Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.
Este artículo es parte de nuestra guía: Guía esencial: IoT, el siguiente gran escenario de negocios de la tecnología

La ventana de la seguridad de IoT se está cerrando

La ventana de oportunidad para abordar los riesgos de seguridad en los dispositivos de internet de las cosas se está cerrando rápidamente, según la gerente de seguridad IoT de Intel.

Los actores de la industria necesitan abordar la seguridad de los dispositivos de internet de las cosas (IoT) con urgencia antes de que sea demasiado tarde, según Lorie Wigle, gerente general de seguridad de IoT en Intel.

"El reciente ataque de la red de bots al proveedor de servicios DNS, Dyn, debería ser una llamada de atención", dijo en el evento Focus 2016 de Intel Security en Las Vegas.

Es bueno que el ataque haya ocurrido ahora, dijo Wigle, porque muestra que el estado actual de la seguridad de IoT está lejos de donde debería estar.

La industria tecnológica tiene una ventana de oportunidad para asegurar que IoT se adopta con la máxima seguridad y el mínimo riesgo, pero esa ventana es pequeña y se está cerrando rápidamente, advirtió.

Esta ventana es importante, dijo Wigle, porque el número de dispositivos IoT solo va a crecer, y muchos dispositivos IoT estarán en uso durante décadas.

"Los automóviles [conectados a internet] estarán en el camino por lo menos 10 a 15 años, así que necesitamos incorporar la seguridad en estos dispositivos", dijo.

Igualmente importante, dijo Wigle, es la necesidad de garantizar que la seguridad pueda ser "operacionalizada", en el sentido de que estos dispositivos deben ser capaces de actualizarse y modernizarse cuando sea necesario.

"Esto es importante porque, dentro de cinco años, las amenazas probablemente serán de una clase que ni siquiera podemos imaginar hoy", dijo.

Nombres de usuario predeterminados

Volviendo al ataque de denegación de servicio distribuido (DDoS) en Dyn, Wigle dijo que uno de los aspectos más significativos de ese incidente es que los atacantes pudieron encontrar dispositivos que tenían nombres de usuario y contraseñas predeterminados.

"El fabricante no los había enviado con el requisito de que se cambiara la contraseña, lo cual fue un problema porque muchos usuarios no lo habían hecho", dijo.

Por esta razón, Intel, con su grupo de seguridad, está trabajando en tecnologías para asegurar que los dispositivos pueden ser "embarcados" de una manera que no requiere que el usuario introduzca una contraseña usando credenciales preprogramadas, por ejemplo.

"Mientras tanto, tenemos este tremendo conjunto de dispositivos vulnerables por ahí que los atacantes de Dyn fueron capaces de aprovechar", dijo Wigle.

El otro aspecto significativo del ataque de Dyn, dijo, es que los propietarios de los dispositivos de IoT utilizados para llevar a cabo el ataque no fueron afectados, ni fueron conscientes de ello.

"Puede haber un ligero descenso en el rendimiento, pero las verdaderas víctimas no eran los propietarios de los dispositivos de IoT", dijo Wigle.

Amenaza de ransomware

La siguiente fase de los ataques que aprovechan los dispositivos IoT vulnerables podría incluir armas como ransomware, advirtió. "Si no nos adelantamos a esto, vamos a ver otra ola de ataques que serán mucho más perjudiciales para el consumidor", dijo Wigle.

"En lo que estamos trabajando, que es consistente con otros trabajos de Intel Security, es proteger contra el ciclo de vida de la defensa contra amenazas, viendo lo que necesitamos hacer para detectar, proteger y corregir, y luego adaptarnos”.

"Hay varias maneras en las que estamos haciendo esto, como asegurarnos de que hay una buena base de hardware, aprovechando al máximo lo que se puede incorporar a los procesadores Intel y los SOC, y luego poniendo el software adecuado sobre ello".

Aspectos únicos de IoT

Intel también está buscando aprovechar los aspectos únicos de IoT. En el sector automotriz, por ejemplo, la cadena de suministro es sumamente importante, con hasta un 80% de integración de componentes realizada por proveedores terceros.

