Gestionar el riesgo de IoT: Regulaciones, marco de referencia, seguridad, riesgo y analítica

¿El reciente ataque de denegación de servicio distribuido (DDoS) en Dyn¹ marca oficialmente el paso de la etapa de temor, incertidumbre y duda (FUD) de las cosas de Internet (IoT), o es aún el comienzo de ¿el escenario? IOT FUD se refiere a vulnerabilidades de IoT que conducen a la pérdida de datos, servicio y posiblemente vida. Tradicionalmente, FUD sobre un incumplimiento de la seguridad o incumplimiento de la normativa es el principal impulsor para que la administración invierta en seguridad de la información. El mismo FUD se aplica a la seguridad de IoT, aunque involucra múltiples variables que deben ser consideradas. La resolución de abordar la seguridad de dispositivos IOT en varios niveles—hardware y software, gobierno y empresa, servicios—es generalizada. Esta resolución en aumento se debe principalmente a la gran cantidad de dispositivos IoT que están disponibles y la facilidad con la que estos dispositivos pueden ser comprometidos y convertidos en thingbots. Thingbots son botnets de dispositivos IoT infectados que pueden ser utilizados para lanzar ataques que son como el ataque Dyn, que afectó a más de un millón de dispositivos, de los cuales alrededor del 96 por ciento eran dispositivos IoT.^{2, 3}

El problema principal es con el hardware del dispositivo IoT, que se fabrica principalmente fuera de los Estados Unidos y necesita ser regulado.⁴ El sector de la industria del retail ha sido el principal adoptante de la tecnología IoT porque llega directamente a numerosos clientes, a diferencia del sector de la salud, que no tiene beneficios que son transparentes de inmediato para el usuario final y tiene mayor riesgo.

Seguridad IoT—El plan del juego

El plan de juego para la seguridad IoT proporciona una visión general del ecosistema IoT y aborda las normas, marcos y propuestas de regulación que se han desarrollado recientemente. La figura 1 representa un ecosistema de IoT en el que la seguridad de la información forma parte integral.

Normas IoT y desarrollo del marco
Una repercusión positiva del ataque Dyn DDoS fue el lanzamiento de principios y directrices para asegurar el IoT por el Departamento de Seguridad Nacional (DHS) de los Estados Unidos, en 2016.^{5, 6} Estas directrices no son legalmente obligatorias, pero son sin duda un signo de un buen comienzo hacia la seguridad del dispositivo IoT.

Algunas de estas directrices son mantras bien conocidos para la mayoría de los profesionales de seguridad en el juego:

• Aprovechar la seguridad de la fase de factibilidad.
• Aplicar actualizaciones de seguridad, correcciones y gestión de vulnerabilidades.
• Seguir las prácticas de seguridad probadas.
• Priorizar los controles basados en la magnitud o el impacto.
• Proporcionar supervisión y adecuada gobernanza de la IOT.
• Conecte el dispositivo fuera de la red si no hay una necesidad absoluta de negocio.

También en 2016, se aprobaron exenciones a la Ley de Derecho de Autor de EEUU que permiten a los investigadores independientes ser capaces de hackear casi cualquier dispositivo IoT.⁷ Aunque se aplican numerosas limitaciones a las exenciones, se concedieron durante dos años. Esto ayudará a los investigadores a desbloquear software para su investigación sin ninguna implicación legal. Las intenciones son correctas, pero el impacto de este cambio, positivo o negativo, está por verse.

El Consorcio Industrial de Internet, compuesto principalmente por empresas relacionadas con IoT, desarrolló el IISF (Industrial Internet Security Framework), que describe las mejores prácticas para ayudar a los desarrolladores y usuarios finales a evaluar el riesgo de IoT y posiblemente defendiendo contra este riesgo.⁸ A principios de 2017, la Comisión Federal de Comercio de los Estados Unidos (FTC, por sus siglas en inglés) anunció que está otorgando premios en dinero a cualquier persona que desarrolle una herramienta innovadora que detecta y protege los dispositivos del hogar de vulnerabilidades del software.⁹

