Desempaquetando IoT, una serie:El desafío de seguridad y lo que puede hacer al respecto

Los ingenieros de redes enfrentan una serie de desafíos al implementar iniciativas de Internet de las cosas (IoT). Vuelva al blog de Cisco IoT durante las próximas semanas mientras nos sumergimos en los tres principales desafíos de IoT y las mejores prácticas para superarlos.

En primer lugar, el mayor desafío en IoT por mucho: seguridad .

Las amenazas a la seguridad de IoT difieren significativamente de las amenazas a la seguridad en los entornos de TI tradicionales:en las TI tradicionales, las preocupaciones de seguridad se centran ante todo en la protección de los datos. Los atacantes pueden robar datos, comprometer datos y retenerlos como rescate. Recientemente, están igualmente interesados ​​en robar potencia informática para actividades de minería de criptomonedas maliciosas.

Si bien estas preocupaciones de seguridad existen en IoT, también van más allá, extendiéndose más allá de los datos y al mundo físico. Como mínimo, un incidente de seguridad de IoT puede incomodar a las personas o interrumpir las operaciones, provocando daños por valor de millones de dólares en unas pocas horas. En el peor de los casos, estos ataques pueden dañar los sistemas que controlan un proceso físico e incluso poner vidas en riesgo. Considere los siguientes ejemplos:

• El infame ataque Stuxnet en 2010 aprovechó múltiples fallas de día cero en el software de Microsoft Windows. El objetivo era detectar y corromper los PLC que ejecutaban el software Step7 de Siemen para reprogramarlos con malware para hacer que las centrifugadoras nucleares de rápido giro bajo su control se desgarraran literalmente. El resultado final de este ataque provocó la destrucción de una quinta parte de las centrifugadoras nucleares de Irán.
• Vimos el primer ciberataque exitoso en una red eléctrica en 2015 cuando los ciberatacantes obtuvieron el control de varias centrales eléctricas ucranianas, lo que provocó la pérdida de electricidad de más de 225.000 residentes por períodos de hasta seis horas. Este ataque complejo y de varias fases no solo obtuvo el control de los sistemas SCADA, lo que permitió a los actores extranjeros apagar de forma remota las subestaciones, sino que también incluyó un ataque DoS en el centro de llamadas para que los consumidores no pudieran llamar para informar problemas o recibir actualizaciones de el estado del apagón.
• En 2017, un atacante implementó malware ICS, denominado Triton, diseñado para manipular los sistemas de seguridad industrial a fin de causar una interrupción operativa de la infraestructura crítica. El objetivo específico del atacante de los sistemas instrumentados de seguridad (SIS) sugiere un interés en causar un ataque de alto impacto con consecuencias físicas (un objetivo de ataque que normalmente no se ve en los grupos de ciberdelitos). El análisis del incidente llevó a los investigadores a creer que este fue el trabajo de un estado-nación que se estaba preparando para un ataque más amplio.
• En 2019, un ataque de ransomware contra Norsk Hydro, uno de los mayores fabricantes de aluminio del mundo, obligó a la empresa a cambiar a operaciones manuales en un intento por contener la brecha. El ataque le costó a la compañía $ 52 millones y resultó en un aumento mundial del precio del aluminio.

Estos incidentes muestran cuán crítica y desafiante puede ser la seguridad en escenarios de IoT.

Prevención y control de las amenazas de seguridad de IoT

En los ejemplos anteriores, las violaciones de seguridad se podrían haber evitado por completo, o, al menos, contenido significativamente, utilizando una de las mejores prácticas de seguridad de red:la segmentación. La segmentación es uno de los principios de diseño de red más eficaces para implementar con fines de seguridad. Es un axioma de redes aceptado universalmente, pero si es así, ¿por qué las organizaciones no segmentan completamente sus redes?

La respuesta:es complicado.

Para reducir costos, las organizaciones han convergido sus redes de datos, voz y video en una infraestructura física compartida. Más recientemente, también se han agregado dispositivos IoT a la misma red IP. Sin embargo, es necesario mantener una separación lógica entre estos servicios por motivos de seguridad y administración. Para hacerlo, los ingenieros de redes suelen segmentar la red mediante VLAN. Este proceso requiere varios pasos, puntos de contacto, políticas e interfaces de usuario. En un nivel alto, los ingenieros de red deben crear grupos en Active Directory, definir políticas, ejecutar VLAN / subredes e implementar la política.

