El IoT informal se está infiltrando en los edificios de oficinas y empresas de todo el mundo. Televisores inteligentes, wearables, altavoces inteligentes, impresoras conectadas e incluso cámaras de seguridad de consumo están ahora desplegados en la empresa.
Foto de Bence Boros
En la columna positiva, estos dispositivos son fáciles de instalar y desplegar. Y en la columna negativa, tienden a ser fáciles de hackear.
También abren nuevas perspectivas para los hackers. Está el caso de los hackers que intentaron robar datos de un casino de Las Vegas a través de un acuario conectado. Y luego está el adolescente que pirateó 150.000 impresoras el año pasado.
A medida que el número de dispositivos conectados sigue creciendo, el problema podría ir de mal en peor. Para ayudar a mejorar el lamentable estado de la seguridad de los dispositivos IoT, la organización sin ánimo de lucro Online Trust Alliance ha publicado una serie de 10 directrices diseñadas para abordar la amenaza a la que se enfrenta casi cualquier tipo de organización.
A continuación, resumimos las 10 directrices e incluimos los comentarios de Jeff Wilbur, director de la Online Trust Alliance.
1. Ponga los dispositivos IoT en su propia red protegida contra Firewall y supervisada.
Cuando se trata de conectar dispositivos IoT de consumo en la empresa, hay que adoptar un enfoque proactivo. "Hay que tenerlos segmentados y detrás de un firewall", dijo Wilbur. "Puedes bloquear el tráfico entrante hacia ellos para que la gente no pueda atacar desde el interior y puedas controlarlo y supervisarlo de cerca".
2. Actualizar las contraseñas es imprescindible. El uso de la autenticación multifactorial también es útil.
Aunque el uso de contraseñas seguras es un consejo estándar para la seguridad en Internet, hay cierto debate sobre lo que es una contraseña segura. "No sé si tengo una respuesta definitiva, pero la tendencia parece ser el uso de frases de contraseña más largas que puedan ser más fáciles de recordar pero difíciles de adivinar", dijo Wilbur. "Cuanto más corta sea, más fácil será descifrarla".
Ah, y no creas que porque hayas cambiado una "s" por un "$" o una "l" por un "1" en tus contraseñas estarás a salvo. "Como esas sustituciones son obvias, sería muy fácil para un atacante utilizarlas en un ataque de diccionario", dijo Wilbur.
La autenticación multifactor puede ser una forma relativamente fácil de aumentar la seguridad de muchos dispositivos IoT con una interfaz de usuario, pero no siempre es posible.
3. Apagar la funcionalidad cuando no es necesaria
Una de las estrategias de seguridad más primarias es reducir al máximo la superficie de ataque. Pero la cuestión es: Hasta dónde estás dispuesto a llegar. "¿Vas a soldar un enchufe en un puerto USB? Algunas organizaciones hacen ese tipo de cosas", dijo Wilbur.
Pero no necesariamente hay que sacar un soldador para reducir la superficie de ataque. "Los televisores inteligentes, si todo lo que haces es usarlos como pantalla, no necesitan estar conectados a nada", dijo Wilbur. "Desconectarlos reduce la superficie de ataque".
4. Compruebe si el acceso físico permite la intrusión
En relación con el punto anterior, es útil entender cómo su superficie de ataque difiere en el caso de que un hacker sea remoto frente a cuando está físicamente en la oficina. Hay una serie de dispositivos conectados que son vulnerables después de hacer un hard reset. Si hay alguno, considere la posibilidad de bloquearlo, cuando sea posible.
Aquí, los profesionales de la empresa deben determinar su tolerancia al riesgo. "¿Qué probabilidad hay de que alguien en una sala de conferencias lance un ataque?" preguntó Wilbur. "Hay que pensar al menos de forma proactiva hasta dónde llegar en lugar de colgar un televisor inteligente en la pared y no volver a pensar en ello, sin darse cuenta de lo que se acaba de hacer".
5. Cuidado con las conexiones Wi-Fi automáticas
Un buen número de dispositivos IoT de consumo están diseñados para detectar el Wi-Fi y conectarse a cualquier red que encuentren, que puede ser un SSID que no esté protegido por contraseña. "Quieres una red Wi-Fi segura; no una abierta", dijo Wilbur. "Quieres que tus datos estén encriptados".
