IoT Ciberseguridad en los medios de comunicación: Por qué no todo son malas noticias

(raíz) (raíz)
28 de febrero de 2024

Si usted desempeña algún papel en la gran ecosfera que es la IoT de hoy, entonces ha visto los artículos. Los routers celulares industriales corren peligroanuncia The Hacker News. Las vulnerabilidades podrían exponer a miles de organizaciones industriales a ataques remotosgrita SecurityWeek. Y más recientemente, SC Media denunció que ciertas vulnerabilidades de los routers suponen un riesgo de pirateo para las infraestructuras críticas. IoT las preocupaciones por la ciberseguridad bastan para quitar el sueño a los gestores de redes, e incluso podrían frenar el meteórico crecimiento de la Internet de los objetos.

No culpes a los medios de comunicación. Sólo hacen su trabajo. Y esa concienciación está ayudando a romper una mentalidad arriesgada y arraigada de que las brechas de ciberseguridad IoT son aisladas o poco comunes. Hoy en día, ninguna organización que despliegue dispositivos conectados puede estar tranquila con la idea de que "a nosotros no nos va a pasar". Debemos reconocer que puede ocurrirle a cualquier organización, en cualquier parte del mundo, incluso a las instituciones financieras, que presumiblemente cuentan con lo último en protocolos de ciberseguridad y marcos de cumplimiento.

En IoT y la ciberseguridad, hay pasos críticos que cada operación puede y debe poner en marcha no sólo para establecer una base de buena higiene de seguridad, sino también para garantizar que todos los dispositivos conectados bajo jurisdicción corporativa puedan actualizarse a medida que salen a la luz nuevas vulnerabilidades críticas.

Conceptos clave en IoT Ciberseguridad

IoT concepto de ciberseguridad

Empecemos por los principios importantes de la ciberseguridad de IoT . Es posible que se pregunte: ¿Qué es la ciberseguridad en IoT, y cuáles son algunos ejemplos?

Como la mayoría de la gente sabe hoy en día, el IoT, o Internet de las cosas, es un término para describir el vasto universo de los dispositivos conectados. Esto incluye dispositivos domésticos inteligentes y edificios inteligentes, así como dispositivos industriales, transporte inteligente y tecnologías de ciudades inteligentes, entre otros. IoT ciberseguridad implica estrategias y prácticas para garantizar que todos los dispositivos conectados e inalámbricos -incluidos routers, gateways, módulos de comunicación integrados y todos los dispositivos que integran estas tecnologías conectadas- estén diseñados o programados para disuadir los ciberataques. 

Por ejemplo, si un router celular desplegado en una oficina corporativa o en un autobús o tren en movimiento no requiere autenticación para recibir datos externos, entonces un "mal actor" puede aprovecharse de esta falta de seguridad para enviar datos que alteren la funcionalidad de ese dispositivo. 

He aquí algunos conceptos clave de la ciberseguridad en IoT que pueden ayudar a las organizaciones a definir un plan de seguridad para proteger sus datos corporativos:

  • Todos los dispositivos conectados pueden ser pirateados. Esto se debe a que un ciberdelincuente -o incluso un operador interno que comete un error- puede explotar el hecho de que los dispositivos se comunican entre sí. Las contraseñas débiles, las vulnerabilidades del software, la falta de actualizaciones, las tácticas de ingeniería social como el phishing o las estafas en redes sociales, las conexiones de red inseguras, las configuraciones por defecto arriesgadas, el malware y la falta de concienciación de los usuarios en relación con cualquiera de estos problemas pueden llevar a que los dispositivos conectados se vean comprometidos.
  • En ciberseguridad no hay un único responsable; hace falta un pueblo. Todos los eslabones de la cadena, desde los fabricantes hasta los usuarios finales, desempeñan un papel en la seguridad de los dispositivos.
    • Los fabricantes deben incorporar la seguridad desde el principio y proporcionar métodos para mantenerla durante toda la vida útil del producto.
    • Los administradores de red deben establecer y reforzar las prácticas de seguridad mediante la autenticación, el acceso adecuado a cada función y las prácticas de contraseña para todos los usuarios.
    • Los usuarios finales deben cumplir todos los requisitos de ciberseguridad y utilizar contraseñas seguras.
    • Las empresas deben crear un gremio de seguridad o equipo "devsecops" (Developer Security Operations) que impulse embajadores en toda la empresa para difundir la formación de concienciación de los usuarios en torno a la seguridad de la información.
    • Es importante desarrollar una mentalidad de seguridad corporativa para que las prácticas de seguridad estén más cerca de los límites del desarrollo y las operaciones, puesto que ya no se trata de un equipo funcional singular.
  • Las ciberamenazas evolucionan constantemente, por lo que las medidas de seguridad deben ser ágiles. Los piratas informáticos son creativos y hábiles, y constantemente surgen nuevas amenazas, lo que significa que debe disponer de un método para supervisar y gestionar los dispositivos de forma proactiva. Los fabricantes de dispositivos (OEM) y los gestores de redes deben construir y desplegar dispositivos con la capacidad de actualizarse a distancia a medida que se identifican nuevas amenazas.