Otro desarrollo reciente en la seguridad IoT es el marco de seguridad Sigma Designs S2, que formará parte de cada dispositivo IoT certificado por Z-Wave que se fabrique después de marzo de 2017 y sea compatible con versiones anteriores en los chipsets Z-Wave IoT existentes, lo que hace que los dispositivos sean más seguros.¹⁰

Propuestas Regulatorias
El investigador de seguridad cibernética y profesor de la Universidad de Harvard, Bruce Scheiner, propuso recientemente una industria de IOT más regulada en una reunión con dos subcomités de la Cámara de Representantes de Estados Unidos: el Subcomité de Comunicaciones y Tecnología y el Subcomité de Comercio, Manufactura y Comercio.¹¹ Presentó la comparación del costo frente al incentivo y el impulso para que los fabricantes de dispositivos IoT corrigieran las vulnerabilidades periódicamente. Scheiner señaló que la mayoría de los dispositivos IoT ofrecen beneficios más bajos y que los dispositivos más frecuentemente reemplazados, como los teléfonos inteligentes, son parchados con más frecuencia, en comparación con los dispositivos que rara vez se reemplazan, como termostatos y refrigeradores. Los coches inteligentes y los reproductores de Blu-ray se encuentran entre estos. Los termostatos de IoT y los refrigeradores que no es probable de ser reemplazados tienen un mayor riesgo, si no se parchan. Si no hay un beneficio o costo beneficio para el fabricante para que aplique un parche a un producto menos frecuentemente reemplazado, no hay un impulso para que el fabricante aplique parches con regularidad; por lo tanto, debe ser regulado. El otro lado de este argumento es que la regulación de la industria de IoT frenaría el crecimiento de la innovación.

La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA, por sus siglas en inglés) ha estado proporcionando alguna guía a los fabricantes sobre las mejores prácticas para construir seguridad en dispositivos médicos desde octubre de 2014. En diciembre de 2016, la FDA agregó una guía que enumera las mejores maneras para asegurar los dispositivos médicos después de que entren en la mano del consumidor, principalmente para prevenir cualquier daño a los pacientes. La guía también indica que los fabricantes de dispositivos de IoT deben informar a la FDA si el uso de un dispositivo ha resultado, o puede resultar, en cualquier tipo de daño grave o la muerte de una persona. La notificación a la FDA se renuncia sólo si los clientes y usuarios de los dispositivos son notificados acerca de la vulnerabilidad en el dispositivo en un plazo de 30 días, el dispositivo se arregla en 60 días y esta información se comparte con la Organización de análisis y compartición de información (ISAO).^{12, 13} La premisa es algo similar a las sanciones de reconocimiento óptico de caracteres (OCR) en las violaciones de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA por sus siglas en inglés), pero la diferencia es que las guías de la FDA son solo recomendaciones y no son legalmente vinculantes. Se cree que estas guías conducirán eventualmente a la legislación, como en el caso de HIPAA.

Más recientemente, el Comité de Comercio del Senado de los EEUU aprobó la Ley de Desarrollo de la Innovación y Crecimiento de Internet de las Cosas (DIGIT). Actualmente está esperando la aprobación del pleno del Senado. La Ley DIGIT crea un grupo de trabajo que se centrará en la seguridad, la privacidad y otras cuestiones relacionadas con IoT.¹⁴

El juego de la seguridad IoT

Se calcula que el número de dispositivos IoT conectados alcanzará los 200 mil millones en 2020.¹⁵ Asimismo, se calcula que aproximadamente 4 mil millones de personas estar en línea para 2020.¹⁶ La exposición en línea aumenta múltiple en 2020 por la simple razón de que las interacciones hombre-máquina (H2M) aumentan junto con las interacciones máquina-máquina (M2M).

La Arena de IoT
La figura 2 muestra una arquitectura IOT conceptual. Los dispositivos IoT caen generalmente en una de dos categorías: un tipo de dispositivo interactúa con un pórtico y el otro tiene un pórtico integrado en el dispositivo. La segunda categoría de dispositivos incluye principalmente dispositivos que necesitan estar en movimiento constante, por ejemplo, coches inteligentes y artículos de fitness.

Defensa
La defensa comienza a nivel de chip o hardware. El hardware en el que se construye el dispositivo IoT constituye la base para un dispositivo IoT robusto y seguro. Esto es como establecer una base sólida para una casa para asegurar un producto final estable y sostenible.

