Joe Robertson, CISO para EMEA en Fortinet, desgrana los riesgos asociados al Internet de las Cosas (IoT) y el Internet Industrial de las Cosas (IIoT), proponiendo a continuación algunas iniciativas para mitigarlos.
La digitalización está transformando el funcionamiento de las empresas. Esta transición suele denominarse Cuarta Revolución Industrial o Industria 4.0 porque representa la cuarta revolución de la fabricación. La primera revolución industrial fue la mecanización, la segunda la producción en masa y las cadenas de montaje con electricidad, y la tercera la adopción de los ordenadores y la automatización.
La Cuarta Revolución Industrial ya está aquí, y la transformación digital de las empresas consiste en gran medida en la automatización, la inteligencia artificial (IA) y la rápida innovación tecnológica. Los procesos industriales y las máquinas son cada vez más inteligentes y modulares, con la automatización y el intercambio de datos que incluyen el Internet de las Cosas (IoT) y el Internet Industrial de las Cosas (IIoT).
Estos dispositivos inteligentes, siempre conectados, proporcionan información contextual en tiempo real con poca sobrecarga para optimizar los procesos y mejorar la forma en que las empresas y las personas interactúan, trabajan y viven. No es de extrañar que McKinsey haya estimado que las inversiones en tecnología IoT crecerán a un ritmo del 13,5% a lo largo de 2022. Este crecimiento del IoT está contribuyendo a una explosión de datos industriales y de producción. Estos datos se están recopilando y analizando para mejorar la productividad, supervisar la actividad y mejorar el mantenimiento predictivo.
Con tantos datos críticos para el negocio que pasan a través de dispositivos IoT e IIoT, las organizaciones deben tomar medidas para asegurar su tecnología.
Lo digital no ha pasado desapercibido para los ciberdelincuentes, que buscan explotar el IoT y el IIoT como eslabones débiles en la cadena de datos. El creciente volumen de datos estructurados y no estructurados que generan estos dispositivos, y su comportamiento, a menudo anómalo, que se extiende por los ecosistemas globales, supone un reto incluso para las mejores organizaciones. Para complicar aún más la situación, muchos de estos dispositivos son inalámbricos (WLAN o 5G) y a menudo tienen canales de comunicación con sus fabricantes para fines de mantenimiento y solución de problemas, lo que puede convertirlos en una potencial puerta trasera en la red de producción.
La mayoría de las organizaciones no están bien preparadas para las vulnerabilidades de los dispositivos IoT e IIoT. La interconectividad omnipresente entre dispositivos, usuarios y redes distribuidas supone un reto sustancial para las soluciones de seguridad tradicionales en silos.
Centrar las defensas en un único punto de la red es cada vez más ineficaz. La falta de visibilidad de los dispositivos, los usuarios y toda la red crea puntos ciegos que los ciberdelincuentes pueden aprovechar. Según un estudio realizado por EY, casi la mitad de las empresas indican que están preocupadas por su incapacidad para rastrear la seguridad en todos sus activos de IoT e IIoT, mantenerlos libres de virus y parchear las vulnerabilidades.
Esta complejidad se agrava al mezclar los dispositivos IIoT con los dispositivos cableados en los mismos segmentos de red, y puede llevar a la incertidumbre sobre qué está conectado exactamente y dónde.
Riesgos de seguridad del IoT y el IIoT que hay que tener en cuenta
Desde el punto de vista de la seguridad, los dispositivos IoT e IIoT presentan una serie de riesgos. Uno de los problemas es que la mayoría de estos dispositivos no fueron diseñados pensando en la seguridad. Muchos de ellos son headless, lo que significa que no tienen un sistema operativo tradicional o incluso la memoria o la potencia de procesamiento necesaria para incluir la seguridad o instalar un cliente de seguridad. Además, un número alarmante de dispositivos tienen contraseñas codificadas en su firmware.
El resultado es que muchos dispositivos IoT no se pueden actualizar. E incluso cuando se puede instalar seguridad en el dispositivo, el software subyacente instalado en el mismo a menudo se confecciona a partir de código comúnmente disponible o no se comprueba, lo que significa que la mayoría de las herramientas de seguridad instaladas pueden eludirse explotando una amplia gama de vulnerabilidades conocidas. Además, la mayoría de los dispositivos IIoT e IoT tienen una capacidad de configuración limitada o nula. Y cuando los dispositivos se ven comprometidos, la mayoría de las organizaciones de TI admiten que es poco probable que puedan detectar el evento antes de que afecte a los sistemas y los datos.
