ser artículos personales con una dirección IP, como rastreadores de actividad física o asistentes digitales, pero también pueden ser tecnologías corporativas y empresariales, como impresoras inalámbricas. De cualquier manera, crean riesgos para la empresa porque es posible que no cumplan con los estándares de seguridad de una organización e, incluso si lo hacen, es posible que no se configuren ni implementen de manera que sigan las mejores prácticas de seguridad. Además, los administradores de TI y los equipos de seguridad generalmente desconocen estas implementaciones y, por lo tanto, es posible que no las estén monitoreando ni a ellas ni a su tráfico, lo que brinda a los piratas informáticos una mayor probabilidad de violarlas con éxito sin ser detectados.

6. Transmisiones de datos sin cifrar

Los dispositivos IoT recopilan montones de datos a medida que miden y registran todo, desde lecturas de temperatura hasta la velocidad de los objetos. Envían gran parte de esos datos a ubicaciones centralizadas, generalmente en la nube, para su procesamiento, análisis y almacenamiento; a menudo también reciben información de vuelta que frecuentemente informa a los dispositivos sobre qué acciones tomar. Los estudios han demostrado que gran parte de los datos transmitidos no están encriptados; a Informe 2020 de Palo Alto Networks descubrió que el 98 % de todo el tráfico de dispositivos IoT no estaba encriptado, “exponiendo datos personales y confidenciales en la red y permitiendo a los atacantes la capacidad de escuchar el tráfico de red sin encriptar, recopilar información personal o confidencial y luego explotar esos datos para obtener ganancias en la web oscura. ”

7. Redes de bots IoT

Además de las vulnerabilidades, existen amenazas que provienen del exterior del entorno de IoT. Una de esas amenazas es la botnet. Los líderes de TI y seguridad empresarial han incluido constantemente esto como una de las principales amenazas después de la principal ataques de botnet, como Mirai, que surgió hace casi una década.

En este tipo de ataques, un atacante infecta un dispositivo IoT con malware a través de un puerto desprotegido o una estafa de phishing y lo coopta en un Botnet IoT utilizada para iniciar ciberataques masivos. Los piratas informáticos pueden encontrar fácilmente código malicioso en Internet que detecta máquinas susceptibles u oculta el código para que no sea detectado antes de que otro módulo de código indique a los dispositivos que lancen un ataque o roben información.

Las botnets de IoT se usan con frecuencia para ataques DDoS para abrumar el tráfico de red de un objetivo. Los orquestadores de botnets consideran que los dispositivos IoT son un objetivo atractivo debido a las débiles configuraciones de seguridad y la cantidad de dispositivos que pueden consignarse en una botnet utilizada para atacar a las organizaciones. El 2023 “Informe de inteligencia de amenazas de Nokia” descubrió que la cantidad de bots de IoT involucrados en ataques DDoS impulsados ​​por botnet aumentó de aproximadamente 200,000 a 1 millón de dispositivos durante el año anterior.

8. Amenazas de DNS

Muchas organizaciones usan IoT para recopilar datos de máquinas más antiguas que no cuentan con los estándares de seguridad más recientes. Cuando las organizaciones combinan dispositivos heredados con IoT, pueden exponer la red a vulnerabilidades de dispositivos más antiguos. Las conexiones de dispositivos de IoT a menudo se basan en DNS, un sistema de nombres descentralizado de la década de 1980, que podría no manejar la escala de las implementaciones de IoT que pueden crecer a miles de dispositivos. Los piratas informáticos pueden usar Vulnerabilidades de DNS en ataques DDoS y túneles DNS para obtener datos o introducir malware.

9. Inyección de nodo malicioso

Los piratas informáticos también pueden atacar un ecosistema de IoT al insertar o inyectar nodos falsos en la red de nodos de conexión legítimos, lo que les permite alterar y/o controlar los datos que fluyen entre los nodos falsos y legítimos y, en última instancia, todos los nodos en la web.

10. ransomware IoT

A medida que aumenta la cantidad de dispositivos inseguros conectados a redes corporativas, también lo hace Ataques de ransomware IoT. Los piratas informáticos infectan los dispositivos con malware para convertirlos en botnets que sondean los puntos de acceso o buscan credenciales válidas en el firmware del dispositivo que pueden usar para ingresar a la red.

