Seguridad de la red en la era de Internet de las cosas

Los dispositivos inalámbricos y las tecnologías inteligentes se están incorporando cada vez más al lugar de trabajo, representando en ocasiones un riesgo creciente para los datos de la empresa.

Internet de las Cosas (IoT por sus siglas en inglés) es una invención comparativamente reciente. Hace diez años, solo nos preocupaba proteger nuestras computadoras y fue solo hace cinco años, cuando necesitábamos proteger nuestros teléfonos inteligentes.

Ahora debemos considerar proteger nuestros refrigeradores, sistemas de calefacción y máquinas industriales para proteger las redes de la compañía.

El IoT está creciendo rápidamente. Los investigadores estiman que para el año 2020, la cantidad de dispositivos conectados a la red activa superará los 40 mil millones. Estos dispositivos se están convirtiendo en un objetivo cada vez más atractivo para los delincuentes, ya que más dispositivos conectados significan más vectores de ataque y posibles vulnerabilidades.

Alguna vez ignorada, la seguridad de IoT se ha convertido en un tema de gran preocupación. El año pasado, un casino estadounidense se vio comprometido a través de piratas informáticos que accedieron a su red, a través de una pecera inteligente. Se filtraron más de 10 GB de datos antes de que se detectara y bloqueara la intrusión. Del mismo modo, se ha descubierto que los refrigeradores inteligentes son parte de "Botnets" (un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática.).

Estos no son incidentes aislados. Colin Tankard, director general de Digital Pathways, dice: "La gente podría entrar y atacar el sistema de calefacción y ventilación, que está en la columna vertebral de una organización. A partir de ahí, podrían comenzar a identificar lo que hay en la red y encontrar otras máquinas u obtener acceso a otro sistema, simplemente porque los sistemas están mal protegidos y mal administrados.

"Cada equipo involucrado en la administración de instalaciones y operaciones de red generalmente, tiene visibilidad de los sistemas de los demás; esto crea islas de información autónoma. El problema es que, si un sistema/grupo ve un problema, solo se ve en su sistema. Esta falta de visión interconectada es lo que los hackers explotan ", agregó Colin Tankard.

Uno de los problemas principales de los dispositivos IoT, es que a pesar de estar conectados a la red, originalmente no se los consideraba una amenaza. Esto es cierto cuando se consideran entidades separadas, pero cuando se conectan a una red corporativa más amplia, este dispositivo conectado a la red con seguridad débil, se convierte en un punto vulnerable de la red y en un riesgo para la seguridad de los datos.

Los dispositivos de IoT también están siempre conectados, siempre activados y por lo general, usan una autenticación de única vez, lo que los convierte en objetivos ideales para la infiltración de la red. "Una vez que un pirata informático ha accedido al sistema y ha iniciado sesión, no hay revisiones secundarias y, a menudo, no hay registros de eventos", dice Tankard. "Desde aquí pueden instalar malware o cualquier otro software de monitoreo sin enviar alertas a la consola del sistema o, lo que es peor, a cualquier Sistema de Detección de Intrusiones (IDS por sus siglas en inglés) instalado dentro de la organización.

"Por lo tanto, el acceso pasa desapercibido. Estos sistemas no son particularmente inteligentes fuera de su propósito previsto. No informan sobre otro sensor hostil que se adjunta, o un cambio que se realiza dentro del sistema central ".

Otro problema es que las máquinas industriales conectadas a la red, a menudo ejecutan sistemas propietarios. Los paquetes de datos de estas unidades industriales aparecerán como comandos anómalos por los Sistemas de Detección de Intrusos y los Sistemas de Protección Contra Intrusos (IPS por sus siglas en inglés). Dependiendo de la configuración del sistema, estos a menudo pueden pasarse por alto. Se requiere una verificación rigurosa en caso de que sean maliciosos.

