Los 5 principales desafíos de seguridad del Internet industrial de las cosas y formas de superarlos
Publicado: 2023-09-04En 2010, una planta nuclear en Natanz, Irán, fue víctima del malware Stuxnet dirigido a Simatic Step 7, un producto de software para configurar y operar controladores lógicos programables (PLC). El ataque permitió a los piratas informáticos explotar las unidades PLC de la fábrica y dañar casi mil centrifugadoras de enriquecimiento de uranio, asestando un duro golpe al programa nuclear del país.
En el caso de Irán, esto no fue necesariamente algo malo; Realmente no queremos más armas nucleares, ¿verdad? Pero imagínese si le pasara lo mismo a su fábrica o a sus equipos valorados en varios millones de dólares cada uno, con su reputación en juego. Siempre es útil poner las cosas en perspectiva, ¿verdad?
Lo que queremos decir aquí es esto: su empresa no puede permitirse el lujo de tomarse la ciberseguridad a la ligera, especialmente si opera en sectores altamente competitivos como la fabricación y la gestión de la cadena de suministro, y especialmente si su empresa ha aprovechado el desarrollo de software de Internet de las cosas, solo como lo han hecho el 72% de tus rivales.
Desde detectar anomalías en el rendimiento de los equipos antes de que ocurran fallas hasta monitorear los niveles de inventario en tiempo real utilizando etiquetas RFID y balizas BLE, existen muchas aplicaciones y beneficios interesantes de IIoT a considerar. Hay muchas formas en que su solución IIoT podría comprometer toda su infraestructura de TI, lo que tendría las siguientes consecuencias:
- Maquinaria dañada
- Tiempo de inactividad de la producción
- Accidentes en la fábrica
- Filtración de datos
- Daño reputacional
- Pérdidas financieras directas e indirectas causadas por todo lo anterior.
¿Cuáles son los factores clave que ponen en riesgo la seguridad de IIoT y cómo puede su empresa prever y resolver los desafíos de seguridad de IIoT antes de que ocurra un desastre? ¡Resolvamos el acertijo juntos!
Resumen de fallas y desafíos de seguridad de IIoT
En aras de la claridad, definamos el IIoT y sus componentes tecnológicos antes de centrarnos en sus implicaciones de seguridad.
El término IIoT se refiere a la red interconectada de máquinas, sensores, controladores y sistemas que se comunican e intercambian datos entre sí y con plataformas centrales en entornos industriales.
Estos sistemas ciberfísicos combinan elementos de equipos industriales tradicionales con conectividad, análisis de datos y visualización de datos. Las empresas recurren a consultores de IIoT para monitorear las operaciones de fabricación y almacén y automatizar procesos individuales o flujos de trabajo completos.
Detrás de escena, IIoT tiene la misma arquitectura que cualquier otra solución de Internet de las cosas (IoT), aunque las implementaciones de IoT de borde donde los datos se analizan más cerca de los sensores tienden a prevalecer en entornos industriales. Las empresas que aprovechan el IIoT pueden adquirir equipos nuevos mejorados con sensores y conectividad compatible de forma predeterminada o actualizar la maquinaria existente utilizando kits de modernización del IIoT personalizados y disponibles en el mercado.
Desde el punto de vista de la seguridad del IIoT, ¿por qué es importante comprender cómo funcionan los sistemas IIoT entre bastidores? Los problemas de seguridad del IIoT pueden manifestarse en todos los niveles de su sistema ciberfísico, desde controladores programables hasta aplicaciones heredadas que contienen vulnerabilidades sin parches. Para mitigar los riesgos de seguridad de IIoT, su empresa debe proteger todos los puntos finales de su red cableada o inalámbrica, proteger los datos en tránsito y en reposo, y reparar las lagunas de seguridad en las aplicaciones que componen su infraestructura de TI.
Sin más preámbulos, investiguemos qué factores socavan la seguridad en las soluciones IIoT y qué puede hacer usted para proteger sus sistemas ciberfísicos de estas amenazas.
Desafío 1: Comunicaciones no seguras
Las tecnologías de conectividad son la columna vertebral de todos los sistemas de IoT, independientemente de la complejidad y el área de aplicación.
En entornos industriales, a medida que más dispositivos y sensores se conectan, surgen más puntos finales, canales de comunicación y soluciones de almacenamiento de datos. Y esto requiere una combinación muy diversa y, preferiblemente, equilibrada de datos y protocolos de red que cumplan requisitos de seguridad específicos de IIoT.
Actualmente, hasta el 98% de todo el tráfico de IoT no está cifrado, lo que significa que los piratas informáticos pueden eludir fácilmente la primera línea de defensa (por ejemplo, al conocer el nombre de usuario y la contraseña de un usuario mediante un ataque de phishing) y poner sus manos en los datos de su empresa.