Nivel del fabricante del dispositivo
Como se muestra en la figura 1, el chip y el hardware del dispositivo IoT es donde comienza el ciclo de vida de un dispositivo IoT y es también el momento adecuado para dirigir el proceso en el camino correcto.

Hardware
Las principales amenazas a un dispositivo IoT en el nivel de hardware son que puede ser robado, modificado físicamente, reemplazado y clonado. Los ejemplos de vulnerabilidad de hardware incluyen las contraseñas predeterminadas débiles pre-configuradas o las credenciales codificadas con código de seguridad y los circuitos integrados falsificados.

La Fundación para la Seguridad de Internet de Cosas (IoTSF), una organización sin fines de lucro, ayuda a todos los fabricantes, vendedores y usuarios finales de IOT a ayudar a proteger los dispositivos IoT.¹⁷ Sin embargo, la mejor contramedida para combatir las vulnerabilidades de hardware es regular el proceso de fabricación de un dispositivo IoT. Los fabricantes de dispositivos IoT deben ser responsables de no adherirse a las normas regulatorias de IoT (no hay normas al momento de escribir este documento), las normas industriales y/o directrices. Hoy en día, no hay implicaciones legales para no seguir los estándares, pero puede haber un retroceso en el nivel de la empresa en la adopción de un dispositivo IoT de calidad inferior de un fabricante. Este rechazo puede evitar la mayoría de las vulnerabilidades de hardware y debilidades de software que pueden estar disponibles de forma inherente en dispositivos IoT. Si las vulnerabilidades de hardware no se mitigan, el resto de los controles, metodologías, marcos, tiempo, recursos e inversiones para que los dispositivos IoT sean seguros no puede ser eficaz.

Algunos de los reglamentos y el rechazo deben ser impulsados por los respectivos gobiernos, con la ayuda de la comunidad de seguridad.

Software
Las principales amenazas al software o al firmware en los dispositivos IoT son que el software puede modificarse o descompilarse para extraer credenciales y apalancarse para realizar los ataques DDoS. Las vulnerabilidades en el nivel de software son:

• Código inseguro
• Contraseñas predeterminadas codificadas en disco duro
• Pruebas inadecuadas de software que conducen a puertas traseras
• Ausencia de autenticación fuerte durante M2M

H2M y las interacciones entre máquinas (M2H) El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) ayuda a los fabricantes de IOT a construir software IoT seguro y clasifica periódicamente las 10 vulnerabilidades de software IoT.

Nivel de empresa/red
Al igual que otros dispositivos de red, las amenazas de dispositivos IoT más comunes a nivel de empresa/ red son los ataques de escucha espontánea, los ataques de man-in-the-middle (MiTM) y el robo de ancho de banda. Los tres pasos sugeridos para proteger contra estas amenazas son.¹⁸

1. Identificar e inventariar los dispositivos IoT en la empresa y asegurarse de que estén integrados en el programa de gestión de activos empresariales.
2. Definir estándares y líneas de base para la seguridad del dispositivo IoT basada en políticas y estándares empresariales.
3. Implementar los controles de seguridad necesarios para mitigar el riesgo de IoT.

Se recomienda la segmentación de todos los dispositivos IoT en una zona de red separada, lo que facilita la cuarentena de toda la zona IoT en caso de una violación.¹⁹ El resto de TI puede continuar sus operaciones sin ningún impacto importante.

Si la segmentación y la zonificación no son factibles, se sugiere adoptar un modelo de red de software definido (SDN) que no sólo mejora la seguridad de IoT, sino que también ayuda a identificar la ubicación de la brecha.²⁰

Otros controles comunes que deben implementarse para dispositivos IoT son los mismos controles que se aplican a la mayoría de la infraestructura de TI de hoy. Son autenticación de dos factores, contraseñas más fuertes o autenticación basada en claves.

