Un reto multicapa y del ciclo de vida completo
El compromiso de mantener seguros los dispositivos del IOT debe comenzar antes de la puesta en marcha de la primera junta de evaluACIÓN y CONTINUAR HASTA LA DESACTIVACIÓN segura AL FINAL DE su VIDA útil
Unas amenazas tan diversas como el mismo IOT.
La importancia de la seguridad en el ámbito del IOT (conocido como Internet de las Cosas) está siendo cada vez más reconocida. Sin embargo, la comprensión de los aspectos vinculados a este problema entre las empresas que buscan sacar partido del poder del IOT para potenciar sus negocios o mejorar su rendimiento parece aún bastante básico. Algunas empresas piensan que la seguridad es sinónimo de encriptación. Algunas no entienden cómo un dispositivo tan básico como un sensor remoto puede ser utilizado para acceder a las infraestructuras informáticas. Algunas creen que los hackeos del IOT tienen su origen en el crimen organizado y no pueden vislumbrar la gran diversidad de amenazas basadas en el IOT que acechan a las principales actividades empresariales.
Las brechas de seguridad no son tan solo un caso de mala prensa: las organizaciones que no implementan medidas de seguridad se convierten en objetivos y, en el futuro, se enfrentarán a multas elevadas (que pueden llegar a alcanzar el 4 % de sus ingresos globales) por permitir que la información de sus clientes se vea comprometida. La prevención es, por tanto, un aspecto de suma importancia.
Pese a que las brechas de seguridad en lo relativo a información sobre tarjetas de crédito son publicitadas ampliamente y reciben unos castigos severos, muchos otros tipos de vulnerabilidades, tales como las modificaciones realizadas a equipos sin autorización, pueden exponer a los proveedores a posibles
pérdidas. Los proveedores de equipos industriales como, por ejemplo, sistemas de alimentación ininterrumpidos (UPS) , pueden utilizar tecnologías del IOT para contribuir a gestionar contratos de servicio. La confianza depositada en los datos recogidos por los equipos en el campo es vital, pero puede verse comprometida si dichos equipos son alterados al instalar piezas incorrectas o cargar el software erróneo. Una seguridad del IOT efectiva debe también ofrecer protección ante este tipo de amenazas.
Esto no significa, no obstante, que los ataques del crimen organizado no supongan una amenaza para las actividades de una empresa en el IOT. Los ejemplos publicados ya ponen de relieve incidentes en los que los hackeos han sido posibles mediante cosas tan simples como un sistema de calefacción, ventilación y aire
acondicionado (HVAC) por red. En este ejemplo, las unidades HVAC eran utilizadas para realizar un seguimiento de la temperatura y el consumo de energía en el edificio en el que estaban en funcionamiento, recogiendo los datos de forma remota para su análisis. Los hackers consiguieron hackear la unidad HVAC y adentrarse en la red central para acceder a los datos personales de los clientes.
Es obvio que es necesario contar con una seguridad del IOT no solo para proteger la infraestructura y los activos directamente conectados ante las amenazas externas, sino también para proteger a los proveedores de servicios y a sus clientes ante las consecuencias de un uso indebido.
Una seguridad multicapa
Se recomienda aplicar un enfoque de seguridad multicapa en los niveles de dispositivo a gateway y
de gateway a la Nube, a fin de garantizar que se tengan en cuenta todas las vulnerabilidades y pueda implementarse una protección efectiva. Como regla general básica, hay siete capas de seguridad a tener en cuenta, tanto a nivel de dispositivo a gateway como donde el gateway se conecta a Internet y a la Nube.
Las siete capas de seguridad de la conexión de dispositivo a gateway (imagen 1) se componen de la puesta en marcha y autenticación, el uso de claves criptográficas, encriptación, transmisión de datos, almacenamiento de datos, detección de manipulación y gestión de dispositivo.
La gestión de dispositivos, incluida la aplicación de actualizaciones inalámbricas para mantener los dispositivos al día y protegidos ante amenazas de seguridad emergentes, es uno de los cinco pilares fundamentales de una solución IOT integral completa. Es tan importante como los retos más ampliamente debatidos asociados con la fabricación y conexión de dispositivos, y el análisis posterior de los datos generados. Sin embargo, puede ser un punto especialmente arduo para los operadores de redes IOT. Con frecuencia, los proveedores de dispositivos no tratan el asunto adecuadamente, y los clientes pueden tener problemas para encontrar las soluciones apropiadas para sí mismos. Arrow Connect es un paquete de gestión de dispositivos específicamente diseñado para ofrecer una solución conveniente que puede ser configurada para adaptarse a los requisitos particulares de cada cliente. Se compone de un software que incluye SDK para endpoints y gateways, lo que da acceso a una selección de servicios de gestión de dispositivos basados en la Nube.
