Cómo superar el desafío de seguridad de IoT para trabajadores domésticos

Greg Day de Palo Alto Networks

A medida que las líneas entre el trabajo y el hogar continúan desapareciendo, también lo hace la separación entre los dispositivos conectados corporativos y personales. Esto está exponiendo nuevos desafíos de ciberseguridad que requerirán una respuesta coordinada de todos, incluidos los trabajadores a domicilio, dice Greg Day, VP y CSO EMEA, Palo Alto Networks .

Inundación de IoT no empresarial en redes empresariales

Un crecimiento en el trabajo doméstico e híbrido está llevando a que los dispositivos conectados al consumidor se desvíen hacia las redes comerciales en un mayor número. Durante dos años, hemos estado siguiendo esta tendencia como parte de un estudio de seguridad de IoT que abarca 18 países de EMEA, APAC y América.

En el estudio de 2021, el 78% de los tomadores de decisiones de TI a nivel mundial (entre aquellos cuya organización tiene dispositivos IoT conectados a su red) informaron un aumento en los dispositivos IoT no comerciales conectados a redes corporativas por parte de trabajadores remotos en el último año. En algunos mercados como EE. UU., Los informes son aún más altos, con un 84% que dice que ha habido un aumento.

Cuando examina qué tipo de cosas no relacionadas con el negocio se encuentran, la variedad es bastante sorprendente. A nivel mundial, los dispositivos conectados no comerciales más comunes reportados son los monitores médicos portátiles seguidos de bombillas inteligentes, equipos de gimnasio conectados, máquinas de café, consolas de juegos e incluso comederos para mascotas que se encuentran entre la lista de los dispositivos más extraños que se han detectado. Parte de la razón de esto es que el aumento de los hábitos de trabajo desde casa (FMH) coincide con un auge de los equipos inteligentes para el hogar, así como una gama de dispositivos portátiles para el fitness y la salud.

Defectos y amenazas de ciberseguridad

Si bien una lista de dispositivos de IoT inusuales puede ser una lectura divertida, presentan un desafío de seguridad creciente para los equipos de ciberseguridad. Los atacantes solo necesitan un empleado para tener un dispositivo vulnerable que pueda ser explotado. Muchos dispositivos de IoT para consumidores vienen con características de seguridad deficientes o, lamentablemente, sin características de seguridad. De hecho, ¿cuánto puede esperar un nivel de seguridad de nivel empresarial en un dispositivo inteligente que cuesta menos de $ 100 (€ 88,59)? Asimismo, las buenas prácticas de codificación adoptadas por empresas de software maduras suelen tener una prioridad menor y la corrección de errores puede ser lenta.

Los expertos en inteligencia de amenazas, como nuestro propio equipo de la Unidad 42, están informando ataques dirigidos a vulnerabilidades en el kit de la oficina en casa. Esto incluyó una variante de Mirai que atacó fallas de seguridad en una variedad de dispositivos IoT domésticos en febrero de 2021. La mayor preocupación es cómo se usa un dispositivo conectado no comercial comprometido para lanzar un ataque de ransomware más serio. Este verano, la Unidad 42 reveló evidencia de cómo las bandas de ransomware parecían estar invirtiendo en herramientas que utilizan la variante de ransomware eCh0raix para apuntar a los trabajadores domésticos con dispositivos NAS. La motivación de estos ataques puede ser utilizar un dispositivo conectado al hogar explotado como un trampolín en los ataques a la cadena de suministro en grandes empresas que pueden generar enormes rescates.

En consecuencia, los dispositivos de IoT de consumo podrían ser un gran problema para las empresas; esto es algo que los encuestados reconocieron en nuestro estudio. A nivel mundial, la mayoría de los tomadores de decisiones de TI (81%) cuya organización tiene dispositivos IoT conectados a su red informaron que el trabajo remoto durante la pandemia COVID-19 resultó en un mayor riesgo de dispositivos IoT no seguros en la red comercial de su organización. En más de siete de cada diez (78%), este aumento del riesgo se había traducido en un aumento en el número de incidentes de seguridad de IoT.

Ni el trabajo en casa ni el aumento de los dispositivos de IoT desaparecerán, por lo que existe una mayor presión para revisar la ciberseguridad de IoT. De hecho, casi todos los encuestados (96% en 2021 y 95% en 2020) de nuestra encuesta global de IoT indicaron que su organización necesita mejorar su enfoque de la seguridad de IoT. En 2021, el 25% sugirió que lo mejor sería una revisión completa.

Cómo pueden ayudar los trabajadores de la FMH

Tiene que haber un enfoque de tres frentes con una ciberseguridad reforzada de IoT comenzando en casa.