Es de suma importancia darse cuenta de que la clave para que estas metodologías de defensa funcionen como se espera es asegurar los dispositivos IoT y la red desde el día en que se introducen en la red. Si no, la posibilidad es alta de que estos dispositivos IoT son hackeable para siempre y no podrán ser parchados y protegidos. Si se detecta un dispositivo IoT pícaro, debe ser reemplazado inmediatamente.²¹

Los dispositivos IoT deben ser capaces de llevar a cabo una autenticación multifactorial, por ejemplo, llamar al usuario/propietario humano del dispositivo IoT, antes de que el usuario/propietario realice la actualización de seguridad.

La autenticación de infraestructura de claves públicas (PKI) para la comunicación entre dispositivos IoT y pórticos es una contramedida recomendada para evitar que un dispositivo IoT sea interrumpido para instalar software no autorizado. Sólo se debe permitir instalar software certificado durante las actualizaciones y parches.

Se están introduciendo marcos que pueden ayudar a implementar un robusto modelo de seguridad para dispositivos IoT. El producto KeyScaler 5.0 de Device Authority ofrece el aprovisionamiento de certificados y claves específicamente para dispositivos IoT durante el proceso de registro.²²

Ofensiva
La mejor defensa siempre comienza con una buena ofensiva. La detección temprana y la prevención de ataques en tiempo real es la prioridad de los equipos de seguridad y se ha convertido en el nuevo mantra. Muchas infracciones recientes ocurrieron hace meses o en algunos casos años atrás (por ejemplo, la violación de Yahoo), antes de que fueran detectadas y los procesos de respuesta comenzaron.²³

Pruebas
Las pruebas de calidad del software IoT son totalmente diferentes de las pruebas de software tradicionales. Autonomía, conectividad e impulso son los tres factores que hacen que las pruebas de calidad de software IoT difieran de las pruebas de software tradicionales.²⁴ El concepto de que la seguridad es un proceso y no un complemento es bien conocido. Las pruebas de software IoT para contraseñas más débiles, vulnerabilidades de desbordamiento de búfer, etc., deben seguir las mejores prácticas de OWASP. Los dispositivos IoT también deben probarse en puertos de bus serie universal (USB) para vulnerabilidades. La clave es reducir la superficie de ataque del dispositivo IoT en la máxima medida posible. Además, al igual que cualquier otro sistema de TI que esté cerca de Internet, se debe almacenar, transmitir y procesar sólo la cantidad mínima de información confidencial.²⁵

Gestión de riesgos de IOT
Forescout categoriza los dispositivos IoT en tres niveles:

• Desastroso—Dispositivos conectados a IP que conectados directamente a Internet están en alto riesgo. Pueden causar daños a la empresa al obtener acceso a información confidencial o causar deterioro de la infraestructura crítica.
• Disruptivo—Los sistemas interconectados, como los teléfonos e impresoras de voz sobre Protocolo de Internet (VoIP), pueden provocar interrupciones en las operaciones del negocio.
• Perjudicial—Los dispositivos tales como bombillas y refrigeradores inteligentes pueden usarse para husmear alrededor de la red de la empresa para obtener acceso a Metadatos sobre la red.²⁶

La orientación de la FDA recomienda que los fabricantes de dispositivos formen o se unan a una organización de intercambio y análisis de información (ISAO), que es similar a los centros de intercambio de información y análisis que existen hoy en día. Un ISAO puede ayudar a las organizaciones participantes compartiendo amenazas y riesgos de seguridad en tiempo real y diseñando respuestas oportunas.

Análisis y detección
Los recientes avances en el análisis de datos improvisan la métrica de inteligencia accionable para la seguridad. Productos como Adaptive Defense no sólo proporcionan a los equipos de seguridad información sobre los ejecutables que entran en la red, sino que también confirman de forma proactiva un incidente, en lugar de simplemente alertar sobre todos los eventos sospechosos.²⁷ PatternEx combina la inteligencia artificial (AI) con la intuición del analista para ofrecer una plataforma de predicción de amenazas que detecta las amenazas actuales y emergentes en tiempo real en toda la empresa. Esto va a ser y debe ser la tendencia hacia adelante, especialmente con los limitados recursos y analistas, monitoreo continuo, presupuestos de seguridad, y más dispositivos que se agregan a la red creando aún más formas de ser hackeado. Determinar el punto en el que realmente ocurrió una intrusión después de detectar que sucedió es la clave. AI (inteligencia artificial) puede, con suerte, reducir el tiempo y los recursos que se necesitan para detectar una intrusión pronto.

