Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Protéjase contra el hackeo de dispositivos IoT

Los casos de hackeo de dispositivos de IoT son noticia regularmente. Las superficies de ataque, la actualización, las evaluaciones de riesgo e incluso la participación de hackers de confianza son la clave para evitar el riesgo.

La seguridad era una consideración de baja prioridad en los primeros días de las implementaciones de IoT, particularmente con los gadgets orientados al consumidor, y las cosas no han cambiado mucho: la seguridad a menudo viene en segundo lugar después de la velocidad hacia el mercado. Pero, a medida que surgen cada vez más casos de hackeo de dispositivos de IoT y legislación de seguridad de IoT, los fabricantes de dispositivos y las empresas aceptan que ahora es el momento de replantearse la seguridad de IoT.

"Uno de los mayores desafíos es que la seguridad sigue siendo una idea de último momento en muchos dispositivos y no se considera en el proceso de diseño", dijo Lisa Green, directora de relaciones con las personas en Independent Security Evaluators. "Para asegurar adecuadamente los dispositivos de IoT, los fabricantes deben comenzar a pensar y entender las motivaciones de los adversarios maliciosos".

Ahora, sin embargo, debido a un aumento en ataques bien publicitados, las empresas están comenzando a abordar los desafíos de hackeo de dispositivos IoT desde un enfoque de ciclo de vida de desarrollo de software que se basa en los principios de DevOps y DevSecOps. Esto incluye incrustar profesionales de seguridad en equipos de desarrollo, realizar pruebas de seguridad más exhaustivas y permitir que las actualizaciones de seguridad cifradas se envíen a dispositivos comprometidos en cualquier momento.

Considere las superficies de ataque de los dispositivos IoT

No es realista suponer que cualquier dispositivo IoT sea totalmente seguro. A pesar de los mejores esfuerzos de una organización para identificar y remediar fallas de seguridad, los hackers continuarán golpeándolas por diversión y ganancias. Los dispositivos de IoT están conectados por naturaleza, lo que los convierte en objetivos para lanzar varios tipos de daños en internet. Los riesgos aumentan cuando los dispositivos IoT se usan para proteger automóviles, abrir cerraduras de puertas o utilizar equipos industriales.

Alex Kubicek

"La potencia y los recursos de cómputo son el mayor desafío para la seguridad en IoT", dijo Alex Kubicek, CEO de Understory Inc., un servicio distribuido de pronóstico del tiempo. El cifrado, los firewalls y otras protecciones requieren ciclos de cálculo y, muchas veces, los sistemas integrados ya están en su límite de recursos. Además, en muchos casos, las empresas no tienen acceso físico al hardware. Esto puede hacer que sea más difícil determinar un problema, especialmente en torno al robo de un dispositivo. Kubicek dijo que esto es más un problema en la IoT industrial que en las implementaciones de IoT del consumidor.

Las principales organizaciones de desarrollo de software se están dando cuenta de que pueden reducir el tiempo del ciclo de desarrollo y mitigar las posibilidades de hackeo de dispositivos IoT mediante la incorporación de expertos en seguridad a los equipos de desarrollo de software. En lugar de esperar hasta el final para probar la seguridad, estos expertos pueden evaluar los diferentes tipos de posibles superficies de ataque a través de las cuales los hackers podrían comprometer un dispositivo IoT. Esto podría incluir compromisos físicos, como inhabilitar un dispositivo de seguridad o reemplazar un chip; compromisos de red local, es decir, abrir una puerta de automóvil imitando al propietario; o ataques de drenaje de energía, como inundación de dispositivos que funcionan con baterías con mensajes falsos y solicitudes.

Planifique las actualizaciones

Uno de los ataques de IoT de mayor perfil fue Mirai, que vio a los adversarios hackear dispositivos IoT como cámaras de seguridad para formar una de las botnets más grandes hasta la fecha. Aprovechó la naturaleza siempre conectada de los dispositivos de IoT para lanzar una campaña de interrupción. El FBI dijo que este robot fue formado inicialmente por dos hackers con un pequeño servicio de juegos de Minecraft para desactivar a la competencia. Pero tuvo tanto éxito que continuaron, lanzando campañas de fraude por clic como servicio e interrumpiendo el tráfico en algunos de los sitios web más resistentes del mundo, como Netflix, Twitter y Reddit.

