Seguridad de IoT:lo que podemos aprender de las amenazas recientes

Un casino de Las Vegas sin nombre fue pirateado a través de su pecera, conectado a IoT para monitorear la temperatura del agua y la alimentación

El Internet de las cosas (IoT) promete más flexibilidad y funcionalidad para las empresas que nunca. Más dispositivos conectados prometen ayudar a las empresas a optimizar las operaciones de la cadena de suministro, aumentar la eficiencia y reducir los costos dentro de los procesos existentes, mejorar la calidad de los productos y servicios e incluso crear nuevos productos y servicios para los clientes.

Con una gran cantidad de beneficios disponibles para la empresa, dice Avinash Prasad, jefe de servicios de seguridad administrados en Tata Communications , IoT está configurado para mejorar o incluso revisar los modelos comerciales para mejor.

Si bien la generación masiva, la recopilación y el análisis de datos de IoT ciertamente brindarán a la empresa una inmensa oportunidad, el acceso potencialmente fácil a través de redes no seguras y otros puntos de entrada vulnerables, incluidos los dispositivos de IoT, son atractivos para los ciberdelincuentes.

Según Gartner , casi el 20% de las organizaciones han observado al menos un ataque basado en IoT en los últimos tres años. Con la asombrosa cantidad de 75 mil millones de dispositivos conectados que se esperan en todo el mundo para 2025, la exposición a vulnerabilidades de ciberseguridad y violaciones de datos se habrá quintuplicado a partir de hoy.

Por lo tanto, a medida que ingresamos a una nueva era dominada por IoT, es imperativo volver a examinar las amenazas que se ciernen sobre las empresas al implementar múltiples dispositivos conectados e incorporarlos a la estrategia de seguridad empresarial. A continuación, se muestran tres ejemplos de vulnerabilidades de IoT que todas las empresas deben tener en cuenta para la planificación de la ciberdefensa, que van desde las infracciones en productos aparentemente inocuos hasta los francamente maliciosos.

1. Incluso los dispositivos conectados más simples son vulnerables

Muchas personas que van a Las Vegas regresan con mucho menos dinero del que tenían, pero por lo general no se ha relacionado con ningún ciberataque, y mucho menos con uno que comenzó en una pecera. Sin embargo, así es exactamente como un casino sin nombre en Sin City experimentó su primera infracción de ciberseguridad.

El termómetro conectado, utilizado para la monitorización remota y la alimentación dentro del acuario del casino, proporcionó el punto de acceso perfecto para los piratas informáticos que buscaban adquirir datos sobre los visitantes con mayores gastos. Los piratas informáticos robaron 10 GB de datos personales en total y los enviaron a un servidor remoto en Finlandia.

Los dispositivos de IoT se utilizan cada vez más en diversos sectores y, como se ve en el ejemplo de la pecera de Vegas, incluso los dispositivos conectados más simples pueden ser puertas de entrada potenciales a otros segmentos privados de la red de una empresa. Dado que el 80% de los datos del mundo se guardan en servidores privados, mantener alejados a los piratas informáticos nunca ha sido más crucial.

2. La protección física y la eliminación de los dispositivos conectados pueden ser problemáticos

A veces, no es necesario tener cuidado con los piratas informáticos, sino con el comportamiento de los propios dispositivos de IoT. En 2018, el blog de ciberseguridad Resultados limitados llevó una sierra para metales a una bombilla LIFX Mini White y descubrió vulnerabilidades con la bombilla inteligente en sí. Cualquiera con acceso físico al producto podría extraer la contraseña de Wi-Fi del propietario, ya que estaba almacenada en texto plano en el dispositivo, junto con la clave privada RSA y las contraseñas de root.

LIFX solucionó las vulnerabilidades con una actualización de firmware, pero plantea preguntas importantes sobre el estado físico de los dispositivos, incluida la protección durante el uso y la eliminación de dispositivos inteligentes viejos o defectuosos. A medida que las empresas continúan adoptando y actualizando IoT, este aspecto de la explotación de vulnerabilidades que a menudo se olvida debe permanecer presente.

3. Software malicioso a escala industrial:la amenaza ciberfísica

El mundo se ha acostumbrado al malware que roba información privada, pero como se ve en los ejemplos de Vegas Fish y LIFX, rara vez ha representado una amenaza física para sus víctimas. Eso es hasta 2018 cuando se descubrió el malware industrial Triton dirigido a los sistemas de seguridad de una refinería de petróleo de Arabia Saudita. Se dice que es el primer malware diseñado para comprometer los sistemas de seguridad industrial, lo que brinda a los piratas informáticos la capacidad de deshabilitar sensores y permitir catástrofes letales. Los piratas informáticos se movieron deliberadamente, tomándose su tiempo para infiltrarse cada vez más en los sistemas de refinadores y desarrollar malware más preciso.