6. Bloquee el tráfico entrante cuando sea posible. Cuando no, vigile los puertos abiertos
Muchos dispositivos IoT se envían con puertos abiertos para soportar las funciones de gestión en lugar de la funcionalidad estándar disponible a través de una interfaz de usuario. Incluso algunas contraseñas permiten el acceso por telnet con solo una dirección IP.
Una vez más, la cuestión es reducir la superficie de ataque tanto como sea posible. Eso puede significar bloquear completamente todo el tráfico entrante con un cortafuegos. Pero en otros casos, eso significará mantener abiertos sólo los puertos TCP y UDP que necesites. Algunos dispositivos IoT pueden tener puertos abiertos personalizados que no son estándar. "Hay todos estos puertos de software únicos que pueden estar disponibles, y puede diferir según el dispositivo", dijo Wilbur. "Puede que ni siquiera sepas que están ahí".
7. Hacer de la encriptación un valor por defecto
Puede que no siempre sea factible cifrar los datos para algunas aplicaciones empresariales sensibles al tiempo, pero para la mayoría de los dispositivos IoT de grado de consumidor, es posible garantizar que los datos nunca se envíen como texto claro. Cuando no es posible cifrar, las organizaciones deben utilizar una VPN u otros medios para enmascarar sus datos.
8. Investiga cuando utilices servicios de back-end o aplicaciones para dispositivos IoT
Evite utilizar cualquier servicio web sin saber algo sobre él. Organizaciones como la Online Trust Alliance analizan las mejores prácticas para medir la confianza en línea de las empresas que están conectadas a Internet y al IoT. "Hay una serie de herramientas con las que se puede evaluar la seguridad de los servicios web que podrían estar conectados a sus dispositivos de IoT", dijo Wilbur. Estos servicios comprueban si, por ejemplo, tienen una buena configuración para sus conexiones TLS / SSL o si utilizan protocolos de confianza o tienen configuraciones de sitio sólidas. "Hay herramientas gratuitas por ahí que referenciamos regularmente. Una es de Qualys y otra de High Tech Bridge", dijo Wilbur.
Las aplicaciones móviles son un poco más complicadas. "No hay muchas herramientas", reconoce Wilbur. "High Tech Bridge tiene ahora una herramienta para aplicaciones móviles que analiza la seguridad y la privacidad de las mismas, para Android y Apple". Pero, en general, no hay tanta información sobre la seguridad y la privacidad de las aplicaciones móviles.
9. Actualizar el firmware y el software
Este consejo es uno de los más importantes de la lista. Si un dispositivo IoT no se puede actualizar, probablemente no debería estar en su empresa.
Si bien la mayoría de los dispositivos IoT de consumo conocidos son compatibles con las actualizaciones, las cámaras de seguridad de bajo coste son uno de los peores ejemplos en este sentido. Suelen utilizar pilas de software estándar con vulnerabilidades conocidas, utilizan contraseñas codificadas y no son compatibles con las actualizaciones.
Mientras que algunas actualizaciones pueden ser automatizadas, las actualizaciones de firmware tienden a ser un asunto manual.
10. Siga el ciclo de vida de los dispositivos IoT y deséchelos cuando sea necesario
Si un fabricante de, por ejemplo, un dispositivo IoT cierra repentinamente, puede ser necesario deshacerse de su producto. En algunos casos, el dispositivo seguirá funcionando, pero no se podrá parchear, lo que nos lleva al punto anterior. Pero en otros casos, el fabricante desaparecido - o un fabricante que elimina una línea de productos - bloqueará los dispositivos que ya no fabrica, haciéndolos inútiles.
"Esta lista pretende ser cronológica, desde que lo instalas hasta su ciclo de vida", concluye Wilbur. "Pero si tuviera que elegir un par de topes: sería cambiar las contraseñas por defecto, que muchos dispositivos tienen, y mantener el software actualizado".
Article by Brian Buntz. Read full article here: https://www.iotworldtoday.com/2018/04/17/10-ways-support-iot-device-security-enterprise/
Comments