"Algunas máquinas y dispositivos sí ejecutan protocolos impares, el IDS lo vería como un protocolo extraño y no sabría qué hacer", dice Tankard. "En el pasado, un administrador miraba eso, veía que era algo así como el antiguo sistema de calefacción y no lo investigaba más, por lo que tenía otro exploit potencial".

Además, los dispositivos IoT no se reemplazan tan a menudo como las computadoras. Una vez que la computadora de una organización llega al final del servicio, generalmente cuando expira la garantía de tres años, la máquina se reemplaza con un modelo más nuevo. Pero para los dispositivos conectados a la red, los ciclos de reemplazo pueden ser mucho más largos. Por ejemplo, una máquina industrial típica o sistema de calefacción, podría reemplazarse cada 10 a 15 años, tiempo durante el cual la garantía habrá expirado.

El soporte para estos dispositivos disminuye a medida que los proveedores se vuelven más viejos, ya que los proveedores cambian su enfoque de apoyar los dispositivos heredados a la promoción de nuevos productos. Eventualmente las actualizaciones de seguridad y los parches de firmware se detienen, a medida que los proveedores retiran el soporte de los dispositivos heredados, asumiendo que ese soporte existía en primer lugar.

No es posible reemplazar los dispositivos y máquinas conectados a la red más antiguos, ya que el costo de reemplazar la maquinaria industrial cada tres años sería prohibitivo. Del mismo modo, simplemente no hacer nada dejaría a la organización con vulnerabilidad en su red.

Lo primero que deben hacer las organizaciones es asegurarse de que todos los dispositivos IoT se actualicen correctamente, y se apliquen las últimas actualizaciones de seguridad disponibles para los dispositivos. Actualizar manualmente cada dispositivo simplemente no es factible, debido a la cantidad de dispositivos que una organización puede esperar tener. Del mismo modo, las actualizaciones automáticas pueden conllevar el riesgo de ser explotadas. La solución ideal sería ejecutar en seco la actualización en un dispositivo de prueba para verificar que la actualización funciona correctamente.

Evaluación de riesgos

Las organizaciones deben considerar realizar una evaluación de riesgos del peligro que supone la instalación de una actualización vulnerable para cada dispositivo conectado a la red, así como evaluar cada actualización caso por caso, y además  este proceso debe incorporarse a la estrategia de protección de datos de la organización. "Las empresas deben tener una visión completa de dónde se encuentra el dispositivo, cómo se usa y la administración del acceso corporativo que incluye", dice Stuart Aston, asesor de seguridad nacional de Microsoft UK.

A medida que los dispositivos conectados a la red continúen utilizándose más allá de la garantía del servicio y los parches de seguridad dejen de estar disponibles, las organizaciones deberían implementar medidas de seguridad adicionales implementando una actualización de la infraestructura de esos dispositivos de fin de servicio, o cerrándolos con otras medidas de seguridad para reducir el riesgo de una violación del sistema.

Esto puede llegar a ser costoso con el tiempo, por lo que las evaluaciones financieras deben realizarse para determinar cuándo es más rentable reemplazar los sistemas heredados. "Las organizaciones deben aceptar que llega un punto en el que los sistemas ya no se repararán ni actualizarán", dice Tankard. "Tienen que duplicar sus esfuerzos en el cuidado de su sistema y asegurarse de que no se explota o una vulnerabilidad para ellos".

Las organizaciones deberían, como estándar, encriptar su red, independientemente de si tienen dispositivos IoT conectados o no. Los comandos y valores también deberían estar encriptados. Los dispositivos también deben configurarse con Capa de Conexión Segura (SSL por sus siglas en inglés), si están disponibles.

Los sistemas IDS e IPS se pueden instalar para monitorear continuamente las redes, así como para enfocarse en las Pasarelas (Gateways) de la red, el punto en el que dos redes interactúan.