Una de las lecciones más importantes que los fabricantes de dispositivos de IoT pueden tomar de este ataque es que es crítico suponer que incluso con una seguridad bien planificada, las puertas traseras aún pueden atraer a los atacantes. En el caso de Mirai, muchos dispositivos IoT nunca fueron parchados. Se lanzó una modificación vigilante del código Mirai llamada BrickerBot, para inhabilitar permanentemente los dispositivos IoT comprometidos. Como resultado, los fabricantes de dispositivos IoT nunca tuvieron la oportunidad de actualizar sus dispositivos y guardar su imagen de marca.

Enviar parches de seguridad a los dispositivos en el campo no es tan simple como parchar un servidor web en AWS usando una identidad bien definida y una infraestructura de administración de acceso. Los fabricantes de dispositivos de IoT deben asegurarse que los parches se puedan enviar a través de actualizaciones cifradas que reducen el riesgo de que los hackers puedan enviar sus propios parches falsos.

Además, los fabricantes de dispositivos deben garantizar que haya formas de comunicarse y actualizar dispositivos de forma remota y fácil. Hay una gran cantidad de herramientas DevOps que pueden funcionar con IoT, como SaltStack, dijo Kubicek, agregando que estas herramientas "facilitan la aplicación rápida de parches críticos en dispositivos de IoT remotos, y aseguran que cada dispositivo se actualice".

Lisa Green

Los fabricantes de IoT deben tener una forma funcional de actualizar todos los dispositivos implementados, y las actualizaciones de seguridad deben ser rápidas para minimizar el tiempo que los clientes son vulnerables. Los procesos de seguridad deben integrarse en la fase de diseño hasta el lanzamiento del dispositivo, y el soporte brindado después del lanzamiento. "Se puede incorporar un equipo de seguridad durante todas estas fases para probar constantemente la seguridad del dispositivo después de que se lanzan nuevas actualizaciones o cuando se descubre un nuevo vector de amenaza", dijo Green.

Confíe en los hackers

Una vez que un dispositivo IoT está listo, es probable que sea una buena idea permitir que un equipo confiable de hackeo de dispositivos IoT lo tome como prueba. Estos expertos podrán detectar agujeros de seguridad que el equipo de desarrollo interno y las herramientas de prueba de seguridad automatizadas podrían haber pasado por alto.

También es una buena idea dejar que estos hackers jueguen con el funcionamiento interno de los dispositivos reales y su software usando enfoques de prueba de penetración de caja blanca. Esto les facilitará detectar fallas que pueden ser más difíciles de identificar mediante el uso de pruebas de caja negra, en las cuales los hackers solo tienen acceso al producto final ya que los consumidores o los hackers pueden verlo.

Sin embargo, estos métodos requieren un nivel de confianza, dijo Green, agregando que, "tener un investigador de seguridad revisando cada parte manualmente es de importancia crítica, para no perder la evaluación de cada posible punto de ataque".

Incluye una evaluación de riesgos

Para las empresas industriales, los dispositivos de IoT suelen ser equipos de campo reforzados con sensores que ofrecen acceso físico limitado. Por el contrario, estos dispositivos han tenido algún nivel de acceso a los datos durante décadas en forma de un control de supervisión y adquisición de datos, o un sistema de control distribuido que a menudo utiliza protocolos industriales no encriptados.

Jeff Jensen

"La IoT industrial ahora garantiza que estos valores de sensor pueden alimentarse en modelos analíticos, ya sea localmente en dispositivos informáticos de borde o en un modelo de computación en la nube, devolviendo información de negocios en streaming, a menudo a frecuencias más altas", dijo Jeff Jensen, CTO de Arundo Analytics Inc., un servicio de análisis industrial. Por lo tanto, la pieza de seguridad central en estas instancias implica una mayor cantidad de datos no encriptados que salen del sitio local y, por lo tanto, requiere el uso de redes privadas virtuales, protocolos de comunicaciones seguros o encriptación a nivel de aplicación utilizando una suma de comprobación.

En algunos casos, los dispositivos recién equipados utilizan redes de malla, Bluetooth u otros métodos de comunicación inalámbrica para mover datos del dispositivo a un gateway. Algunos de estos protocolos no son intrínsecamente seguros, por lo que deben implementar el cifrado de nivel de aplicación y ser administrados adecuadamente por un administrador. "Una pregunta clave para muchas personas en esta situación es la evaluación del riesgo real de hackeo de dispositivos IoT, y si es catastrófico o de riesgo relativamente bajo", dijo Jensen.

 

Este artículo se actualizó por última vez en julio 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close