Las organizaciones deben educar y obligar a su personal de la FMH a elevar el nivel de los estándares de higiene de la ciberseguridad en el hogar comenzando con su enrutador. Algunas órdenes básicas deben incluir cambiar la configuración de seguridad predeterminada y luego cifrar la red doméstica simplemente actualizando la configuración del enrutador a WPA3 Personal o WPA2 Personal. También se debería cobrar a los trabajadores de la FMH por realizar una auditoría de lo que está conectado y desactivar cualquier dispositivo que no se utilice habitualmente.

Hay otro paso que debería darse. Los empleados de la FMH también deben aprovechar la función de microsegmentación que generalmente se encuentra en el firmware de la mayoría de los enrutadores Wi-Fi. Esto permite a los usuarios mantener redes separadas, una para invitados y dispositivos de IoT y otra utilizada para fines corporativos.

La segmentación de la red es clave para una buena higiene cibernética general en la empresa y en el hogar. Según la encuesta de IoT, el 51% de los responsables de la toma de decisiones de TI (que tienen dispositivos de IoT conectados a la red de su organización) indicaron que los dispositivos de IoT están segmentados en una red separada. Son independientes del que utilizan para los dispositivos y aplicaciones comerciales principales (por ejemplo, sistema de recursos humanos, servidor de correo electrónico, sistema financiero). Sin embargo, es preocupante que una cantidad relativamente grande de tomadores de decisiones de TI globales (uno de cada cinco) admitan que los dispositivos de IoT no están segmentados en una red separada de la que usan para dispositivos primarios y aplicaciones comerciales clave. En algunos mercados, como el Reino Unido, los resultados son aún peores, y uno de cada tres no admite segmentación alguna.

Por último, las organizaciones deben alejarse del modelo de conexión de concentrador y radio, donde todo pasa por una tubería de seguridad y donde los trabajadores domésticos se conectan de nuevo a la empresa a través de VPN. En el ecosistema conectado diverso de hoy, la seguridad de un solo tamaño simplemente no funciona. Con demasiada frecuencia, los usuarios buscan el interruptor de APAGADO en su VPN para habilitar servicios comerciales centrales como conferencias. En el trabajo en cualquier momento y lugar con todo el mundo, la seguridad cibernética de borde tiene que adaptarse para ser consciente del contexto, para permitir una seguridad adecuada que sea transparente para el usuario y optimice la experiencia, para que no sienta la necesidad de apagarla.

Aplicación de confianza cero

La otra vertiente de la ciberseguridad de IoT fortalecida se encuentra dentro de la propia empresa y cómo se controlan los dispositivos de IoT deshonestos y se evita que se conecten a la red.

Las organizaciones deben utilizar políticas de acceso con privilegios mínimos para evitar que los dispositivos no autorizados se conecten a sus redes. Solo deben permitir que los dispositivos y usuarios aprobados accedan a lo que sea necesario. Aprovechamiento de Zero Trust es la mejor manera de garantizar que estos dispositivos no generen exposición de datos ni afecten negativamente la continuidad del negocio.

Para la seguridad de IoT específicamente, las organizaciones necesitan una solución de monitoreo en tiempo real que analice continuamente el comportamiento de los dispositivos IoT conectados a la red. Esto busca conocer las incógnitas, descubriendo la cantidad exacta de dispositivos conectados a su red, incluidos los que usted conoce y los que no conoce y los olvidados. El inventario de activos de IoT puede aprovechar las inversiones existentes en firewall para recomendar y hacer cumplir automáticamente las políticas de seguridad. Estos se basarían en el nivel de riesgo y el alcance del comportamiento no confiable detectado en esos dispositivos. Una solución puntual puede extender una red corporativa y brindar una administración unificada de políticas de seguridad y un servicio de acceso seguro (SASE) a los empleados de la FMH:así es como habilita la seguridad consciente del contexto.

No espere una solución legal

En última instancia, los riesgos de seguridad de cualquier dispositivo de IoT pueden mitigarse mediante una ola de nuevas regulaciones para hacer que los fabricantes y distribuidores desarrollen una seguridad más sólida en primer lugar. Sin embargo, estas leyes en la UE y países como el Reino Unido se encuentran en una etapa inicial y es poco probable que tengan un impacto real durante varios años. La responsabilidad de mejorar la seguridad de IoT recaerá sobre los hombros de los empleados y sus organizaciones.

Teniendo en cuenta la importancia de los dispositivos de IoT para la forma en que trabajamos y jugamos, es hora de que las organizaciones cambien la forma en que tradicionalmente han respondido a la ciberseguridad y creen una cultura de salud cibernética proactiva que se extienda desde la alta dirección a todos los empleados. Este cambio permitirá la inversión y se centrará en las prácticas de higiene cibernética que ayudarán a frustrar los ataques cibernéticos y reducir el impacto potencial de un incidente cibernético a través de una empresa inocente o un dispositivo personal conectado.

El autor es Greg Day, VP y CSO EMEA, Palo Alto Networks.