La naturaleza compleja de la segmentación no solo hace que la tarea sea tediosa, sino que también aumenta el riesgo de error humano. Por ejemplo, las listas de control de acceso (ACL) de los dispositivos de red suelen tener decenas de miles de líneas. Son difíciles de administrar y comprender debido a razones mal documentadas para cada línea en la entrada. Si hay una discrepancia para las ACL de un dispositivo a otro, existe una vulnerabilidad potencial y un vector de ataque que se puede explotar.

Incorporación de la seguridad de Cisco a IoT

Dado el papel clave que desempeña la segmentación de la red en la protección de los activos de la red, es fundamental que los administradores de red puedan segmentar la red de manera eficiente y eficaz. En Cisco, simplificamos la segmentación aplicando redes basadas en intenciones a la red empresarial. Esta expresión específica de redes basadas en intención se denomina Acceso definido por software (SDA).

El acceso definido por software elimina la necesidad de que los administradores de red hablen el idioma de las listas de control de acceso o las políticas de grupo para identificar qué dispositivos de red pueden comunicarse entre sí. Con unos pocos clics y arrastrar y soltar el mouse, los administradores de red pueden establecer redes virtuales separadas para voz, datos, acceso de invitados inalámbrico, BYOD, IoT y más. Este año, ampliamos estas capacidades hasta el borde de IoT, de modo que los estacionamientos, los centros de distribución, las instalaciones de fabricación, los aeropuertos, los puertos marítimos, etc. se puedan administrar desde el mismo panel de vidrio que la empresa alfombrada, es decir, Cisco. Centro de ADN.

Con Cisco DNA Center, un panel de administración centralizado, los administradores de red pueden aprovisionar redes en toda la empresa y asegurarse de que los dispositivos asignados a una red virtual no puedan comunicarse con los dispositivos de otra red virtual. De hecho, los dispositivos de una red virtual ni siquiera pueden ver las otras redes virtuales. En lo que a ellos respecta, la red virtual a la que están conectados es la única red que existe o que alguna vez existió. Eso significa que los dispositivos de IoT asignados a una red virtual de IoT solo pueden comunicarse con otros dispositivos asignados a la misma red virtual y nada (y nadie) más. Esta separación lógica se llama macro-segmentación.

Sin embargo, SDA ofrece una opción de política aún más granular para los administradores de red.

En la macro segmentación, cualquier dispositivo dentro de una red virtual puede hablar por defecto con cualquier otro dispositivo en esa misma red virtual. Por lo tanto, si las cámaras de video, los sensores de temperatura y los lectores de credenciales se asignan a una sola "Red virtual de IoT", estos dispositivos, de forma predeterminada, podrían comunicarse entre sí. Dicha comunicación puede presentar un problema de seguridad:si un solo dispositivo se ve comprometido, los atacantes usarán ese dispositivo para escanear la red en busca de otros dispositivos que puedan proporcionar un punto de apoyo adicional en la organización (observe cómo se hace esto). Ahí es donde entra en juego la microsegmentación.

En Cisco DNA Center, los administradores de red pueden crear fácilmente políticas de microsegmentación que definan qué dispositivos pueden comunicarse con otros dispositivos dentro de la misma red virtual . (Vea la demostración, Cisco Extended Enterprise con DNA-C.) Los administradores también pueden configurar la política para enviar una alerta si esos dispositivos intentan comunicarse con dispositivos no autorizados, lo que podría ser indicativo de un posible ataque de seguridad. En nuestro ejemplo anterior, las cámaras de video se pueden configurar para hablar solo con otras cámaras de video, y si intentan hablar con los sensores de temperatura o lectores de credenciales, se emitirá una alerta.

La capacidad de segmentar la red tanto a nivel macro como micro con SDA es una gran solución tanto para prevenir como para contener una brecha de seguridad. Se escala fácilmente para abordar las necesidades de la red empresarial y ahora los clientes de Cisco pueden aplicar estos mismos conceptos a sus redes de IoT. Además, pueden hacerlo de manera eficiente y efectiva utilizando la misma interfaz de administración que usan para la red empresarial. ¿Querer aprender más? Consulte nuestro seminario web bajo demanda, Cisco IoT:Impulse la transformación en los sectores de seguridad pública, petróleo y gas y fabricación. Y no olvide volver a consultar el blog de Cisco IoT para conocer los otros desafíos principales que enfrenta la IoT empresarial.