Recursos del sector para apoyar la ciberseguridad IoT 

Concepto de gestión remota de dispositivos

La buena noticia es que existe una amplia comunidad de expertos en ciberseguridad, así como una gran cantidad de herramientas y capacidades disponibles para ayudar a las organizaciones a poner en práctica las mejores prácticas, vigilar las infracciones y responder con rapidez.

Es importante entender los marcos de vulnerabilidad y el panorama de adversarios como CVE's, CWE'S, MITRE ATT&CK Framework y OWASP TOP 10. 

CVE (Common Vulnerabilities and Exposures), CWE (Common Weakness Enumerations), MITRE ATTA&CK (Adversarial Tactics Techniques and Common Knowledge) Framework, y OWASP (Open Web Application Security Project) Top 10 son todos primos en ciberseguridad, pero sirven a diferentes propósitos.

  • Los CVE son un diccionario dinámico de vulnerabilidades de seguridad de la información y exposiciones de hardware o software a disposición del público gestionado por una organización sin ánimo de lucro, The MITRE Corporation. Se trata de riesgos conocidos que toda organización puede y debe abordar. Los CVE destacan vulnerabilidades conocidas en software y sistemas, exponiendo debilidades potenciales que pueden ser explotadas por actores maliciosos. Tomárselos en serio garantiza la adopción de medidas proactivas para mitigar estas vulnerabilidades, reduciendo el riesgo de ciberataques y violaciones de datos. Además, los CVE facilitan el intercambio de información y la colaboración entre profesionales de la seguridad, permitiendo el desarrollo de parches y actualizaciones eficaces. Ignorar los CVE puede acarrear graves consecuencias, como pérdidas económicas, daños a la reputación y la pérdida de la privacidad y la seguridad de las personas y las organizaciones.
  • CWE es una lista de debilidades comunes del software impulsada por la comunidad. Proporciona una clasificación muy completa de las debilidades de seguridad del software que faculta al desarrollo para identificar y mitigar los riesgos durante el ciclo de vida de desarrollo de software.
  • El marco ATT&CK de MITRE es una matriz de base de conocimientos disponible internacionalmente que proporciona información sobre las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes o grupos de amenazas persistentes avanzadas (APT) durante las intrusiones cibernéticas. Proporciona orientación para comprender y categorizar el comportamiento de los adversarios para permitir a las organizaciones probar y prepararse para rutas de ataque conocidas.
  • OWASP Top 10 es una lista en evolución de los riesgos de seguridad de aplicaciones web más críticos como inyección de código, cross site scripting (xss) y autenticación rota, por nombrar algunos. OWASP Top 10 ofrece información valiosa para aprovechar el desarrollo para mejorar su postura de seguridad de las aplicaciones web como un sistema de gestión remota para IoT.

Estos marcos ayudan colectivamente a las organizaciones a comprender, priorizar y mitigar los riesgos, y están integrados en muchas pilas tecnológicas de seguridad en la actualidad.

