Por qué "Zero Trust" es la mejor manera de reforzar la seguridad de los dispositivos de IoT

Los expertos en ciberseguridad luchan por mantenerse un paso por delante de los piratas informáticos que buscan explotar las debilidades en millones de dispositivos de Internet de las cosas en todo el mundo. Pero tal vez se estén enfocando en el problema equivocado.

Los dispositivos de IoT impregnan prácticamente todos los aspectos de los negocios en la actualidad y también están logrando avances rápidos en el sector de los consumidores. Cada sensor que se conecta a Internet crea otra vulnerabilidad potencial para su usuario. Por lo tanto, no sorprende que el estado actual de la seguridad de IoT "probablemente no sea muy bueno", como lo describe Gary Kinghorn, director gerente de Tempered Networks.

Cuando la base de datos de los grandes apostadores de un casino es pirateada a través de un termómetro de pecera "inteligente", queda claro que el floreciente universo de IoT tiene un problema grave. El estado de vulnerabilidad de la tecnología "es casi absurdo", dice Kinghorn.

Las empresas que buscan apuntalar sus sistemas de información se han centrado en los propios dispositivos, en particular en la necesidad de contraseñas seguras que supuestamente las protejan de los ladrones cibernéticos. El gobierno también ha tratado de reforzar los dispositivos de IoT a través de medidas como la Ley de mejora de la seguridad cibernética aprobada recientemente. Pero Kinghorn cree que esa no es la respuesta completa, ni siquiera la pregunta correcta.

Cada dispositivo conectado a IoT tiene una dirección IP que lo convierte en un objetivo tentador para los piratas informáticos. Sin embargo, los transmisores simplemente no son tan "inteligentes" como podría sugerir ese adjetivo de moda. "Son dispositivos muy simples", dice Kinghorn. "Nunca serán lo suficientemente sofisticados como para analizar una conexión de red legítima o una solicitud de datos".

En cambio, los usuarios deberían centrarse en lo que Kinghorn llama "el agujero real" en la seguridad:la red en sí. La clave es asegurarse de que los vectores de ataque no estén disponibles para los piratas informáticos. Y para hacer eso, los sistemas deben adoptar un modelo de "confianza cero" para autorizar la entrada.

El término significa que "no confías en nada que intente conectarse a tu red, incluso en aplicaciones o dispositivos de tus propios usuarios internos, a menos que estén específicamente autorizados", explica Kinghorn. Piense en una "lista blanca" que protege una línea telefónica de estafadores, vendedores por teléfono y llamadas automáticas bloqueando todos los números excepto los previamente designados.

Un entorno de confianza cero garantiza que "todo el tráfico se mueva a través de la red cifrado, por lo que no hay intercepciones ni ataques de intermediarios", dice Kinghorn. La política de seguridad de la organización se administra en torno a la identificación inicial de dispositivos y usuarios, en lugar de depender de la confiabilidad de los sensores de IoT.

Dicho sistema restringe el acceso a la red incluso a los dispositivos más confiables. En el caso del casino pirateado, Kinghorn pregunta, ¿por qué ese termómetro de pecera estaba vinculado a la base de datos del cliente en primer lugar? "Solo se le debe permitir acceder a un sistema, el que habla de la temperatura del tanque".

La confianza cero hace posible que los sistemas bloqueen sensores individuales de la red más grande. Entonces, ¿por qué no han adoptado el concepto más usuarios públicos y privados, incluso cuando continúan aumentando las brechas de seguridad?

Kinghorn encuentra algunas respuestas en el Informe de adopción de confianza cero de Cybersecurity Insiders. Encuentra un alto nivel de entusiasmo sobre el modelo de confianza cero, con el 78% de los TI encuestados. equipos de seguridad que expresan interés en implementar el acceso a la red de confianza cero en el futuro. Están respondiendo a la necesidad de reforzar la seguridad del sistema en un momento en que las empresas recurren a la nube pública e intentan administrar de forma segura la fuerza laboral móvil.

Al mismo tiempo, el 47% de la muestra dijo que carece de confianza en la capacidad de su tecnología de seguridad actual para implementar la confianza cero. Solo el 15% ya cuenta con un sistema de este tipo, y alrededor del 20% no ha aportado mucho a la tecnología.

El costo es un factor limitante, dice Kinghorn. La confianza cero puede ser costosa de lograr, con la necesidad de "extraer y reemplazar" algunas tecnologías de I.T. sistemas, y en su forma actual no siempre se extiende a aplicaciones fuera del centro de datos.

"Ese es nuestro objetivo", dice Kinghorn, "poder aplicar la confianza cero a cualquier red o dispositivo, a través de una combinación de un agente de software típico y dispositivos de puerta de enlace cableados".

Cuando se trata de actualizaciones tecnológicas, el cambio rara vez es fácil. ESO. Los equipos de seguridad pueden sentirse cómodos con los firewalls tradicionales y las redes privadas virtuales (VPN), o preocuparse por la molestia de requerir autenticación multifactor. Pero la confianza cero se puede configurar con un inicio de sesión único y los agentes se pueden instalar en cuestión de minutos, afirma Kinghorn. "No es onerosamente costoso", dice, "aunque algunas organizaciones pueden hacerlo así".

Él ve que el interés en la confianza cero aumenta rápidamente, especialmente en respuesta a la pandemia de COVID-19 y los problemas de seguridad adicionales que ha traído a I.T. departamentos. Y aunque la aceptación total de la tecnología puede llevar algún tiempo, no avanzar expondrá a las empresas a ataques cada vez más dañinos por parte de piratas informáticos creativos.

Los sistemas heredados de ayer no están equipados para abordar las amenazas cibernéticas de hoy en día, dice Kinghorn. “La pila de protocolos IP tiene 50 años. Nunca fue diseñado para hacer lo que I.T. se les pide a las organizaciones que lo hagan hoy. Por eso necesitamos un modelo completamente nuevo ".