IoT en la empresa. El nuevo rompecabezas para los departamentos IT.

jueves, 10 de diciembre de 2015


Durante los últimos años, diversos informes(i) han advertido acerca de la inminente irrupción de cientos de terminales Internet Of Things (IoT) en la empresa, y específicamente señalan 2015 como el año en el que esto será una realidad.

Estos terminales IoT son capaces de interpretar el contexto físico, así que al estar ubicados dentro de la empresa recolectan información relevante, que en muchos casos debe ser protegida. Al mismo tiempo, puesto que suelen estar conectados a la red corporativa, se intercomunican con el resto de sistemas y también con servidores externos. No cabe duda de que estos dispositivos permiten a los empleados ser mucho más eficientes en sus operaciones diarias pero, ¿son las empresas conscientes de estos riesgos de seguridad que su uso también conlleva?

La realidad es que las potenciales brechas de seguridad se incrementan con la introducción de dispositivos IoT en la empresa, y lo que resulta más desconcertante es que los departamentos de IT no tienen control sobre ellos. Un reciente estudio publicado por OpenDNS donde se analiza la prevalencia dispositivos IoT en redes corporativas y sus potenciales riesgos apunta en la misma dirección: los profesionales de IT de las empresas no son conscientes de la presencia de dispositivos IoT en sus redes.

Esta situación de aparente descontrol contrasta con un estudio de Forrester(ii) de 2013 donde se constata que la preocupación por la seguridad es el freno a incorporar tecnologías IoT. Entonces, si la seguridad se considera un elemento tan importante, ¿por qué no se toman medidas? Quizá la respuesta se encuentra en la ambigüedad a la hora de definir qué es un dispositivo IoT y cuáles son sus funcionalidades avanzadas.



En resumen, los riesgos de la actual situación son los siguientes:
  • Los dispositivos IoT son un nuevo vector de ataque para exploits remotos. No se diseñan teniendo en cuenta requisitos de seguridad y no cuentan con actualizaciones.
  • Frecuentemente, se sirven de clouds externas que escapan del control de los departamentos IT. Sin unas medidas de control del tráfico, los datos pueden verse comprometidos.
  • Los usuarios tienden a considerar estos dispositivos como simples juguetes y son conscientes de las implicaciones de seguridad que su uso conlleva en una red corporativa.

Los puntos anteriores se resumen en un concepto: VISIBILIDAD.

Una vez que constada la inevitable infiltración de dispositivos IoT en la empresa, es necesario identificar qué acciones deben acometerse para mitigar los posibles riesgos. La mayoría de expertos de seguridad encuestados en el informe de OpenDNS confían en las medidas desplegadas en la red para contener esta amenaza, pero ¿es suficiente? Somos de la opinión que se necesita algo más.

Proponemos dos aproximaciones. La primera centrada en el terminal. Consideramos absolutamente necesario identificar todos los dispositivos que están dentro de la empresa, los propios y los de los empleados, catalogarlos y monitorizarlos para que cumplan las directrices de seguridad. Es una aproximación similar a la que supuso el Mobile Device Management y las políticas BYOD. No es una casualidad que las compañías de MDM consideran a IoT el siguiente gran reto para sus organizaciones(iii). Las plataformas MDM han crecido desde un conjunto básico de reglas relacionadas con el uso de los teléfonos inteligentes en el trabajo a una gestión completa de cualquier tipo de dispositivo, incluyendo tabletas, ordenadores portátiles e incluso lectores de tinta electrónica. Y ahora con la introducción de ponibles y dispositivos.

IoT, el siguiente paso lógico es el de implementar nuevas funcionalidades que permitan gestionar estos dispositivos remotamente y con facilidad, asumiendo la dificultad que entraña la fragmentación de plataformas. No cabe duda de que la promoción de estándares hará más sencilla la colaboración entre los diferentes proveedores. Además, es importante, que estos activos se incluyan dentro del alcance de las auditorías de seguridad que se realizan en la compañía, siendo el pentesting persistente la estrategia ideal para analizar los grandes volúmenes de dispositivos que forman parte del ecosistema IoT de las empresas.

Por otro lado, la aproximación desde la red a estos nuevos escenarios debe ir encaminada hacía la implantación de sistemas de análisis de comportamiento de tráfico. Frente a una enfermedad desconocida la solución de la medicina es identificar los síntomas, todo aquello que está fuera de la normalidad es susceptible de ser dañino y debe ser investigado. Examinando el tráfico de red mediante herramientas de correlación de big data es posible construir modelos de comportamiento y a partir de entonces se trata de detectar situaciones anómalas. De esta manera, se podrá identificar: los nuevos dispositivos, las conexiones con IPs desconocidas, frecuencias de tráfico sospechosas o comandos extraños. Nos referimos a una solución similar al proyecto BANDS para sistemas SCADA basado en Sinfonier (iv):

BANDS es un sistema de monitorización y detección de intrusión que detecta los eventos inusuales, tanto ataques cibernéticos como errores operativos, y logra este objetivo modelando patrones de compartimiento por medio de la monitorización de todo el tráfico de red en tiempo real. BANDS hace acopio de las tramas IP que intercambian los dispositivos de la red para extraer información de ellas. BANDS no busca la amenaza en sí, que puede haber mutado y ser irreconocible, sino las repercusiones que esta tiene sobre el sistema SCADA.

IoT ya está dentro en la empresa, así que no queda otra que tomar el control. Aquello que no se conoce no se puede securizar.

i 'Bring Your Own Internet of Things' coming to businesses in 2015
ii 'Mapping The Connected World' by Christopher Mines
iii IoT in the E: How the Internet of Things Will Transform the Enterprise

iv También te puede interesar:
BANDS: Detección proactiva de amenazas en infraestructuras críticas
Qué hemos presentado en el Security Day 2015 (III): un combinado de Tacyt y Sinfonier

Francisco Oteiza
francisco.oteiza@11paths.com

No hay comentarios:

Publicar un comentario