¿Qué es un dispositivo IoT?
Antes de adentrarnos en los problemas y desafíos, tengamos una mejor idea de IoT Dispositivos. Los dispositivos que tienen un sensor conectado y transmiten datos de un objeto a otro o a personas mediante internet se conocen como dispositivos IoT. Los dispositivos IoT son sensores, software, actuadores y dispositivos informáticos inalámbricos. Un dispositivo IoT es cualquier dispositivo que se conecta a una red para acceder a internet; por lo tanto, las computadoras personales, los teléfonos móviles, los altavoces e incluso algunos enchufes se consideran dispositivos IoT.
Hoy en día, incluso los coches y aviones utilizan dispositivos IoT, lo que significa que si estos dispositivos son atacados por agentes de amenazas, podrían ser secuestrados o robados. Con el uso tan extendido de dispositivos IoT a nivel mundial, autenticar y autorizar dispositivos IoT dentro de la red de su organización se ha vuelto vital. Permitir el acceso no autorizado de dispositivos IoT a su red puede provocar que los agentes de amenazas los aprovechen para realizar ataques de malware dentro de su organización.
Necesidad de seguridad en el IoT
Las brechas de seguridad en los dispositivos IoT pueden ocurrir en cualquier momento, incluyendo la fabricación, la implementación de la red y las actualizaciones de software. Estas vulnerabilidades proporcionan puntos de entrada para que los hackers introduzcan malware en el dispositivo IoT y lo corrompan. Además, dado que todos los dispositivos están conectados a Internet, por ejemplo, a través de Wi-Fi, una falla en un dispositivo podría comprometer toda la red, provocando el mal funcionamiento de otros dispositivos. Algunos requisitos clave para la seguridad del IoT son:
- Seguridad del dispositivo, como la autenticación del dispositivo a través de Certificados digitales y firmas.
- Seguridad de los datos, incluida la autenticación del dispositivo y la confidencialidad e integridad de los datos.
- Cumplir con los requisitos reglamentarios y las solicitudes para garantizar que los dispositivos IoT cumplan con las regulaciones establecidas por la industria en la que se utilizan.
Desafíos de seguridad del IoT:
Malware y Ransomware
La cantidad de malware y ransomware utilizados para explotar dispositivos conectados al IoT seguirá aumentando en los próximos años a medida que crece el número de dispositivos conectados. Si bien el ransomware clásico utiliza... cifrado Para bloquear por completo el acceso a los usuarios de varios dispositivos y plataformas, la hibridación de cepas de malware y ransomware está en aumento para integrar múltiples ataques.
Los ataques de ransomware podrían reducir o inhabilitar las funciones del dispositivo mientras roban datos del usuario. Por ejemplo, una simple cámara IP (Protocolo de Internet) puede recopilar información confidencial de su casa, oficina, etc.
Seguridad y privacidad de los datos
La privacidad y la seguridad de los datos son los problemas más críticos en el mundo interconectado actual. Grandes organizaciones utilizan diversos dispositivos IoT, como televisores inteligentes, cámaras IP, altavoces, sistemas de iluminación, impresoras, etc., para capturar, enviar, almacenar y procesar datos constantemente. Todos los datos de los usuarios se comparten o incluso se venden a numerosas empresas, lo que vulnera los derechos de privacidad y seguridad de los datos y genera desconfianza pública.
Antes de almacenar y disociar las cargas útiles de datos de IoT de la información que podría usarse para identificar personalmente a los usuarios, la organización debe establecer pautas de cumplimiento y privacidad específicas que redacten y anonimicen los datos confidenciales.
Las aplicaciones móviles, web, en la nube y otros servicios utilizados para acceder, gestionar y procesar datos asociados con dispositivos IoT deben cumplir con estas directrices. Los datos almacenados en caché que ya no se necesitan deben eliminarse de forma segura. Si se guardan, el mayor desafío será cumplir con las diversas estructuras legales y regulatorias.
Ataques de fuerza bruta
Según informes gubernamentales, los fabricantes deberían evitar vender dispositivos IoT con credenciales predeterminadas, ya que utilizan "admin" como nombre de usuario y contraseña. Sin embargo, estas son solo directrices por el momento, y no existen sanciones legales que obliguen a los fabricantes a dejar de usar este método arriesgado. Además, casi todos los dispositivos IoT son vulnerables al hackeo de contraseñas y a la fuerza bruta debido a credenciales y datos de inicio de sesión débiles.
Por la misma razón, el malware Mirai detectó con éxito dispositivos IoT vulnerables y los comprometió utilizando nombres de usuario y contraseñas predeterminados.
Brecha de habilidades
Hoy en día, las organizaciones se enfrentan a una importante brecha de habilidades en IoT que les impide aprovechar al máximo las nuevas oportunidades. Dado que no siempre es posible contratar a un nuevo equipo, es necesario implementar programas de capacitación. Se deben organizar talleres de capacitación y actividades prácticas adecuadas para hackear un dispositivo inteligente específico. Cuanto más conocimiento tengan los miembros de su equipo sobre IoT, más productivo y seguro será su IoT.
Falta de actualizaciones y mecanismo de actualización débil
Los productos IoT se diseñan pensando en la conectividad y la facilidad de uso. Si bien pueden ser seguros al momento de su compra, se vuelven vulnerables cuando los hackers encuentran nuevas fallas o vulnerabilidades de seguridad. Además, los dispositivos IoT se vuelven vulnerables con el tiempo si no se actualizan periódicamente.
Principales vulnerabilidades del IoT
El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) ha publicado el Vulnerabilidades de la IoT, un excelente recurso tanto para fabricantes como para usuarios.
