La vulnerabilidad de la cadena de suministro de IoT representa una amenaza para la seguridad de IIoT

La mayoría de las empresas que construyen productos con la ayuda de Es probable que las operaciones vigilen de cerca la cadena de suministro que proporciona un flujo predecible de materias primas y servicios que les permite producir productos y mantener el negocio en marcha.

Pero una segunda cadena de suministro subyacente recibe menos escrutinio. Y si la seguridad de esa cadena de suministro se ve comprometida de alguna manera, el negocio podría paralizarse.

Esa cadena de suministro pasada por alto entrega los componentes que construyen una infraestructura IIoT. El comprador de esos dispositivos se encuentra al final de la cadena de suministro que, desde una perspectiva de seguridad, carece de suficiente transparencia en la cadena. De hecho, sería un desafío rastrear los orígenes de los elementos internos que componen los dispositivos IIoT entregados.

Como resultado, no es raro que los componentes vinculados a IIoT se envíen con vulnerabilidades de seguridad explotables. La complejidad y el alcance global de la cadena de suministro de IIoT solo agrava el problema:se puede fabricar un solo dispositivo a partir de piezas suministradas por docenas de fabricantes de componentes.

“Docenas de componentes fabricados por empresas de todo el mundo rebotan a través de múltiples capas de proveedores e integradores hasta que son colocados en una placa, probados y empaquetados por el OEM”, como se indica en “Evaluación de la cadena de suministro de estado finito , ”Un informe de 2019 de Finite State, una empresa de ciberseguridad de IoT.

Los riesgos para las infraestructuras de IIoT son reales y numerosos

La mayoría de los operadores de red reconocen los riesgos de la cadena de suministro de IIoT, pero las vulnerabilidades específicas son difíciles de aislar. Estas implementaciones suelen ser de gran alcance, y se extienden más allá de las paredes del fabricante hasta los transportistas, comerciantes y otros socios comerciales. Y a medida que la red se extiende e incluye puntos de integración adicionales, aumenta el riesgo de que un fragmento de código malicioso peligroso se replique. De hecho, el código en sí puede no ser malicioso, pero puede presentar un puerto abierto que puede comprometer los sistemas.

“Solo al ver de primera mano cuántas vulnerabilidades tienden a haber en los sistemas integrados, ahí es donde los propietarios de activos no se dan cuenta de que esas vulnerabilidades existen en sus sistemas”, señaló Matt Wyckhouse, director ejecutivo de Finite State.

Una vez que se infringe un entorno de IIoT, los actores malintencionados pueden usarlo como entrada para profundizar en los sistemas corporativos. Los sistemas de control industrial (ICS) y otros sistemas de producción pueden estar en riesgo, pero si los intrusos pueden evadir los obstáculos de seguridad y profundizar aún más, las aplicaciones corporativas clave y los datos relacionados también podrían quedar expuestos. Todo esto es atribuible al firmware cuestionable que se abrió camino en la cadena de suministro que produce sensores, actuadores y otras IIoT operativas.

"Cuando se informa una vulnerabilidad, un fabricante tarda un tiempo en responder a esa vulnerabilidad, obtener un parche y luego para que los propietarios de activos ejecuten la actualización en ese dispositivo y ejecuten la última versión del firmware", explicó Wyckhouse. , que describe cómo pueden persistir incluso las vulnerabilidades conocidas.

En "El estado de la ciberseguridad industrial", un informe de encuesta de julio de 2019 realizado por el Grupo Asesor ARC para Kaspersky, un proveedor de seguridad, más de una cuarta parte (26%) de los encuestados dijeron que consideraban "amenazas de terceros, como el suministro cadena o socios ”era una preocupación importante, y otro 44% dijo que era una preocupación menor. Curiosamente, todos los demás problemas importantes de seguridad, como el ransomware (70%) y los ataques dirigidos (68%), podrían lanzarse contra una empresa a través de una violación de la cadena de suministro.

[Para obtener más información sobre la seguridad de IoT, regístrese en nuestro Cumbre de seguridad de IoT este diciembre.]

En la misma encuesta, el 28% de los encuestados señaló que era "muy probable" o "bastante probable" que el ICS o la red de control industrial de su empresa fueran el objetivo.

La "Encuesta de ciberseguridad de industrias conectadas globales", otra encuesta de 2019 realizada por Irdeto, un equipo de seguridad con sede en los Países Bajos, enfatizó que muchas empresas ya han sido quemadas por ataques invasivos de IoT:"El estudio encontró de manera alarmante que solo el 17% de los dispositivos de IoT usaban o fabricados por grandes empresas no han experimentado un ciberataque en los últimos 12 meses ".

Cómo se comprometen las cadenas de suministro de IIoT

Normalmente, la mayor preocupación sobre la cadena de suministro que alimenta las líneas de producción de una empresa es que la actividad de producción puede interrumpirse, provocando una desaceleración o parada de la producción. Para la cadena de suministro de IIoT, la amenaza es mucho más encubierta y pueden pasar semanas o meses antes de que sus efectos sean evidentes.

