Se espera que las brechas de seguridad de IoT alcancen un máximo histórico en 2017, según las predicciones anuales de ChainLink. Es importante diferenciar entre ataques indirectos, usando dispositivos IoT para realizar ataques cibernéticos contra otro objetivo, y ataques directos, donde el objetivo final es comprometer y acceder al propio dispositivo IoT.

Desafortunadamente, el mercado premia el tiempo de lanzamiento al mercado y los precios más bajos sobre la seguridad para muchas clases de dispositivos IoT, especialmente dispositivos low-end que son comúnmente (y a menudo sin saberlo) secuestrados para crear un ataque cibernético. Se trata de cámaras IP, sistemas de automatización del hogar, gateways domésticos, impresoras conectadas, monitores para bebés, etc. Algunos casos de alto perfil se puede tener en cuenta, pero usualmente este hecho tiene poco impacto en la decisión final de compra del consumidor.

Con los ataques directos, el objetivo es el acceso al dispositivo IoT y, por extensión, los sensores, las máquinas y el entorno a los que está conectado el dispositivo. Como tal, este tipo tiene el potencial de ser aún más perjudicial y destructivo. Los criminales, los terroristas y los gobiernos extranjeros maliciosos pueden usar dispositivos conectados para causar estragos o perjuicios, como piratear un sistema de seguridad para robar o secuestrar a alguien o retener a una ciudad tomando el control de su semáforo o sistema eléctrico. En teoría, esto debería crear más motivación para asegurar estos dispositivos; Sin embargo, con demasiada frecuencia se da una falta de recursos o atención, incluso para objetivos de alto valor, haciendo que los ataques cibernéticos sean todavía muy comunes.

El Imperativo de Seguridad de IoT afirma que los fabricantes e implementadores de dispositivos y sistemas IoT (especialmente blancos potenciales para ataques directos) tienen la obligación moral de abordar la seguridad de manera exhaustiva. Los siguientes principios pueden servir de guías para conseguir una mejor seguridad de IoT.

  1. Utilizar un enfoque multicapa -Un principio central es tener varias capas de seguridad, por lo que si una capa se ve comprometida, el intruso se enfrenta a capas adicionales. En un sistema IoT de extremo a extremo, cada componente debe estar diseñado para asumir que el canal de comunicación y otros componentes hayan sido comprometidos. Además dentro de cada componente, debe haber capas múltiples de seguridad en la medida en que los recursos lo permitan. Un enfoque de múltiples capas también incluye la seguridad física en dispositivos e instalaciones.

  2. Diseñe teniendo en cuenta la seguridad desde el principio -Más que un enfoque de “pernos”, la seguridad debe diseñarse en todos los componentes y procesos desde el principio, utilizando principios seguros según el diseño, como el uso seguro de los valores predeterminados y el fallo seguro. La seguridad debe integrarse en todo el ciclo de vida del producto, incluyendo revisiones de seguridad durante la conceptualización, diseño, desarrollo, pruebas, lanzamiento, mantenimiento y EOL.

  3. Seguridad para dispositivos de recursos heredados y limitados -Muchos entornos no tienen el lujo de poder crea diseños iniciales desde cero. Esto es cierto tanto en el lado del dispositivo (equipo en fábricas existentes, edificios, barcos, aviones, etc.), así como en los sistemas de software empresariales existentes. Además, algunos dispositivos no tienen la capacidad de memoria o de procesamiento para implementar el cifrado, y mucho menos la seguridad de varias capas. Estos dispositivos se pueden aislar mediante gateways seguros y lectores que soporten la segmentación de la red, poner en cuarentena dispositivos o segmentos comprometidos, limpiar y recargar y aislar dispositivos y redes inseguras, utilizando potencialmente una superposición de “LAN virtual privada”.

  4. Implementar seguridad granular y escalable – Los sistemas IoT complejos pueden tener muchos tipos diferentes de usuarios, dispositivos y datos. Esto crea varios escenarios de acceso con implicaciones para la seguridad incorporada de la plataforma IoT. El control de acceso y autenticación altamente flexible y granular ayudará a soportar potencialmente cientos de tipos de usuarios y dispositivos y miles de escenarios de acceso y casos de uso. Tenga en cuenta la fluidez de los sistemas y redes IoT, que constantemente proveen y desprovisionan usuarios, dispositivos y fuentes de datos, a menudo con casos de uso en constante cambio, conexiones de sistema e incluso cambios en la arquitectura subyacente.

  5. Protéjase contra la ingeniería social y la malversación de información privilegiada – No se olvide de la gente, que suele ser el eslabón más débil en una estrategia de seguridad. Esto incluye la investigación adecuada de empleados y contratistas, programas de capacitación en seguridad (incluyendo auditoría y pruebas), y un conjunto más amplio de medidas de prevención y anticoncepción de delitos internos, tales como separación de funciones, rotación de funciones, auditorías regulares, vigilancia, monitoreo , Hotline de informes, etc.

  6. Potenciar pruebas de seguridad sólidas e independientes -Para empezar, facilite a cualquier persona que informe de problemas y establezca mecanismos para asegurarse de que responda a ellos con gran rapidez. También puede pagar para contratar hackers de sombrero blanco para hacer pruebas de penetración, o considerar iniciar un programa de recompensas para incentivar a las personas a reportar vulnerabilidades.

  7. Priorizar las inversiones en seguridad – A menudo la seguridad pierde la batalla por los recursos limitados que podrían ser utilizados para servir a los clientes mejor, hacer crecer la empresa, sacar el producto más pronto y cumplir otros objetivos estratégicos. Hay que hacer un plan de negocio para seguridad, y las inversiones deben ser clasificadas por prioridad ya que no todas serán financiadas. Los objetivos de mayor valor requieren una seguridad más robusta, pero al mismo tiempo, las mayores vulnerabilidades pueden ser las más mundanas.

La seguridad tiende a ser una prioridad dirigida por incidentes, lo que significa que no recibe mucha atención hasta que ocurre un incidente importante. Se necesitan buenas “habilidades de marketing” (es decir, vender internamente) para conseguir que el equipo ejecutivo invierta en seguridad antes que aparezca los problemas.

¡Suscríbete a nuestra newsletter!

Artículos Relacionados

Hacer Comentario

Su dirección de correo electrónico no será publicada.