Protección de contraseña débil
Uso de credenciales fácilmente violables, disponibles públicamente o inmodificables, incluidas puertas traseras en el firmware o software de cliente que otorgan acceso no autorizado a los sistemas implementados.
Las credenciales débiles, adivinables, predeterminadas y codificadas son la forma más fácil de hackear y atacar dispositivos directamente y lanzar botnets a gran escala y otro malware.
En 2018, Ley de IoT SB-327 de California Se aprobó una ley que prohíbe el uso de certificados predeterminados. Esta ley busca solucionar el uso de contraseñas débiles.
Servicios de red inseguros
Los servicios de red innecesarios o inseguros que se ejecutan en los dispositivos, particularmente aquellos que están expuestos a Internet, ponen en peligro la disponibilidad de la confidencialidad, la integridad/autenticidad de la información y abren el riesgo de control remoto no autorizado de dispositivos IoT.
Las redes inseguras facilitan que los ciberdelincuentes exploten las vulnerabilidades de los protocolos y servicios que se ejecutan en los dispositivos IoT. Una vez que han explotado la red, los atacantes pueden comprometer la información confidencial o sensible transmitida entre el dispositivo del usuario y el servidor. Las redes inseguras son especialmente vulnerables a los ataques Man-in-the-Middle (MITM), que roban las credenciales y la autenticación del dispositivo como parte de ciberataques más amplios.
Interfaces de ecosistemas inseguras
Interfaces web, API de backend, en la nube o móviles inseguras en el ecosistema externo al dispositivo que permiten la vulneración del dispositivo o sus componentes. Los problemas comunes incluyen la falta de autenticación/autorización, un cifrado deficiente o deficiente, y la falta de filtrado de entrada y salida.
Las herramientas de identificación útiles ayudan al servidor a distinguir entre dispositivos legítimos y usuarios maliciosos. Interfaces de ecosistemas inseguros, como las interfaces de programación de aplicaciones (APP). (API), Las aplicaciones web y los dispositivos móviles permiten a los atacantes comprometer dispositivos. Las organizaciones deben implementar procesos de autenticación y autorización para autenticar a los usuarios y proteger sus interfaces móviles y en la nube.
Componentes inseguros u obsoletos
Uso de componentes o bibliotecas de software obsoletos o inseguros que podrían permitir la vulneración del dispositivo. Esto incluye la personalización insegura de plataformas de sistemas operativos y el uso de software o hardware de terceros de una cadena de suministro comprometida.
El ecosistema del IoT puede verse comprometido por vulnerabilidades de código y software, así como por sistemas heredados. El uso de componentes inseguros u obsoletos, como software de código abierto o de terceros, puede generar vulnerabilidades de seguridad que amplían la superficie de ataque de una organización.
Falta de protección adecuada de la privacidad
Información personal del usuario almacenada en el dispositivo o en el ecosistema que se utiliza de forma insegura, indebida o sin permiso.
Los dispositivos IoT suelen recopilar datos personales que las organizaciones deben almacenar y procesar de forma segura para cumplir con diversas normativas de privacidad de datos. No proteger estos datos puede resultar en multas, pérdida de reputación y pérdida de negocio. No implementar una seguridad adecuada puede provocar fugas de datos que pongan en peligro la privacidad del usuario.
Configuración predeterminada insegura
Dispositivos o sistemas enviados con configuraciones predeterminadas inseguras o que carecen de la capacidad de hacer que el sistema sea más seguro restringiendo a los operadores la modificación de las configuraciones.
Los dispositivos IoT, al igual que los dispositivos personales, vienen con configuraciones predeterminadas predefinidas que facilitan su configuración. Sin embargo, estas configuraciones predeterminadas son muy inseguras y vulnerables a los atacantes. Una vez comprometidas, los hackers pueden explotar las vulnerabilidades del firmware del dispositivo y lanzar ataques más amplios dirigidos a empresas.
Falta de endurecimiento físico
Falta de medidas de endurecimiento físico, lo que permite a posibles atacantes obtener información confidencial que puede ayudar en un futuro ataque remoto o tomar el control local del dispositivo.
La naturaleza de los dispositivos IoT sugiere que se implementan en entornos remotos, en lugar de en escenarios fáciles de gestionar y controlar. Esto facilita que los atacantes ataquen, interrumpan, manipulen o saboteen sistemas críticos de una organización.
Falta de mecanismos de actualización seguros
Imposibilidad de actualizar el dispositivo de forma segura. Esto incluye la falta de validación del firmware en el dispositivo, la falta de entrega segura (sin cifrar en tránsito), la falta de mecanismos antirretroceso y la falta de notificaciones de cambios de seguridad debido a las actualizaciones.
Las actualizaciones de firmware y software no autorizadas representan una gran amenaza para lanzar ataques contra dispositivos IoT.
Conclusión
Encryption Consulting LLC (EC) se encargará de la descarga completa del entorno de Infraestructura de Clave Pública y construirá la infraestructura PKI para dirigir y gestionar el entorno PKI (local, PKI en la nube, infraestructura PKI híbrida basada en la nube) de su organización. Encryption Consulting implementará y dará soporte a su PKI mediante un conjunto de procedimientos y procesos auditados completamente desarrollados y probados.
No se requerirán derechos de administrador para su Active Directory, y el control sobre su PKI y sus procesos de negocio asociados siempre permanecerá en usted. Además, para garantizar la seguridad, las claves de la CA se guardarán en FIP 140-2 Nivel 3 HSM alojado en su centro de datos seguro o en nuestro centro de datos de Encryption Consulting en Dallas, Texas.
