Con miles de millones de dispositivos conectados, el IoT está empezando a crecer y a formar parte no solo de nuestra vida cotidiana, sino también de nuestras empresas. Pero mientras disfrutamos de las ventajas del mundo conectado, es importante tener en cuenta las consecuencias de las posibles brechas de seguridad.
Diferentes casos de uso tienen diferentes requisitos y presupuestos, lo que significa que algunos despliegues de IoT pueden no estar utilizando el hardware más capaz - y el dispositivo que utilice puede tener implicaciones reales en su despliegue en términos de seguridad. Por ello, vamos a repasar algunos de los aspectos que debes tener en cuenta a la hora de diseñar tu despliegue para garantizar su seguridad.
Amenazas típicas a la seguridad de los dispositivos IoT desplegados
Muchos despliegues de IoT implican la distribución de grandes volúmenes de dispositivos de bajo coste debido a limitaciones presupuestarias, lo que normalmente significa dispositivos con seguridad y endurecimiento inmaduros o insuficientes, lo que a su vez conlleva superficies de ataque asociadas.
He aquí algunos ejemplos de amenazas a las que puede enfrentarse con este tipo de dispositivos:
- Un fallo en la seguridad de un dispositivo desplegado que podría ser utilizado por un atacante para obtener acceso al dispositivo, a la red de dispositivos o incluso al servidor de aplicaciones. Este acceso podría ser aprovechado para insertar datos defectuosos, extraer datos o inyectar malware en el sistema.
- Un atacante podría robar un dispositivo físicamente inseguro y llevarlo a un lugar más adecuado para realizar nuevos ataques.
- Utilizando la conectividad de un dispositivo comprometido, un atacante podría emular un dispositivo legítimo para obtener acceso a la red de dispositivos o al servidor de aplicaciones.
- Un dispositivo o suscripción mal configurados que podrían ser utilizados por un atacante para obtener acceso a servicios que no deberían estar disponibles en la aplicación diseñada.
No todos los casos de uso disponen del presupuesto necesario para soportar dispositivos IoT con seguridad reforzada, o dispositivos que hayan sido probados y validados exhaustivamente por organizaciones fiables. Y muchas implantaciones se basan con éxito en hardware sencillo. Pero es importante comprender las consecuencias que la falta de seguridad reforzada puede tener en el resto de la solución durante su vida útil.
Por ejemplo, un dispositivo barato y sencillo puede no tener capacidad para actualizar el firmware, e incluso si el dispositivo tiene capacidad para actualizar el firmware debe preguntarse si puede permitirse gastar la energía de la batería necesaria para realizar las acciones asociadas. Si dentro de unos años se detecta un fallo crítico, ¿cómo se gestionarán y mitigarán sus efectos? Existen soluciones, pero es posible que el diseño para gestionar este tipo de problemas tenga que implementarse desde el principio.
Además, es importante hacer un seguimiento de los dispositivos desplegados, como su ubicación y estado. Con miles de dispositivos potencialmente desplegados, es difícil hacer un seguimiento manual de la desaparición o reaparición de un solo dispositivo, y puede que te encuentres buscando respuestas a las siguientes preguntas:
- ¿Qué ha provocado la caída de un dispositivo de la red?
- ¿Se ha vuelto a conectar en otro lugar?
- ¿Ha cambiado algo más durante su ausencia?
Todos estos son signos de manipulación que podrían ser el comienzo de un intento de violar la red y hay formas de mitigar este tipo de amenazas.
Nuestra recomendación es utilizar algún tipo de función para autenticar el dispositivo, ya sean certificados de dispositivo o funciones integradas en su plataforma de gestión de la conectividad (CMP) utilizando las capacidades de autenticación ya existentes en la tarjeta SIM, preferiblemente combinadas con el seguimiento de la ubicación del dispositivo y activadores de cambio de dispositivo (notificación de cambio de IMEI).
Un atacante que tenga acceso físico a un dispositivo puede obtener acceso a la SIM. Al utilizar la conectividad que proporciona la SIM en un dispositivo diferente, el atacante puede tener más posibilidades de vulnerar la red. El atacante también puede obtener acceso a servicios que no estaba previsto utilizar pero que se dejaron activados en la suscripción.
Por ejemplo, cuando se despliegan múltiples casos de uso diferentes, los servicios de voz y datos se aprovisionan en todas las suscripciones, pero en realidad la voz sólo sería utilizada por unos pocos dispositivos en un caso de uso específico. Un atacante que accediera a cualquier tarjeta SIM en un despliegue de este tipo podría generar llamadas de voz de alto coste o causar perjuicios económicos.
