Debemos proteger el Internet de las cosas antes de que alguien resulte herido

Robert Haim de ACG Research

Dick Cheney, el ex vicepresidente de los Estados Unidos, es famoso por haber inhabilitado el acceso inalámbrico a su marcapasos cardíaco porque temía que los terroristas pudieran inducir un ataque cardíaco. En la película de 2007 "Live Free or Die Hard", los delincuentes bloquearon el tráfico y provocaron accidentes al cambiar todos los semáforos de Washington, D.C. a verde.

Esos ataques ficticios y de la vida real a lo que ahora llamamos Internet de las cosas (IoT) tenían el potencial de causar la pérdida de vidas. Teniendo en cuenta todos los sensores y controles de IoT que se utilizan en todo el mundo hoy en día, es solo cuestión de tiempo antes de que la seguridad débil permita a los malos actores tomar el control, habilitar comportamientos peligrosos o engañar a los operadores humanos para que realicen la acción incorrecta.

Es solo cuestión de tiempo. Debemos proteger el Internet de las cosas antes de que alguien resulte herido. ¿Pero cómo?

Hay muchos desafíos en esas áreas. Por ejemplo, gestión de identidades. ¿Alguna vez está seguro de qué usuarios, dispositivos o aplicaciones intentan acceder a sus datos? ¿Cómo puede demostrar su identidad dentro de una duda razonable, pero seguir mejorando la confianza en que ha confiado en los usuarios adecuados y no, por ejemplo, en un terrorista? Eso significa monitoreo del comportamiento, en tiempo real.

Acepte el desafío de proteger la información crítica, que puede estar regulada por leyes o industrias, o simplemente extremadamente valiosa para las corporaciones y los ladrones. Esos datos pueden afectar vidas inmediatamente (como un dispositivo médico) o más tarde (como los planos de los sistemas de seguridad de una represa hidroeléctrica). ¿Cómo puede estar seguro de que los datos y esos dispositivos están bien protegidos contra la manipulación o el acceso ilícito?

O las propias conexiones de red, que vinculan los dispositivos móviles o de línea fija con el centro de datos o la nube. ¿Son seguras las conexiones? ¿Pueden los piratas informáticos obtener acceso subvirtiendo un punto final ... y se ha probado que esas conexiones sean robustas, escalables e impenetrables? Descubramos cómo.

Detecta el ataque. Detén el ataque

El desafío para lograr una red "segura", incluido el sector de IoT, es que la "seguridad" es un objetivo negativo, dice Robert Haim, analista principal de ACG Research , que se centra en las industrias de redes y telecomunicaciones.

"Estás tratando de lograr algo a pesar de lo que puedan hacer los adversarios y no sabes cuáles son las capacidades de los adversarios", explica. Dado que muchos dispositivos de punto final de IoT no tienen suficiente memoria para incluir software de seguridad sofisticado en ellos. "Entonces, ¿qué vamos a hacer?"

En realidad, hay dos problemas que deben resolverse, dice Haim:"Tenemos que preocuparnos por la seguridad del dispositivo en sí, y luego también tenemos que pensar en lo que tenemos que hacer si nos piratean". No ayuda que el 55% de las empresas ni siquiera sepa de dónde proviene la amenaza y dónde está el problema en su red.

Observa las acciones, no solo la identidad

Mark McGovern, líder del grupo de análisis de amenazas, CA Tecnologías , dice que existe una gran necesidad de observar lo que hacen las personas, una vez que se les da acceso a un sistema. Lo que hacen es más importante que quiénes son. “Ya sea que se trate de un sistema existente que autoriza en tiempo real a 100 millones de usuarios para una institución financiera o de grandes compañías de cable, la forma en que pensamos no se trata de quién dice ser o de las credenciales que tiene, es lo que hacer ".

Explica:“Cuando te encuentras con alguien en la calle, puede que te diga que es X o Y, pero la realidad es, ¿qué ves que hace con el tiempo? Ese es el nivel de confianza que le brinda a la gente ".

CA estudia y analiza el comportamiento real de las entidades autorizadas para usar un sistema y marca las cosas que son inconsistentes con los comportamientos pasados ​​de esas entidades.