Gobernanza del equipo IOT

El riesgo de un dispositivo IoT inseguro es relativo en función del dominio en el que se opera y de la jurisdicción en la que se desarrolla. Por ejemplo, la privacidad está en mayor riesgo cuando el dispositivo maneja información de salud protegida (PHI), en comparación cuando está en una instalación industrial, en la que la infraestructura o los servicios están en riesgo. La geografía de donde opera el dispositivo de IoT también es importante porque las fijaciones legales y regulatorias pueden diferir de un lugar a otro. El gobierno de los dispositivos IoT debe ser manejado por separado, pero bajo el paraguas de gobierno de TI. Los cuatro factores críticos de éxito que contribuyen a un proyecto eficaz de IOT son un equipo de gestión de proyectos de IOT eficiente, un stakeholder del proyecto que tiene la autoridad para impulsar el proyecto IoT, datos e Infraestructura de telecomunicaciones para apoyar IoT, y expertos en la materia para mantener la alta calidad de datos y problemas de integración.²⁸

A nivel de gestión de proyectos, los ocho pasos²⁹ que pueden ayudar a las empresas a implementar un programa de seguridad IOT sostenible son:

1. Identificar información
2. Priorizar los dispositivos
3. Evalúe el riesgo de pérdida de datos
4. Evalúe el riesgo de acceso de IoT
5. Realizar planificación de respuesta a incidentes de IOT
6. Formular una gran estrategia de datos para gestionar la vasta cantidad de datos de IoT generados
7. Elaborar políticas para la privacidad de los datos de los sensores
8. Proteja los dispositivos IoT

Conclusión

La huella de IoT variará en tamaño según la industria vertical. A medida que las empresas avanzan en el carro de IoT para ser más rentables y poder llegar a un cliente extendido base, necesitan tener una estrategia IoT que abarque todo el ciclo de vida del dispositivo IoT (desde la adquisición hasta el final de la vida útil) en su lugar. Las empresas necesitan construir una estrategia de riesgo de IoT que evalúe y maneja el riesgo. Considerar IoT como parte de la cartera general de seguridad y gestión de riesgos y tener un enfoque dedicado a evaluar continuamente y monitorear el riesgo de IoT. La adopción temprana de la seguridad en el ciclo de vida del dispositivo IoT, a nivel de hardware y software, es la mejor práctica. El factor FUD mencionado anteriormente continuará impulsando a la administración a invertir en seguridad de la información y, más específicamente, seguridad de IoT en un futuro próximo, al menos hasta que el riesgo de brechas se reduzca.