La sostenibilidad, que incluye la disposición de forma segura del equipo inoperativo al final de su vida útil, es también esencial. Mediante su grupo tecnológico sostenible, Arrow puede facilitar procesos que garantizan que cualquier tipo de credenciales de conexión a la red, claves y datos almacenados no puedan ser utilizados indebidamente. Asimismo, Arrow puede reciclar equipos para su reutilización. Todos los productos y desechos son manipulados de acuerdo con las normativas vigentes para minimizar su impacto medioambiental.
La imagen 2 muestra las siete capas de seguridad necesarias para proteger plenamente las conexiones de gateway a la Nube. Estas incluyen firewalls para garantizar el acceso aprobado únicamente a las zonas designadas de la red, huellas digitales de dispositivo basadas en direcciones MAC e identificaciones de aplicaciones y sistema operativo, clonación (golden cloning) para llevar un registro de la configuración de sistema original, seguimiento de red para asegurar la consistencia de la lógica empresarial y el lenguaje de comunicación, registro de datos y correlación de datos (que, conjuntamente, contribuyen a identificar anormalidades en el comportamiento típico del dispositivo) y optimización de sistema para detectar ataques y eventos atípicos. En esta capa, hacer uso del poder del aprendizaje automático puede enseñar al sistema a adaptarse a medida que las amenazas de seguridad evolucionan.
El reto de la gestión del ciclo de vida
Según un análisis realizado por 451 Research, la inseguridad física de los endpoints y una autenticación deficiente son las dos grandes preocupaciones actuales en seguridad del IOT. Estos aspectos amenazan el negocio principal de cualquier empresa que conecta activos al IOT. Las siguientes grandes preocupaciones son la seguridad de las aplicaciones de software y, a continuación, la seguridad de las conexiones de red entre los endpoints y la red central.
En lo referente a los elementos de la infraestructura IOT (endpoints y gateways), la seguridad es un asunto de gestión de ciclo de vida. No obstante, es insólito (por no decir imposible) encontrar un endpoint disponible en el mercado que responda a los requisitos de los clientes y que pueda simplemente conectarse a la red y comenzar a enviar datos recién salido de la caja. Al contrario, por lo general los dispositivos, como los sensores inteligentes, tienen que ser diseñados de forma personalizada para el uso previsto concreto a fin de satisfacer las diferentes restricciones relacionadas con factores tales como: el consumo energético, durabilidad de la batería, factor de forma, rango de temperatura operativa, clasificación de IP y otros.
A la hora de diseñar un nuevo dispositivo, la seguridad debería considerarse adecuadamente desde el momento mismo en que el proyecto comienza a nivel de placa de evaluación, teniendo en cuenta las siete capas discutidas. Esta integración a medida de elementos de seguridad es vital para garantizar la confianza en los datos procedentes de ese dispositivo. No es posible implementar una seguridad lo suficientemente robusta a posteriori, o cambiar la estrategia en mitad del proceso de desarrollo. Puesto que es imposible incorporar elementos de seguridad después de no haberlos considerado en profundidad o haberlos olvidado en un primer momento. Es imperativo contar con las precauciones correctas en cada fase del ciclo de vida, que incluyen:
Mantener la IP segura, particularmente en la transición de diseño a prototipo
Contar con hardware, encriptación y almacenamiento seguro de datos de confianza (por ejemplo, basado en TPM)
Iniciar la producción, incluida la gestión de acceso a IP por cualquier CEM
Escalar la producción y garantizar los accesos al mercado
Gestionar el dispositivo a través de su ciclo de vida operativo
Desactivar los dispositivos de forma segura al final de su ciclo de vida para eliminar cualquier acceso back-door a la red
Existen numerosos retos que obstaculizan la progresión lógica y fluida de estas consideraciones. Uno de ellos es que, frecuentemente, los dispositivos no se diseñan partiendo de cero, sino que son derivados de diseños anteriores. A los diseñadores de sistema puede resultarles difícil comprender cómo deben modificar los diseños anteriores para crear unas soluciones del IOT sostenibles que incluyan una seguridad integrada adecuadamente.
El ecosistema de socios IOT de Arrow consolida los recursos, conocimientos y servicios necesarios para gestionar no solo la creación de endpoints, la integración de sistemas y la gestión de dispositivos, sino además todos los aspectos del enfoque multicapa a la seguridad del IOT. Se trata de la única cartera de productos de seguridad del IOT integral (imagen 3) del sector con soluciones para todas las fases de la cadena: de sensor a final de vida útil (from sensor to sunset).