 

IoT Prácticas recomendadas de seguridad de dispositivos críticos

Concepto de placa de circuito impreso de ciberseguridad

En el cambiante panorama de la ciberseguridad IoT , puede parecer que no hay esperanza de establecer protecciones de seguridad adecuadas. Al fin y al cabo, los hackers siguen siendo más listos que las empresas más inteligentes del mundo, ¿verdad?

Tenemos más buenas noticias. Existen importantes medidas de ciberseguridad, y estas prácticas trascienden la naturaleza cambiante de las ciberamenazas.

  1. Exigir permisos y credenciales para acceder a todos los dispositivos. Esto se señaló como un problema en uno de los artículos de los medios de comunicación. Esta buena práctica debería aplicarse sistemáticamente a todos los dispositivos. Deben exigirse credenciales para acceder a cualquier dispositivo de la red y, lo que es más importante, no deben proporcionarse por defecto. Como ya se ha dicho, la responsabilidad de la ciberseguridad es de todos.
  2. Adopte un enfoque de seguridad multicapa que evite cualquier punto de fallo único. Las contraseñas y la autenticación son importantes. Pero para abordar otras vías de acceso, las empresas deben desplegar dispositivos con medidas de seguridad integradas, como arranque seguro, puertos protegidos y supervisión de la configuración. Hay mucho más que discutir aquí. Póngase en contacto con nosotros si desea trabajar con un representante de Digi para abordar las necesidades de su organización.
  3. Despliegue dispositivos con la capacidad de actualizarlos proactivamente a lo largo de su ciclo de vida. Este paso fundamental requiere la capacidad de realizar actualizaciones seguras por aire a medida que se identifican nuevos CVE. Tanto si está desplegando dispositivos con módulos de conectividad integrados (como dispositivos médicos, IoT wearables, estaciones de carga de vehículos eléctricos o equipos agrícolas) como si está desplegando routers celulares y puertas de enlace (como en sistemas de tránsito, gestión del tráfico, automatización de la fabricación o redes empresariales), necesita capacidades de supervisión y gestión remotas para supervisar las amenazas, corregirlas automáticamente, como los cambios de configuración, y desplegar actualizaciones periódicas del firmware. Una vez más, los representantes de Digi pueden ayudarle a identificar el enfoque adecuado
  4. Establezca la seguridad física de los dispositivos. Los dispositivos que pueden acceder a la infraestructura corporativa deben guardarse en armarios cerrados con llave. La seguridad física de los dispositivos de IoT es crucial para protegerlos de accesos no autorizados y manipulaciones. Unas medidas de seguridad física sólidas, como precintos a prueba de manipulaciones, carcasas seguras y mecanismos de autenticación sólidos, ayudan a evitar ataques físicos e intentos de manipulación. La seguridad física también implica proteger los dispositivos durante el transporte, el almacenamiento y la instalación. Al garantizar la integridad física de los dispositivos IoT , las organizaciones pueden minimizar el riesgo de filtración de datos, mantener la privacidad de la información confidencial y salvaguardar la funcionalidad y fiabilidad generales de su ecosistema IoT .
  5. Proporcionar formación continua a toda la organización. Los seres humanos son criaturas falibles, y esto significa que todos los habitantes del planeta que utilizan dispositivos conectados necesitan que se les recuerde periódicamente el papel que desempeñan en la seguridad de los dispositivos.
    • Enseñe a sus equipos a identificar las amenazas de ingeniería social.
    • Envíe recordatorios sobre cómo son los intentos de phishing.
    • Recuerde a los empleados que no deben permitir que visitantes sin acreditación les sigan al interior de edificios de oficinas seguros.
  6. Trabaje con un proveedor de soluciones totales que integre las mejores prácticas de seguridad, así como servicios de supervisión y gestión.. En otras palabras, no se limite a comprar dispositivos y desplegarlos. Trabaje con un proveedor de soluciones que ofrezca la posibilidad de gestionar los dispositivos de forma proactiva. Esto puede incluir algunas prácticas recomendadas de desarrollo seguro y pruebas de producción para garantizar la confidencialidad, integridad y disponibilidad.
    • Análisis estático, que es un método utilizado en el desarrollo de software para examinar el código sin ejecutarlo que ayuda a encontrar fallos con variables y vulnerabilidades asociadas a la base de código.
    • Análisis dinámico, que es un método utilizado en el desarrollo de software para examinar el código durante el tiempo de ejecución cuando se ejecuta y puede llevarse a cabo durante las pruebas o la producción para descubrir comportamientos inesperados que conducen a vulnerabilidades de seguridad y comportamientos inesperados.
    • Análisis de dependencias de código abierto, método utilizado en el desarrollo de software que comprueba las bibliotecas y componentes de código abierto utilizados en el software para identificar vulnerabilidades de seguridad como CVE y CWE o problemas de licencia.
    • Análisis de la infraestructura que respalda el desarrollo de software, que puede ser para IaaS, contenedores o servidores, a fin de garantizar que los entornos de compilación no tengan puntos de entrada para que el malware o el código malicioso se introduzcan en el software de las compilaciones de firmware.
    • Las pruebas de penetración son una metodología para evaluar el estado de seguridad de un sistema, red o aplicación realizada internamente por personal de ciberseguridad o externamente a través de una empresa de pentesting.
    • Bug Bounty, que es un proveedor externo que soporta pruebas continuas en un sistema, red o aplicación que recompensa a los investigadores del Bugbounty por descubrimientos válidos.
    • Sistemas de gestión remota que pueden ayudar en FOTA - (firmware over the air) para asegurar que los dispositivos de campo tienen una manera de parchear una flota para mantenerse en la cima del ciclo de vida de la vulnerabilidad.