La principal mitigación que proponemos para estas amenazas son los activadores de cambio de dispositivo y las reglas de automatización asociadas en Cisco IoT Control Center (notificación de cambio de IMEI), que pueden bloquear automáticamente la suscripción y la SIM si se inserta en un dispositivo diferente. Otras capacidades de mitigación incluyen el aprovisionamiento del conjunto de servicios correcto a través de API una vez que se despliega un dispositivo, y la supervisión continua de la utilización del servicio.
Otras amenazas para su servicio IoT
Al margen de las amenazas a los dispositivos, una de las amenazas más inquietantes para un servicio IoT son los ataques de denegación de servicio. Si un atacante identifica piezas clave de la infraestructura, puede lanzar un ataque de sobrecarga que podría dejar toda la solución IoT completamente fuera de servicio. Esto es posible cuando una solución depende de Internet para el transporte de datos. Incluso si los datos están en túneles y cifrados, las pasarelas tienen interfaces hacia Internet y, como tales, están expuestas a ataques en caso de ser identificadas.
La mitigación de este tipo de riesgos consiste en sacar la ruta de transmisión de Internet y llevarla a un dominio privado. Mediante el uso de una interconexión privada, una interconexión de nube privada o incluso una interconexión privada virtual, se proporciona una ruta separada desde el dispositivo hasta el centro de datos del cliente, donde nunca transita por un medio compartido, lo que a su vez hace que sea cada vez más difícil para un atacante encontrar superficies de ataque para ataques de denegación de servicio.
También está el tema de la segmentación de datos y redes. El uso de una interconexión privada permite incluir los dispositivos IoT sobre el terreno en su propia intranet, lo que permite aplicar los mismos principios de seguridad que el resto de servicios informáticos del cliente, aunque no siempre sea la configuración preferida.
Tal vez haya subconjuntos de dispositivos que sea preferible mantener fuera, que es donde entra en juego la segmentación. Utilizando APN privadas, el cliente puede segmentar sus dispositivos en categorías de red o incluso separar los datos en categorías de clasificación de datos, cada una con un direccionamiento y puntos finales del lado del servidor independientes . Al dar de alta a un nuevo cliente, nuestros gestores de servicio suelen revisar el diseño en detalle, eligiendo una configuración que se adapte bien a lasnecesidades y requisitos delcaso de uso del cliente.
Sistemas que interactúan
Tele2 IoT utiliza Cisco IoT Control Center como plataforma de gestión de la conectividad. IoT Control Center es muy capaz en términos de control de suscripción, supervisión y automatización y viene con un amplio conjunto de API para el control externo por parte de los clientes. Un cliente debe exigir que otros sistemas que adquiera también admitan API para permitir que los sistemas de control interactúen entre sí.
Un ejemplo en el que este tipo de interacciones del sistema entran en juego podría ser que un dispositivo (Dispositivo A) se instale y active sobre el terreno y el instalador seleccione el caso de uso B como actividad designada. La plataforma de gestión de dispositivos llamaría entonces a la CMP a través de una API solicitando que el perfil de servicio asociado con el caso de uso B se proporcione al dispositivo A. La CMP podría entonces informar a la aplicación del cliente de que puede esperar que los datos asociados con el caso de uso B lleguen desde la Suscripción C que ha asociado con el dispositivo A a través del enlace asociado con APN D.
En caso de que la SIM se traslade a un dispositivo diferente, la relación entre el Dispositivo A y la Suscripción C se rompería y el CMP podría actuar, informando tanto a la gestión del dispositivo como a la aplicación del cliente. Ambas podrían contener lógica para solicitar a la CMP que actúe, o si se configura localmente en la CMP actuaría primero y luego informaría a los sistemas externos para evitar mayores implicaciones de seguridad.
Si se planifica, diseña y configura correctamente, un despliegue de IoT es muy seguro, incluso cuando las limitaciones del caso de uso, como el presupuesto, obligan a tomar decisiones de diseño en las que la seguridad no está al nivel que debería estar según las políticas.
Buenas prácticas
- Controla tus dispositivos:
- Dónde están, cuándo se han colocado, si estarán fijas o se moverán, y cómo se supone que se comunican...
- Piense en el ciclo de vida del dispositivo, incluido el mantenimiento del firmware
- Acceso físico, contraseñas y disponibilidad del servicio
- Supervisión automatizada del uso del servicio, cambio de ubicación del dispositivo y cambio de dispositivo, notificaciones de identidad.
- Segmentación de redes y datos, conexiones privadas para reducir la exposición
- Habilite la integración de API entre componentes para aumentar las capacidades de aplicar la política de seguridad y actuar en caso de infracción.
Si desea obtener más información sobre seguridad y privacidad de datos y sobre cómo proteger mejor su solución IoT, póngase en contacto con nosotros.
Jonas Hallman
Arquitecto IoT
Tele2 IoT