Las redes también se pueden dividir en una serie de subredes, con los dispositivos conectados a la red y la maquinaria mantenidos en una subred separada, lo que restringe el flujo de información. Naturalmente, los datos aún pueden fluir entre las diferentes subredes, pero con Pasarelas adecuadamente administradas entre las subredes, se puede mitigar el peligro de acceso malicioso.

Segmentación de red

La segmentación de red puede impedir la eficiencia y la conectividad, uno de los mayores beneficios de la conectividad inalámbrica de las unidades industriales es el trabajo remoto, pero con la seguridad de la Puerta de Enlace (Gateway) adecuadamente administrada, esto puede mitigarse.

"Todos los dispositivos propiedad de la compañía que están conectados a nuestras redes corporativas son revisados, parcheados y bloqueados según sea necesario", dice Scott Lynn, director de servicios de la firma de servicios de TI Agilitas. "Otros dispositivos cuentan con una conexión de red de invitado para garantizar que la red corporativa permanezca segura contra amenazas externas".

Al comprar nuevos dispositivos, las organizaciones deben llevar a cabo una investigación de mercado exhaustiva. Esto no solo debe enfocarse en las características y confiabilidad de un dispositivo, sino también en la reputación del proveedor de protección de datos, la seguridad de sus dispositivos y sus garantías de mantenimiento post-venta. "La reputación de seguridad de una marca es una de nuestras principales prioridades cuando evaluamos nuevos dispositivos para implementar en toda la red", dice Lynn. "El riesgo de probar participantes nuevos o menos respetados en el mercado, es demasiado alto en un negocio que ofrece una operación global las 24 horas, los 7 días de la semana".

Cuando los nuevos dispositivos conectados a la red se incorporan por primera vez a una red, se deben verificar las posibles vulnerabilidades. Cualquier conexión no utilizada o vulnerable debe bloquearse y hacerse segura, como sucede aplicando SSL. "Registramos los niveles de firmware de todos los dispositivos dentro de nuestra red a medida que se implementan", dice Lynn.

Por el momento, no existe una legislación o certificación que obligue a los proveedores a proporcionar niveles adecuados de seguridad en sus dispositivos. ISO/IEC 27001 (Information Security Management) es el más cercano, pero solo proporciona información sobre cuán bueno es el proveedor o fabricante para protegerse, no sobre la seguridad de sus productos.

Nuevo código de práctica

Sin embargo, el gobierno del Reino Unido anunció recientemente planes para introducir un nuevo código de práctica diseñado para mejorar las medidas de seguridad de los dispositivos conectados a Internet. La revisión de Seguridad por diseño fue desarrollada con el apoyo del Centro Nacional de Seguridad Cibernética (NCSC por sus siglas en inglés) para abordar los enormes agujeros de seguridad en muchos dispositivos "Smart IoT".

A raíz de varios incidentes de alto perfil de dispositivos IoT que se vieron comprometidos, en los últimos 12 meses se ha percibido una mayor conciencia de la necesidad de protocolos de seguridad adecuados, para dispositivos conectados a la red. Sin embargo, esto todavía nos deja con un legado de dispositivos poco seguros que necesitarán ser monitoreados cuidadosamente por comportamiento malicioso, en caso de que se vean comprometidos.

"Los verdaderos problemas de red aparecen cuando se descuidan los dispositivos de IoT, ya que se vuelven vulnerables y los datos que transfieren y los servicios que brindan están en riesgo", dice Aston de Microsoft.

Solo monitoreando cuidadosamente sus redes y protegiendo los dispositivos vulnerables, una organización podrá proteger sus datos de forma adecuada contra el acceso no autorizado. "Siento que las cosas están mejorando", dice Tankard. "La tecnología está llegando ahora, pero tienes 15 años de sistemas en funcionamiento, y todavía es un largo tiempo para cambiarlos".

En conclusión, nuevamente la Seguridad, la Integridad y mitigar el Riesgo, son requerimientos básicos a observar, si lo que deseamos es entrar de manera confiable, escalable y segura, al mundo de la Internet de las Cosas.