Cómo mitigar los riesgos de seguridad del IoT y el IIoT
Algunas organizaciones tratan de resolver estos problemas promoviendo la autenticación, la gestión de claves y credenciales y otras capacidades. Pero estas herramientas deben ser probadas, integradas en la arquitectura de la red, actualizadas, gestionadas y supervisadas. Entonces, ¿cuál es la solución? La técnica del avestruz no funciona. Los dispositivos IoT e IIoT son una parte vital de la mayoría de las empresas y están aquí para quedarse. Es importante ver la IIoT como parte de su entorno de seguridad más amplio en lugar de como unidades aisladas. He aquí algunas recomendaciones adicionales para asegurar esta tecnología:
- Segmentación del entorno de producción, con todos los dispositivos IIoT e inalámbricos en segmentos fuera de la red SCADA o ICS. En muchos casos se debe realizar una microsegmentación para restringir las comunicaciones entre dispositivos para aislarlos aún más y confinarlos solo a las comunicaciones autorizadas.
- Control de acceso a la red para obtener información precisa sobre lo que se conecta a la red y verificar la postura de seguridad de cada dispositivo antes de permitirle conectarse.
- La seguridad debe rediseñarse para ofrecer una visibilidad perfecta de lo que ocurre en todas las redes y dispositivos, desde el IoT hasta las redes multicloud.
- Debido a las mínimas funciones de inteligencia y seguridad incluidas en la mayoría de los dispositivos de la IIoT, se debe utilizar un sistema de protección contra intrusiones antes de estos dispositivos para detectar los ataques a los exploits conocidos y proporcionar “parches virtuales” a los dispositivos a los que no se les pueden aplicar actualizaciones de software.
- La supervisión y la gestión de la seguridad deben realizarse a través de una única consola. Las empresas deben poder ver todos los dispositivos, evaluar los niveles de riesgo, segmentar el tráfico y asignar políticas en toda la red en tiempo real. Esto debe incluir tanto las redes de producción como las de TI para reducir el riesgo de que los ataques a los recursos de TI se propaguen a la red de producción, y viceversa.
- Deben desplegarse soluciones de protección activa contra las amenazas desconocidas, incluyendo la tecnología de sandboxing (para determinar si los archivos, adjuntos u otro código son maliciosos o no), y la tecnología de engaño, (también conocida como honey pots), para atraer a los atacantes, confirmar su presencia en la red y exponerlos a las herramientas para bloquearlos y eliminarlos.
- El acceso de confianza cero puede proporcionar un acceso remoto seguro, simple y automático que verifica quién y qué está en su red y asegura el acceso a las aplicaciones sin importar dónde se encuentren los usuarios.
- Las soluciones de seguridad deben adaptarse automáticamente a los cambios de la red, anticiparse a las amenazas, interpretar y aplicar los comandos del lenguaje empresarial e interoperar en una arquitectura de malla de ciberseguridad para compartir la inteligencia sobre amenazas y coordinar de forma proactiva las respuestas a las mismas en todos los dispositivos de seguridad y ecosistemas de red.
Por desgracia, los dispositivos de la IIoT no han sido diseñados teniendo en mente la seguridad y encontrar formas de asegurar cada dispositivo de la red es desalentador. Por ello, las organizaciones deben tomar medidas inmediatas para proteger sus sistemas de los ataques.
La buena noticia es que hay una nueva generación de herramientas que ayuda a las organizaciones a hacer frente a la creciente superficie de ataque de hoy en día, proporcionando no sólo visibilidad del entorno de la red, sino también aplicación y control de políticas dinámicas. Tanto si los dispositivos se conectan desde dentro como desde fuera de la red, pueden responder automáticamente a los dispositivos comprometidos o a la actividad anómala
Como expertos en ciberseguridad, estamos convencidos de que un enfoque de arquitectura de malla de ciberseguridad que incluya una gestión centralizada y una política de seguridad unificada y consciente del contexto nos proporcionará una visibilidad completa y un control granular sobre toda la organización.