“Ya sea que se trate de una dirección IP, un punto final, un inicio de sesión o una identidad reclamada, cuáles son las cosas que se destacan, tanto en contra de su propio comportamiento como del comportamiento de la población”, dice McGovern. "Estos datos refuerzan el aprendizaje que están haciendo nuestros sistemas y el aprendizaje automático que incorporamos en esos sistemas, y también brindan valor a nuestros clientes".

Comience con el modelado de amenazas

"Tome cualquier dispositivo, como una cerradura de puerta de IoT", dice John Michelsen, director de producto de Zimperium , que fabrica software de defensa contra amenazas móviles basado en inteligencia artificial. "Tienes que identificar a nivel de dispositivo, nivel de red o nivel de contenido de la aplicación, cuáles son las formas en que este dispositivo podría ser explotado". Y luego debe bloquearlos antes de salir al mercado.

Es un problema real, dice Michelsen. “En el Black Hat de 2017, alguien demostró que 13 de los 15 pomos de las puertas automáticas se podían abrir en unas pocas horas de trabajo. Al menos el 70% de los dispositivos de TI de los consumidores de IoT son pirateados ".

Es por eso que necesita el modelado de amenazas, dice:“Primero, se hace el modelado de amenazas. A continuación, identifica las formas en las que va a prevenir:detecte eso y empiece a crear una solución a su alrededor ".

Todos deben mirar hacia afuera

Todas las empresas tienen recursos de seguridad internos para probar software, infraestructura, productos y servicios, pero eso no es suficiente, dice Roark Pollock, vicepresidente senior de Ziften , que ofrece soluciones de seguridad para terminales.

“Tienes que mirar hacia afuera. Mire a sus socios y esté abierto a que prueben su producto. Es posible que le pidan que pase por un proceso de certificación completo; pase usted mismo por esas certificaciones de socios. En la actualidad, existen firmas de auditoría de seguridad. Contratarlos ".

No te fíes de ti mismo, insiste. Consiga que expertos externos verifiquen a sus ingenieros y verifiquen su código.

"Luego, mire a la comunidad y los proyectos de código abierto para asegurarse nuevamente de que haya una comunidad de personas que estén verificando dos veces, volviendo a verificar e impulsando ese código".

A Pollock no le impresiona ninguna empresa que asuma que puede hacerlo todo por sí misma en lo que respecta a la seguridad. "Creo que es fundamental obtener ayuda externa".

Utilice inteligencia artificial para vigilar la identidad

Hank Skorny, vicepresidente senior de Neustar , una empresa de gestión de identidad, dice que comienza con la determinación de la identidad de los usuarios (o dispositivos o aplicaciones) que acceden a los dispositivos de IoT o sus datos. Pero no se detiene ahí. “Tienes que establecer la identidad. También tienes que ponerlo siempre en duda, porque la identidad es solo una probabilidad, nunca verdaderamente definitiva ”.

¿Cómo se mejora la confianza en esa probabilidad? "Emplee el aprendizaje automático y la inteligencia artificial", dice, mientras observa constantemente la supervisión de cualquier sistema que haya estado construyendo.

“No vas a identificar simplemente a alguien o determinar un dispositivo o lo que sea. Vas a vigilarlo. La única forma de vigilar un mundo a escala de nanosegundos es mediante el uso del aprendizaje automático computacional y la inteligencia artificial, buscando constantemente esos patrones de comportamiento malvado, deteniéndolo más rápido de lo que podría hacerlo un humano.

Demuestre la confianza en varios dominios

Algunos datos están protegidos por la ley; piense en los secretos militares o la información de identificación personal sobre la salud, cubiertos por la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) en los Estados Unidos. Sin embargo, hay otra información que es extremadamente sensible, incluso si no está cubierta por regulaciones específicas. Considere los datos sobre el desempeño de los atletas profesionales:no es información de salud HIPPA, pero es inteligencia crucial para equipos deportivos de miles de millones de dólares.

Zebra Sports es una empresa que recopila la telemetría del tiempo de práctica y del día del partido sobre los jugadores de fútbol americano, explica John Pollard, vicepresidente de la empresa, y la empresa tuvo que trabajar duro para marcar goles con la Liga Nacional de Fútbol Americano (NFL).