"Por esta razón, es muy importante que tengamos muy buenas prácticas de ciclo de vida de desarrollo de seguridad, incluyendo la gestión de la cadena de suministro, que es una gran parte de nuestro enfoque de protección", dijo Wigle.

"También creemos que la identidad del dispositivo es una capacidad fundamental que será realmente importante para IoT, y que desempeña un papel tanto en la protección, como en la detección, y luego, por supuesto, tenemos que corregir".

El otro aspecto único de IoT que debe ser completamente entendido por los fabricantes de sistemas es el hecho de que, en muchos casos, los dispositivos IoT interactúan con el mundo físico, dijo Wigle.

"Esta es una de las cosas que hacen que los dispositivos IoT sean únicos, por lo que necesitamos ser conscientes en el diseño del sistema acerca de lo que sucede si se detecta un compromiso, para que los dispositivos fallen de manera segura", dijo.

Intel cree que la clave para habilitar una IoT segura comienza con una base de hardware segura, que incluye, por ejemplo, arranque seguro, tener un lugar para almacenar secretos, tener identidad de hardware, tener identidad del software –o una forma de certificar que no se haya modificado– y un entorno de ejecución de confianza.

"Luego tenemos muchas capacidades que podemos poner encima de eso", dijo Wigle. "Cosas como nuestra tecnología de lista blanca –el control integrado de McAfee– que es una maravillosa capacidad para los dispositivos IoT, porque la mayoría de ellos tienen un conjunto limitado de funciones que deben realizar, por lo que es mucho más fácil bloquear lo que se puede ejecutar, en lugar de tratar de mantener un conjunto de hashes actualizados para poner en la lista negra lo que no se puede ejecutar”.

Otros elementos clave incluyen el cifrado de los datos, la gestión de políticas para las actividades de seguridad asociadas con los dispositivos, y los mecanismos de aprovisionamiento y revocación.

Wigle enfatizó que ninguna compañía puede solucionar el problema de la seguridad de IoT. "Necesitamos trabajar juntos como una industria", dijo, y destacó tres iniciativas cruciales de la industria:

  1. El Consorcio Industrial de Internet
  2. La Fundación de Conectividad Abierta
  3. La Asociación GSM

En colaboración con el Consorcio Industrial de Internet de alrededor de 250 empresas, Intel Security ha publicado recientemente un documento marco de seguridad, dijo Wigle.

"Esta es una receta de 75 páginas sobre cómo asegurar un sistema industrial de internet, que ha sido muy bien recibido por la industria y la comunidad de analistas", dijo.

El esfuerzo de la Fundación de Conectividad Abierta está más centrado en el consumidor, pero ha unido significativamente dos iniciativas anteriormente en competencia de Qualcomm y Samsung e Intel.

"También incluye la implementación de código abierto, por lo que el grupo hace especificaciones, pero también hace implementaciones de código abierto que facilitan su adopción", dijo Wigle.

El esfuerzo de la Asociación GSM, dijo, se está impulsando más desde Europa, pero está trabajando con Intel Security, que contribuyó a la publicación de la guía para la seguridad de IoT.

"Esta contiene fuertes recomendaciones para fabricantes de dispositivos, fabricantes de redes y proveedores de servicios en la nube, así como una lista de verificación de autocertificación", dijo Wigle.

La lista de verificación tiene como objetivo ayudar a los fabricantes de dispositivos a evaluar su capacidad organizativa para hacer cosas como evaluaciones de riesgo y seguir un ciclo de vida de desarrollo seguro, así como para evaluar dispositivos e implementaciones específicos.

"Este es un esfuerzo realmente prometedor, y estamos entusiasmados por él debido a que muchos gobiernos quieren hacer algo en torno a la seguridad de IoT, y este es un enfoque considerado de la industria que esperamos que los reguladores puedan aprovechar", dijo Wigle.

Este artículo se actualizó por última vez en noviembre 2016

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close