Por lo general, cuando se produce una corrupción en la cadena de suministro de IIoT, es más el resultado de un efecto dominó, que enmascara la fuente de la vulnerabilidad.

"Los atacantes tienen algunas víctimas en mente, pero en lugar de ir directamente a las víctimas, van a los proveedores de IoT industrial de nivel 2, comprometen sus sitios web y reemplazan el firmware y software legítimos con versiones troyanizadas", describió Eric Byres, director ejecutivo de Adolus, a empresa que proporciona un servicio de comprobación de firmware.

Los administradores de red de IIoT involuntarios que realizan el mantenimiento adecuado de la red pueden propagar sin saberlo el código hostil. "Ellos van y lo descargan de inmediato y lo llevan a su planta", dijo Byres, "y de repente aparece este malware que ahora está gobernando dentro de su planta, dentro de los cortafuegos, dentro de todo".

Con un pie en la puerta, los intrusos pueden abrirse camino desde las redes industriales y luego violar las redes de datos corporativos. "Los malos atacan un sitio y obtienen este efecto multiplicador creíble", continuó Byres. "Es un retorno de la inversión muy bueno para un atacante".

La mayoría de los entornos de IIoT incluyen cientos o miles de dispositivos más antiguos:sensores y otros componentes que pueden haber estado en su lugar durante una década (o más). Los expertos coinciden en que cuanto más antiguo es el equipo, más probabilidades hay de que presente un riesgo de seguridad porque tiene retrasos en el soporte y las actualizaciones.

Por ejemplo, el informe Finite State describió un componente fabricado por Huawei que incluía código usando una versión de OpenSSL que se lanzó en 2003, y era bien conocido (y documentado) como extremadamente vulnerable.

Es posible que algunas fallas de seguridad de la cadena de suministro de IIoT se hayan insertado intencionalmente, ya sea de manera inocente o con motivos maliciosos. Un ejemplo es una puerta trasera. Una puerta trasera en una pieza de software permite el acceso a partes centrales del firmware y, por lo tanto, al componente en sí sin tener que pasar el proceso de autenticación habitual.

Los fabricantes de componentes suelen dejar abiertas las puertas traseras bien intencionadas para proporcionar un punto de entrada para que los técnicos respalden y controlen el dispositivo. A menudo llamados puertos de depuración, estas puertas traseras también permiten un fácil acceso a los actores malintencionados. De manera similar, las interfaces de programación de aplicaciones (o API) destinadas a permitir la integración con sistemas de control industrial pueden ofrecer inadvertidamente otro medio de comprometer el funcionamiento de un dispositivo. Los países suelen dejar entreabiertas las puertas traseras más nefastas en sus productos exportados, ya que esperan usarlas más adelante para pasar por alto la propiedad intelectual (IP) u otros datos.

En general, la cadena de suministro de IIoT es más salvaje que bien controlada.

"El IoT sigue siendo una tecnología extremadamente no regulada en términos de estándares de seguridad", señaló "IoT Supply Chain Security:Overview, Challenges, and the Road Ahead", un artículo de investigación publicado por Muhammad Junaid Farooq y Quanyan Zhu de la Tandon School de la Universidad de Nueva York. de Ingeniería. “No hay control sobre la cadena de suministro upstream desde el punto de vista del propietario del dispositivo. No todos los proveedores están preparados para articular claramente sus prácticas de seguridad cibernética y divulgar la información de su cadena de suministro ”.

Objetivos de los actores maliciosos y lo que quieren

Las incursiones en la cadena de suministro de IIoT pueden resultar en cualquiera de las situaciones comprometidas que hemos visto causadas por otros tipos de brechas en la red. Pero, dada su propia naturaleza y función, los dispositivos IIoT con "fugas" pueden provocar diversas actividades e interrupciones maliciosas.

El ransomware todavía se destaca como una motivación clave para un ataque. Eso también es cierto para muchas infiltraciones en la cadena de suministro de IIoT, ya que los malos actores pueden retrasar o afectar negativamente la producción hasta que se realice el pago de un rescate.

Las interrupciones de la producción pueden causar estragos aún mayores en un entorno industrial. Al alterar la transmisión de datos de los sensores y otros dispositivos IIoT, la configuración de la máquina se puede manipular, lo que, a su vez, puede causar problemas invisibles en el proceso de fabricación que pueden provocar que los productos defectuosos o las máquinas de la fábrica, como los dispositivos robóticos, funcionen en un lugar inseguro. manera.

Un informe de marzo de 2020 de Buenas prácticas de seguridad de OT señaló que las violaciones del sistema de control industrial pueden tener efectos profundos:“Algunos de ellos incluyen un riesgo significativo para la salud y seguridad de vidas humanas, daños graves al medio ambiente y problemas financieros como pérdidas de producción y impacto negativo en la economía de una nación ”.