Afortunadamente, esa instancia se descubrió antes de que se pudieran ejecutar más ataques, pero eso no impide que los piratas informáticos desarrollen formas aún más peligrosas de malware. Por lo tanto, a medida que los sistemas de control industrial se conectan cada vez más y dependen de los dispositivos de IoT, las empresas deben tomar medidas para incorporar la seguridad de estas capas.

El enigma del cumplimiento

Incluso sin la adopción generalizada de IoT, muchas empresas enfrentan el desafío de la innovación que puede abrir posibles lagunas para la protección de datos. Durante los últimos meses, British Airways, Marriott Hotels y varias organizaciones de autoridades locales han sido multadas fuertemente en virtud del Reglamento General de Protección de Datos (GDPR) de la Unión Europea por la exposición accidental de grandes cantidades de datos personales. De hecho, solo la filtración de datos de Marriott expuso 7 millones de registros conectados a residentes del Reino Unido.

Todas las multas impuestas demuestran cuán agresivamente los reguladores de la Comisión Europea (CE) están dispuestos a abordar las fallas de seguridad y cumplimiento para garantizar que los datos personales sigan siendo privados. Las nuevas leyes de seguridad de IoT basadas en el Reino Unido en el horizonte buscarán responsabilizar a los fabricantes de dispositivos por los puntos de entrada vulnerables dentro del dispositivo conectado. Sin embargo, las empresas también deberán aceptar una mayor responsabilidad por las debilidades (seguridad y cumplimiento) dentro de su propia arquitectura de TI.

Entonces, ¿cuál es la solución?

Es probable que la naturaleza incipiente de IoT lo convierta en un objetivo atractivo para los piratas informáticos en el futuro previsible. A medida que surgen más tecnologías y los entornos de TI se vuelven cada vez más complejos, aumentará la superficie de ataque de IoT. Las empresas deben tomar las precauciones adecuadas hoy para evitar daños graves que pueden ser causados ​​por ataques exitosos en entornos de IoT recientemente implementados.

Una forma de fortalecer la ciberseguridad es utilizar los datos de IoT procesados ​​por análisis avanzados como el aprendizaje automático (ML) y la inteligencia artificial (AI) en un contexto de seguridad. Al implementar tecnologías analíticas avanzadas, es posible monitorear anomalías en el comportamiento y el uso en todos los dispositivos conectados y, por lo tanto, identificar incidentes de seguridad críticos o mal uso. Además, al adoptar Blockchain, las empresas pueden eliminar la necesidad de una autoridad central en la red de IoT. Esto significa que los dispositivos conectados en grupos comunes pueden alertar a los administradores si se les pide que realicen una tarea inusual.

La empresa también debe mirar a sus socios al apuntalar entornos cargados de IoT. Los centros de defensa de seguridad avanzada para responder a ataques cibernéticos en tiempo real, operados por actores de seguridad cibernética especializados, pueden proporcionar a las empresas una ventanilla única para sus necesidades de ciberseguridad, cumplimiento y tecnología emergente.

Dicho centro de ciberseguridad debe estar impulsado por una serie de herramientas y plataformas sofisticadas que incluyen análisis de registros y comportamiento, inteligencia de amenazas cibernéticas, marco de seguridad basado en la nube, plataforma de predicción de ataques avanzada impulsada por aprendizaje automático, integrada en una plataforma de automatización y orquestación.

Por lo tanto, estos centros pueden proporcionar a las empresas un panel de seguridad integral:una vista panorámica de la red de TI e IoT y su seguridad. Dichos centros son muy difíciles de construir y mantener desde una perspectiva de costos y habilidades, por lo que las empresas podrían aprovechar la profunda experiencia de un socio experto para ayudar a reforzar su sistema y postura de protección de datos y hacer frente a las regulaciones en constante cambio.

Es solo adoptando un enfoque holístico de la seguridad de IoT, uno que adopte controles omnipresentes basados ​​en la nube con visibilidad y protección extendidas a través de tecnologías emergentes, que se puede garantizar que la empresa esté protegida de un extremo a otro y siga cumpliendo con los estándares de protección de datos.

Sin embargo, en resumen, no hay necesidad de temer a la IoT. Con las salvaguardas correctas implementadas, puede cumplir sus promesas, mejorando los procesos y servicios para los que está diseñado.

El autor es Avinash Prasad, jefe de servicios de seguridad administrados en Tata Communications.