Por William Malik, CISA VP Infrastructure Strategies, Trend Micro
Asegurar Internet de las Cosas (IoT) es difícil. Una de las razones es que Internet de las Cosas está compuesto por tres grupos de tecnología distintos. Cada uno de estos grupos cuenta con una arquitectura de restricción completamente diferente. Para asegurar estas tres familias del IoT se requiere un enfoque distinto en cada uno de ellas.
IoT 0.9 – El grupo originario contiene toda la Tecnología Operativa (OT) heredada y los Sistemas de Control Industrial (ICS) que hacen uso de algún tipo de red, pero no el modelo OSI. Estas herramientas emplean protocolos simples porque no tienen ni mucha potencia, ni memoria, ni ancho de banda, ni CPU disponibles. Los dispositivos ICS tradicionales tienen una vida útil de 15 a 25 años. Pueden encontrarse en lugares remotos o inaccesibles.
¿Cómo de remoto? La nave espacial Voyager 1 cuenta con poco menos de 70K de almacenamiento, tres procesadores con una capacidad de procesamiento agregado de 130.000 instrucciones por segundo y un transmisor de radio de 22,4 vatios. Los 249 vatios de potencia restantes (frente a los 470 en el lanzamiento) proceden de tres generadores termoeléctricos de isótopos propulsados con plutonio. Consulte https://voyager.jpl.nasa.gov/ para obtener más información sobre este dispositivo remoto ICS. Voyager 1 no puede proporcionar la potencia ni el tiempo de verificar los mensajes entrantes. Una onda de radio tarda alrededor de 19 horas en viajar desde la Tierra hasta el Voyager 1. Si esta utilizó TCP/IP, la configuración de una VPN IPsec duraría cinco días.
Para asegurar a las tres familias del IoT se requiere un enfoque distinto en cada uno de ellas
Asegurar los dispositivos IoT 09 es una tarea complicada. Pocas personas tienen la combinación de habilidades necesarias para hacer este trabajo. Requiere profundos conocimientos de ingeniería del diseño del dispositivo y sus limitaciones operativas, y de las capacidades y limitaciones de los protocolos de red para construir una red de información y protección basada en el dispositivo. Las limitaciones de procesamiento prohíben cualquier autentificación, autorización, cifrado o capacidad de firma digital convencional a bordo. Los proveedores tradicionales de ICS no tienen equipos de seguridad de la información integrados. Los clientes de ICS pueden tener un equipo de seguridad de la información, pero ellos entienden las arquitecturas de seguridad TI convencionales, no las limitaciones de arquitecturas ICS.
La manera más efectiva de asegurar los dispositivos IoT 0.9 es el aislamiento: colocar los dispositivos en una red segmentada, no vinculada a la red corporativa. Esta táctica va en contra de la unidad de red, provocando que el estado del dispositivo esté casi en tiempo real disponible para toda la organización. Si bien el enfoque respalda el deseo de la dirección de ‘‘obtener más y mejor información’’, establece una red plana sin protección y abierta a atacar. Actuar como cortafuegos fuera de IoT 0.9 o ejecutarlo por completo en una red separada proporcionará, al menos, aislamiento. Los sensores fuera de banda en la red aislada pueden detectar e informar del tráfico sospechoso sin impedir la capacidad de respuesta o seguridad del dispositivo.
IoT 1.0 – Llamaremos al grupo intermedio IoT 1.0. Estos híbridos consisten en dispositivos que se conectan en red utilizando parte de la pila OSI. Estos híbridos presentan un gran problema. Cumplen bien con sus requisitos OT (normalmente seguridad y fiabilidad), y es que su arquitectura fundamental lo garantiza. Sin embargo, generalmente no incorporan capacidades de seguridad de red en sus diseños. Su arquitectura no dirige la seguridad de la información.
Los híbridos están restringidos. Los dispositivos IoT 1.0 tienen un ancho de banda limitado, una escasa potencia de procesamiento, una vida útil de la batería baja y poca memoria. Hacen uso de estos recursos con los que cuentan para proporcionar capacidad de respuesta en tiempo real y una gran disponibilidad, no para cifrar datos, autenticar mensajes entrantes, validar solicitudes de control de acceso, descargar archivos de firmas o escanear malware.
Los híbridos en red son fáciles de descubrir usando Shodan o Censys, ya que carecen de firewall o filtrado. Responden a los requerimientos de la red de forma eficiente, rápida e ingenua. Estos primeros dispositivos asumen la integridad y la privacidad de la red en la que se encuentran. Asumen también que cualquier señal entrante es correcta y está destinada a ellos. El modelo subyacente es mecánico: si presiono el freno, el vehículo debería reducir la velocidad. Si aprieto el interruptor, la luz debería encenderse. La autentificación lleva tiempo y puede retrasar una corrección crítica. Al igual que con IoT 0.9, la segmentación de la red, el aislamiento y la monitorización fuera de banda pueden mitigar algunos riesgos. Más allá de eso, IoT 1.0 puede adoptar técnicas y herramientas de análisis de red desde el dominio de seguridad TI.
IoT 2.0 – Describe dispositivos IoT contemporáneos construidos desde cero, con capacidades completas de Internet. Estos son los que más se pueden proteger, si la seguridad es un criterio de diseño evidente. Los dispositivos IoT 2.0 pueden ser mucho menos restringidos. Las mejoras en las capacidades de la batería, las técnicas de recarga, las operaciones de bajo consumo, el diseño eficiente del procesador, las arquitecturas de red avanzadas, el diseño mejorado de la antena y la amplia memoria dan a IoT 2.0 una arquitectura de sistema más similar a la TI. Estos dispositivos se están acercando a los dispositivos de TI convencionales que pueden usar tecnologías contemporáneas de seguridad de la información, con algunas adaptaciones. El registro en un canal o dispositivo de almacenamiento no crítico, por ejemplo, puede ser posible sin comprometer la fiabilidad, la capacidad de respuesta y los objetivos de seguridad. Diseñar seguridad de la información en IoT 2.0 es posible, pero de ninguna manera significa que esté garantizada.
Los fabricantes de IoT 2.0 pueden utilizar un modelo de seguridad de la información más maduro. El fabricante de chips ARM diseña su línea de procesadores actual con un kernel seguro. Esto ejecuta procesos de seguridad, incluido el cifrado y las actualizaciones del sistema, con autenticación, autorización y registro. Con energía, estos dispositivos pueden mantener una capacidad de respuesta casi en tiempo real mientras proporcionan funciones de seguridad centrales en paralelo. Pero la implementación tiene que estar correctamente construida y diseñada, y probados adecuadamente. Afortunadamente, los fabricantes de dispositivos contemporáneos ya cuentan con un proceso de diseño y desarrollo de alta calidad que puede abarcar los elementos de seguridad de la información (y otros requisitos no funcionales) de cualquier SDLC contemporáneo.
La seguridad de IoT es muy difícil. La naturaleza de la dificultad y el enfoque de su solución dependen del origen del dispositivo IoT. Comprender estos fundamentos lo hará más fácil.