Notas Finales

¹ York, K.; “Dyn Statement on 10/21/2016 DDoS Attack,” Oracle, 22 October 2016, http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/
² Ibid.
³ Martin, C.; “U.S. to Issue IoT Principles After Internet Cyberattack,” MediaPost, 26 October 2016, www.mediapost.com/publications/article/287614/us-to-issue-iot-principles-after-internet-cybera.html
⁴ Atluri, I.; “The Rewards and Risks of Our Smarter Future,” InfoSecurity Professional, International Information Systems Security Certification Consortium, Inc. November/December 2014
⁵ Op cit, Martin
⁶ Martin, C.; “U.S. Issues Guidelines for IoT Security,” MediaPost, 18 November 2016, www.mediapost.com/publications/article/289288/us-issues-guidelines-for-iot-security.html
⁷ Armerding, T.; “Feds Provide Legal Loophole to Hacking IoT Devices,” CSO, 28 November 2016, www.csoonline.com/article/3144648/internet-of-things/feds-provide-legal-loophole-to-hacking-iot-devices.html
⁸ Lawson, S.; “Industrial IoT Inches Toward Consensus on Security,” ComputerWorld, 19 September 2016, www.computerworld.com/article/3122244/internet-of-things/industrial-iot-inches-toward-consensus-on-security.html
⁹ Federal Trade Commission, “FTC Announces Internet of Things Challenge to Combat Security Vulnerabilities in Home Devices,” USA, 4 January 2017, www.ftc.gov/news-events/press-releases/2017/01/ftc-announces-internet-things-challenge-combat-security
¹⁰ Zurier, S.; “Z-Wave Alliance Ups IoT Security,” SC MEDIA, 12 December 2016
¹¹ Gross, G.; “US Lawmakers Balk at Call for IoT Security Regulations,” CSO, 16 November 2016, www.csoonline.com/article/3141920/security/us-lawmakers-balk-at-call-for-iot-security-regulations.html
¹² CNBC, “New Cybersecurity Guidelines for Medical Devices Tackle Evolving Threats,” The Verge, 29 December 2016, www.cnbc.com/2016/12/29/new-cybersecurity-guidelines-for-medical-devices-tackle-evolving-threats.html
¹³ Food and Drug Administration, “Postmarket Management of Cybersecurity in Medical Devices: Guidance for Industry and Food and Drug Administration Staff,” USA, 28 December 2016, www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM482022.pdf
¹⁴ Zurier, S.; “No Clear Policy,” SCMagazine, March 2017
¹⁵ Sun, L.; “IoT Stocks: What to Watch in 2017,” The Motley Fool, 23 November 2016, www.fool.com/investing/2016/11/23/iot-stocks-what-to-watch-in-2017.aspx
¹⁶ Microsoft Secure Blog Staff, “The Emerging Era of Cyber Defense and Cybercrime,” Microsoft Secure Blog, 27 January 2016, http://blogs.microsoft.com/microsoftsecure/2016/01/27/the-emerging-era-of-cyber-defense-and-cybercrime/
¹⁷ Dickson, B.; “Why IoT Security Is So Critical,” TechCrunch, 24 October 2015, https://techcrunch.com/2015/10/24/why-iot-security-is-so-critical/
¹⁸ Moyle, E.; “Three Steps to Better Security in IoT Devices,” TechTarget, July 2016, http://internetofthingsagenda.techtarget.com/tip/Three-steps-to-better-IoT-device-security-in-the-enterprise
¹⁹ Kerravala, Z.; “How Network Segmentation Provides a Path to IoT Security,” NetworkWorld, 17 December 2015, www.networkworld.com/article/3016565/security/how-network-segmentation-provides-a-path-to-iot-security.html
²⁰ D’Abreo, C.; “What CIOs Need to Know About IoT and Security Risks,” Masergy Blog, 21 October 2015, www.masergy.com/blog/what-cios-need-know-about-iot-and-security-risks
²¹ SecureRF, “Why Dyn Suffered a DDoS Attack and How Consumer IoT Device Security Vulnerabilities Can Be Addressed,” 23 October 2016
²² Stephenson, P.; “Access Control,” SC Magazine, 14 December 2016
²³ Cross, K.; “This Is the New Reality for Cyber Security: Accept That Hackers Will Get In,” MarketWatch, 10 December 2016, www.marketwatch.com/story/this-is-the-new-reality-for-cyber-security-accept-that-hackers-will-get-in-2016-12-09
²⁴ Lawton, G.; C. McKenzie; S. Raman; “IoT Applications Pose New Problems for Developers,” TechTarget, February 2016, http://internetofthingsagenda.techtarget.com/ehandbook/IoT-applications-pose-new-problems-for-developers
²⁵ Sullivan, D.; J. Sullivan; “IoT Security Testing: Cover All Your Bases,” TechTarget, May 2016, http://internetofthingsagenda.techtarget.com/feature/IoT-security-testing-Cover-all-your-bases
²⁶ ForeScout Technologies, Inc., How Hackable Is Your Smart Enterprise?, USA, 2016, https://www.forescout.com/wp-content/uploads/2016/10/iot-enterprise-risk-report.pdf
²⁷ Zurier, S.; “When It Comes to IoT, More Security Is Needed,” SC Magazine, 12 December 2016
²⁸ Schulz, Y.; “Critical Success Factors for IoT Projects,” ITWorldCanada Blog, 25 June 2015, www.itworldcanada.com/blog/critical-success-factors-for-iot-projects/375399
²⁹ O’Donnell, L.; “8 Strategic Steps for Long-Term IoT Security,” ITbestofbreed.com, 20 March 2015, www.itbestofbreed.com/slide-shows/8-strategic-steps-long-term-iot-security/page/0/2