“Uno de los criterios por los que pasó la NFL al evaluar varias tecnologías fue sin duda la seguridad”, dice. “Recopilamos mucha información y tenemos que transferir esa información a software y servicios para que nuestros clientes en las verticales primarias puedan evaluar esa información. La NFL ciertamente también encarna eso. Debido a que estamos capturando información que nunca antes se había capturado para un deporte profesional, estamos hablando de aceleración, desaceleración, cambio de dirección, proximidad durante un período de tiempo agregado ".

Ayudando a Zebra a ganar puntos:su rica experiencia en IoT en el comercio minorista, el transporte, la logística, la fabricación y la atención médica.

"Nuestro legado de trabajar con esas industrias ciertamente nos ayudó a construir un caso válido para ser un socio de la NFL en la captura de ese tipo de información", dice Pollard.

La lección de seguridad aquí, dice Pollard, es que solo porque sea deporte no significa que sea vital. Los mismos principios se aplican a, digamos, IoT militar o comercial que a la NFL. La telemetría para un jugador de fútbol no es diferente a la telemetría para un guardia de seguridad, o incluso un misil. El primer parámetro es hacerlo seguro.

Cree zonas de confianza y aplíquelas

No todos los usuarios se crean por igual y no todos los usuarios requieren la misma información de un dispositivo de IoT. El personal de TI del hospital debe verificar que los datos de una bomba de diálisis estén siendo capturados por la aplicación correcta y almacenados en los registros correctos del paciente ... pero no necesitan ver los datos y, de hecho, la HIPAA puede prohibir su acceso. De manera similar, el personal de TI debe verificar que la entrada a una parte segura de un edificio funcione correctamente, pero nuevamente, es posible que no estén autorizados a abrir la puerta por sí mismos.

"Si observa la cantidad de personas que interactúan con la cerradura de la puerta, los roles, las responsabilidades, ahí es donde las zonas de confianza se siguen acumulando", dice Sanjeev Datla, director de tecnología de Lantronix , que construye tecnología de IoT industrial. “¿Cuáles son los diferentes niveles de acceso para el administrador de puertas? ¿Para el enfermero cuando interactúa con las máquinas de diálisis? ”

¿Y qué pasa con el técnico de servicio de campo que accede a la máquina o le da servicio? “Conozca los roles y responsabilidades sobre qué permitir y qué no permitir”, dice.

Datla insiste en que no es sencillo. “Tiene una bomba de infusión con un puerto Ethernet. ¿Cuáles son los anillos de confianza, o los controles de acceso, por así decirlo, alrededor de ese puerto? ¿Y cómo se prueba? Como dijo anteriormente Mark McGovern de CA, esto debe ser más sofisticado que las simples listas de control de acceso.

“Buscamos análisis de comportamiento”, dice Datla, “Está bien, se supone que esta persona no debe hacer esto en este momento. Entonces, cuando hacen eso, ¿qué haces al respecto? ¿Cómo se genera una alerta y se obtiene la aprobación o el bloqueo de un nivel superior? ”

Nunca olvides:todo está conectado

"Los dispositivos de IoT son cada vez más inteligentes", dice Pollock de Ziften. “Ya no estamos hablando de microcontroladores tontos para unidades de control que tienen espacios de aire. Estamos hablando de sensores inteligentes en la red. Estamos hablando de puertas de enlace inteligentes ".

Además, señala, "Muchos dispositivos de IoT son PC en pleno funcionamiento para todos los propósitos prácticos, pero no tratamos esos dispositivos de la forma en que tratamos a las PC normales en nuestras redes empresariales".

"Mira, si vas a tener todos estos dispositivos conectados, debes poder monitorear tanto el estado de ese dispositivo como la higiene de ese dispositivo. Debe estar reforzado con su entorno ”.

Haciendo eco de comentarios anteriores, Pollock insiste en que las empresas deben monitorear el comportamiento de los dispositivos IoT, no solo el control de acceso. "Busque valores atípicos desde el punto de vista del comportamiento y comience a identificar qué está sucediendo con ese dispositivo y qué está haciendo. Concéntrese en los valores atípicos con la cola larga de la curva sobre lo que está sucediendo. Identifique los dispositivos que están haciendo algo fuera de lo común y mírelos e investigue como problemas potenciales ".

Porque, después de todo, con los dispositivos de IoT y las aplicaciones de IoT vulnerables a los ataques, las vidas lo harán estar en juego.

El autor es Robert Haim, analista principal - Business Analysis &IoT, ACG Research