Algunas verticales de la industria también se han convertido en objetivos clave.

"Si desea un entorno rico en objetivos con muchos objetivos interesantes, vaya a la energía, vaya a la red eléctrica, vaya al petróleo y el gas", dijo Byres de Adolus. "Y ahora otro entorno rico en objetivos que estamos viendo es el médico debido a la pandemia".

Wyckhouse de Finite State también apunta a la atención médica como un objetivo principal. "De hecho, estamos viendo un aumento de ataques dañinos destructivos y potencialmente mortales en la industria del cuidado de la salud en este momento durante las últimas dos semanas, con ataques de ransomware destruyendo hospitales en medio de la pandemia".

Un gran día de pago no siempre es el objetivo de los atacantes; a veces, la información, como en la propiedad intelectual (PI) crítica, es el objetivo.

Pasar por alto las grietas en un entorno IIoT para llegar a la red de datos corporativos también es una táctica común. “La superficie de ataque crece y se vuelve más complicada cada día”, dijo Wyckhouse. “Hay ciertos casos en los que debería preocuparnos que un actor utilice la cadena de suministro como mecanismo de acceso inicial”.

Cómo hacer frente a las debilidades de la cadena de suministro de IIoT

Para la mayoría de las empresas, crear un entorno IIoT más seguro será una empresa importante, simplemente por la gran cantidad de dispositivos en las redes y sus complicados historiales. Estará un paso adelante si ya tiene un inventario detallado y completo de esos dispositivos, y si no lo tiene, ese es el lugar para comenzar.

Una vez que haya establecido el terreno, el siguiente paso es una evaluación de riesgos de la cadena de suministro. Identifique los riesgos "macro", como situaciones de rescate, corrupción de datos o robo de IP. Pero la evaluación de riesgos también deberá llegar a un nivel más granular, donde cada dispositivo se evalúa para detectar una vulnerabilidad potencial y cómo esa vulnerabilidad puede agravarse en una intrusión de red más amplia.

También conviene echar un vistazo más de cerca a las redes de la empresa y cómo se integran. Puede ser posible, por ejemplo, aislar un IIoT de Internet mediante el uso de espacios de aire para separar el entorno de tecnología de operaciones de las redes de TI.

Los proveedores de dispositivos IIoT también deben ser evaluados, de modo que se comprenda el nivel de sus esfuerzos de seguridad. El mejor momento para esto es cuando su empresa está evaluando la compra de productos porque "el momento en el ciclo de vida de un dispositivo donde el operador tiene la mayor influencia sobre el fabricante es durante la compra de ese dispositivo", según Wyckhouse.

Si las compras de dispositivos IIoT son muchas y frecuentes, sería una buena idea establecer un proceso de evaluación formal para garantizar que todos los proveedores y productos sean examinados adecuadamente.

"No se limite a tomar una pequeña hoja de papel que diga:'Nos tomamos la seguridad en serio'", señaló Byres. "Obtenga un informe adecuado de ellos o diríjase a un tercero y obtenga un análisis adecuado, y realmente averigüe si su proveedor está haciendo los deberes en materia de seguridad".

También puede aprovechar recursos como la base de datos nacional de vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST) para consultar su lista de vulnerabilidades y exposiciones comunes (CVE).

Están surgiendo nuevas clases de servicios y aplicaciones, específicamente para abordar la situación de la cadena de suministro de IIoT. Adolus y Finite State son ejemplos de empresas con servicios que ayudan a los usuarios a determinar la seguridad de los equipos que ya han instalado o están considerando.

Adolus comenzó como un proyecto del Departamento de Seguridad Nacional de EE. UU. Antes de convertirse en un servicio disponible comercialmente. Está construido sobre una base de datos que recopila información publicada y anecdótica relacionada con miles de dispositivos de IoT, incluida una compilación de las vulnerabilidades conocidas. Los usuarios finales o los fabricantes de dispositivos pueden aprovechar la base de datos para rastrear el linaje de un componente y encontrar detalles sobre sus partes constituyentes y proveedores.

"Nuestra tecnología se trata de crear esta lista de materiales de software", dijo el director ejecutivo de Adolus, Eric Byres. “De modo que podríamos tener toda una procedencia no solo sobre el producto base que acaba de comprar e instalar, sino también sobre todos los componentes que lo acompañan”.

Finite State también adopta un enfoque novedoso para este problema. La tecnología de la empresa puede analizar el firmware de forma eficaz para determinar si presenta riesgos para una infraestructura IIoT. Esto es particularmente importante porque, como señala Matt Wyckhouse, CEO de Finite State, “cuando se aplica una actualización de firmware, ese firmware reemplaza todo el software en ese dispositivo. Lo reemplaza por completo y, por lo tanto, puede cambiar completamente el perfil de riesgo del dispositivo ”.