Obtenga nuestro informe técnico

Más información sobre FIPS 140-2 y la seguridad de los dispositivos Digi

Descargar PDF

Cómo apoya Digi sus objetivos de ciberseguridad IoT

Naturalmente, compartiremos aquí nuestra historia y lo que diferencia a Digi como proveedor de soluciones IoT . Digi lleva casi cuatro décadas desarrollando sistemas conectados, y hemos creado numerosos procesos y equipos en torno a la integración, supervisión y gestión de la ciberseguridad.

En la vanguardia de nuestra integración de seguridad se encuentra Digi TrustFence®, un marco de seguridad que proporciona múltiples puntos de seguridad en nuestros dispositivos. Nuestros routers celulares, por ejemplo, integran este marco para garantizar que estos dispositivos dispongan de seguridad integrada desde el primer momento, así como de funciones que permitan una mayor integración de la seguridad en el momento de la implantación y el uso final.

Sistemas conectados IoT gestionados con Digi Remote Manager

Digi Remote Manager®, nuestra plataforma de supervisión y gestión remota, ofrece supervisión, gestión automatizada para detectar y corregir cambios de configuración no autorizados, y la capacidad de gestionar y actualizar a distancia docenas, cientos o miles de dispositivos con sólo pulsar unos botones.

Para Digi ConnectCore®, nuestro ecosistema de módulos de sistema integrados, herramientas y servicios, ofrecemos Digi ConnectCore Security Services para la gestión de la seguridad durante el ciclo de vida de los productos desplegados, así como Digi ConnectCore Cloud Services para la supervisión y el mantenimiento continuos de los dispositivos. Y nuestros dispositivos Digi XBee® integran desde hace tiempo la capacidad de realizar actualizaciones de firmware por aire.

Además, Digi cuenta con un equipo devsecops responsable de supervisar las tendencias del sector de la seguridad y las vulnerabilidades emergentes para una gestión proactiva de nuestros dispositivos y una comunicación transparente con nuestros clientes.

Aunque hoy en día "una cosa y ya está" no es una frase que describa un enfoque adecuado de la ciberseguridad, hay mucho que las organizaciones de toda la ecosfera IoT pueden hacer para establecer políticas y procedimientos de seguridad rigurosos, y asegurarse de que tienen la capacidad de mantener proactivamente los dispositivos de por vida. Digi puede ayudar.

Próximos pasos

Obtenga nuestro libro blanco
Aprenda a acelerar el diseño de dispositivos sin sacrificar la seguridad