Con acceso a la red a través de un dispositivo IoT, los atacantes pueden filtrar datos a la nube y amenazar con mantener, eliminar o hacer públicos los datos a menos que paguen un rescate. A veces, el pago no es suficiente para que una organización recupere todos sus datos, y el ransomware elimina automáticamente los archivos de todos modos. El ransomware puede afectar a empresas u organizaciones esenciales, como servicios gubernamentales o proveedores de alimentos.

11. Manipulación de dispositivos físicos

Otro riesgo es que los piratas informáticos manipulen los dispositivos físicos. Eso podría significar que los atacantes acceden físicamente a un dispositivo IoT para robar datos de él, manipular el dispositivo como una forma de instalar malware en él o acceder a sus puertos y circuitos internos como una forma de entrar en la red de la organización.

12. Explosiones de firmware

Los piratas informáticos pueden atacar vulnerabilidades de firmware conocidas en dispositivos IoT del mismo modo que atacan vulnerabilidades en software implementado en el entorno de TI de una organización.

[Contenido incrustado]

Cómo defenderse de los riesgos de seguridad de IoT

Los equipos de TI deben adoptar un enfoque de varias capas para la mitigación de riesgos de seguridad de IoT. Existen mejores prácticas y estrategias más amplias que las organizaciones pueden implementar, pero los administradores también deben tener defensas específicas en su lugar para los diferentes tipos de ataques de IoT.

La seguridad de IoT es una combinación de aplicación de políticas y software para detectar y abordar cualquier amenaza.

Los equipos de TI que supervisan los dispositivos IoT deben tener políticas de contraseña sólidas para cualquier dispositivo en la red y usar software de detección de amenazas para anticipar cualquier ataque potencial.

También deben tener un programa completo de detección y gestión de activos. Cuanta más visibilidad tengan los equipos de TI sobre los puntos finales implementados en su empresa y qué datos hay en sus dispositivos IoT, más fácil será detectar de manera proactiva los riesgos y amenazas de seguridad.

Las estrategias básicas que los administradores de TI pueden usar para prevenir ataques de seguridad y permitir la resiliencia incluyen evaluaciones de vulnerabilidad de dispositivos, desactivación de servicios innecesarios, copias de seguridad de datos periódicas, procedimientos de recuperación de desastres, segmentación de red y herramientas de monitoreo de red.

Los administradores de TI pueden garantizar que las vulnerabilidades de DNS no se conviertan en una amenaza para la seguridad de IoT con DNS Security Extensions (DNSSEC). Estas especificaciones protegen el DNS a través de firmas digitales que garantizan que los datos sean precisos y no se modifiquen. Cuando un dispositivo IoT se conecta a la red para una actualización de software, DNSSEC verifica que la actualización vaya a donde se supone que debe ir sin una redirección maliciosa. Las organizaciones deben actualizar los estándares de protocolo, incluido MQTT, y verificar la compatibilidad de las actualizaciones de protocolo con toda la red. Los administradores de TI pueden usar múltiples servicios de DNS para la continuidad y una capa de seguridad adicional.

Además, las organizaciones deben seguir medidas básicas de ciberseguridad, como autenticación, actualizaciones periódicas y parches, y confirmar que los dispositivos IoT cumplen con los estándares y protocolos de seguridad antes de agregarlos a la red.

Estrategias de protección de datos son otra forma de impulsar la seguridad de IoT. Los equipos de TI pueden ayudar a garantizar la seguridad de los datos al usando herramientas de visibilidad, sistemas de clasificación de datos, medidas de cifrado de datos, medidas de privacidad de datos y sistemas de gestión de registros.

Para las medidas de seguridad física, las organizaciones deben colocar los dispositivos en un estuche a prueba de manipulaciones y eliminar cualquier información del dispositivo que los fabricantes puedan incluir en las piezas, como números de modelo o contraseñas. Los diseñadores de IoT deben enterrar los conductores en la placa de circuito multicapa para evitar el fácil acceso de los piratas informáticos. Si un pirata informático manipula un dispositivo, debe tener una función de desactivación, como un cortocircuito cuando se abre.