La seguridad potencia el verdadero potencial de IoT

Hace solo un par de años, los fabricantes de Internet de las cosas (IoT) se preocupaban principalmente por el hardware, no por el software. Hoy, dice Richard Hayton, CISO, Trustonic , Los dispositivos de IoT han cambiado drásticamente, con el software tomando prominencia y creciendo en términos de aplicaciones relacionadas con el consumidor.

Hoy en día, el término “IoT” se utiliza principalmente para aplicaciones centradas en el consumidor:estas incluyen vehículos conectados, tecnología portátil y salud conectada, entre otras aplicaciones. Según Statista , las cifras de pronóstico sugieren que el mercado de IoT para soluciones para el usuario final crecerá a alrededor de US $ 1,6 billones (€ 1,31 billones) para 2025.

Sin embargo, las soluciones para el usuario final no son el único mercado de Internet de las cosas. Las aplicaciones organizativas e industriales de los dispositivos de IoT también están en aumento, especialmente en los sectores de fabricación y salud.

Seguridad e IoT

A medida que se expande la variedad de aplicaciones de IoT, existe una necesidad cada vez mayor de reutilizar las plataformas de hardware y software. La reutilización del software, si bien puede tener aspectos positivos, aumenta el impacto en la seguridad de cualquier vulnerabilidad que pueda explotarse. Una biblioteca o subsistema diseñado para un caso de uso, se puede reutilizar en una aplicación que el autor original no había previsto.

La industria está aprendiendo rápido y el "arranque seguro" y la "actualización segura de software" están comenzando a ser algo más común. Si bien estas técnicas son importantes, no son una panacea. Especialmente cuando los dispositivos almacenan o habilitan información de gran valor para un atacante, como datos personales confidenciales, o credenciales de acceso a datos almacenados en otro lugar.

El arranque seguro y las actualizaciones de seguridad proporcionan un primer nivel de defensa, pero desde una perspectiva de seguridad es mejor asumir que esta defensa a veces se violará. Si estos son los únicos defensa, luego, una vez violada, todos los datos del dispositivo se pierden y el atacante es libre de abusar del dispositivo para atacar en otro lugar.

Presentamos un entorno de ejecución confiable

Un enfoque más amplio de la seguridad es proporcionar múltiples zonas o entornos para que el software en un dispositivo los aísle y los proteja de ataques, y para reducir el impacto de un ataque exitoso. Algunos entornos en los que se almacenan o manipulan datos confidenciales se diseñarán específicamente con la seguridad como objetivo principal.

Tecnologías proporcionadas por conjuntos de chips modernos, como Arm TrustZone, puede proporcionar una zona aislada que está protegida por el hardware de la CPU y un arranque seguro, y que permanece segura, incluso si otras partes del dispositivo están comprometidas. Los entornos de ejecución de confianza creados con esta tecnología están diseñados con un enfoque de "defensa en profundidad", que se centra en el código que está firmado criptográficamente y las API certificadas por organismos independientes contra ataques. El software que se ejecuta en tales entornos también puede demostrar su legitimidad a los servidores de la nube externos, lo que hace que sea mucho más difícil para un atacante subvertir el ecosistema de IoT más amplio.

Para una persona, un ciberataque a través de sus dispositivos puede ser devastador, robar datos personales y potencialmente permitir el robo de identidad o una actividad delictiva más amplia, como abusar de las credenciales de pago almacenadas en un dispositivo IoT o usar un dispositivo violado para atacar otros dispositivos en una red doméstica. .

Para un fabricante de dispositivos y para la industria en su conjunto, los ataques pueden tener un impacto aún mayor. Una vez que se pierde la confianza del consumidor en una marca, es muy difícil recuperarla, y los consumidores rápidamente descartarán marcas o segmentos completos de productos si la relación riesgo / beneficio no parece razonable. Esta afirmación es aún más cierta en los mercados regulados, como el IoT médico o comercial, donde los reguladores actúan rápidamente si se detecta que falta un producto.

Un camino a seguir

En el pasado, la seguridad no era una decisión de compra. Eso está cambiando. Los reguladores de todo el mundo exigen una higiene básica para el IoT del consumidor, como un arranque seguro y la eliminación de contraseñas predeterminadas. Este es un gran comienzo, pero sin duda es solo el primer paso y, como se mencionó anteriormente, es solo una parte de una estrategia de seguridad. La industria puede esperar una regulación futura, pero realmente lo que se necesita es pasar de la seguridad como una casilla de verificación a la seguridad como una característica integral del producto.

El autor es Richard Hayton, CISO, Trustonic.