Las malas prácticas de cifrado se deben al uso de tecnologías de comunicación heredadas, como Modbus, Profibus y DeviceNet. De hecho, la mayoría de los protocolos de comunicación IIoT heredados carecen por completo de capacidades de cifrado de datos, lo que obliga a los desarrolladores de IoT a buscar soluciones alternativas, como implementar VPN y túneles o puertas de enlace seguros y abordar problemas de cifrado en Secure Sockets Layer (SSL)/Seguridad de la capa de transporte ( TLS) nivel.
Solución
Para asegurar el intercambio de datos entre los componentes de una solución IIoT y así prevenir accidentes de seguridad IIoT, le recomendamos implementar una pila tecnológica de conectividad a prueba de fallas que consta de lo siguiente.
Protocolos de datos confiables
En IIoT, los protocolos de datos determinan cómo los dispositivos estructuran, codifican e interpretan la información. Si su empresa opta por una implementación de IIoT por cable, podría facilitar el intercambio de datos entre los equipos conectados y las puertas de enlace a través de protocolos Ethernet, como Profinet, EtherNet/IP y Modbus TCP/IP.
Si bien estos protocolos no admiten inherentemente el cifrado de datos, sus desarrolladores de IIoT aún pueden hacer que los datos sean ilegibles para terceros implementando la pila tecnológica TLS/SSL en la capa de transporte o introduciendo dispositivos intermediarios, como puertas de enlace seguras o firewalls, entre los dispositivos conectados y el red. Si busca un protocolo de datos más flexible para IIoT y soluciones de automatización industrial, le recomendamos encarecidamente el protocolo OPC Unified Architecture (OPC UA), que admite cifrado de extremo a extremo, emplea certificados digitales X.509 para la autenticación de dispositivos y puede Se puede utilizar en soluciones IIoT tanto cableadas como inalámbricas.
Al construir sistemas IIoT inalámbricos, el equipo de ITRex generalmente se ciñe al transporte de telemetría de colas de mensajes (MQTT), al protocolo de aplicaciones restringidas (CoAP), al protocolo avanzado de colas de mensajes (AMQP), WebSockets o API RESTful con HTTPS. Estos protocolos modernos ofrecen capacidades de cifrado a través de TLS/SSL o Datagram Transport Layer Security (DTLS) y ayudan a establecer canales de comunicación seguros entre equipos conectados, puertas de enlace y servidores en la nube.
Para obtener más información sobre los protocolos de datos y su impacto en la seguridad de IIoT, reserve una consulta gratuita con nuestro equipo de I+D.
Protocolos de red seguros
A diferencia de los protocolos de datos, que se ocupan principalmente del intercambio de información y la interoperabilidad, los protocolos de red definen reglas, estándares y procedimientos sobre cómo se conectan los dispositivos, cómo se transmiten los datos y cómo interactúan los componentes de un sistema IIoT dentro de una red.
Desde el punto de vista de la seguridad del IIoT, los protocolos de red pueden ser objetivos atractivos para los piratas informáticos. Las razones de esto incluyen mecanismos limitados de autenticación y control de acceso y una falta de capacidades de cifrado de datos. Dependiendo de su arquitectura de red (es decir, patrones punto a punto, estrella o malla) y de los casos de uso previstos, puede utilizar varios protocolos de red para abordar los desafíos de seguridad de IIoT. Estos protocolos abarcan el servicio de distribución de datos (DDS), la red de área amplia de baja potencia (LoRaWAN), Zigbee, WirelessHART e IoT de banda estrecha (NB-IoT).
Para seleccionar la pila de tecnología de conectividad adecuada que satisfaga todas sus necesidades de seguridad de IIoT, es importante considerar el tipo de sistema ciberfísico que desea construir, el rango de transmisión de datos requerido y los requisitos de consumo de energía. Esto se puede hacer durante la fase de descubrimiento de su proyecto de IoT.
Desafío 2: Prácticas inadecuadas de actualización de software
A diferencia de las computadoras, tabletas y teléfonos inteligentes, los dispositivos IoT no son compatibles con sistemas de seguridad de terminales, como programas antivirus, simplemente porque a menudo ejecutan software integrado altamente personalizado u obsoleto o están diseñados específicamente para ser pequeños y energéticamente eficientes.
Si bien se pueden resolver parcialmente los desafíos de seguridad de IIoT mediante la introducción de firewalls, detección y prevención de intrusiones (IDP), junto con mecanismos de control de dispositivos a nivel de red, actualizar las aplicaciones que constituyen su ecosistema de software de IIoT a la última versión se vuelve fundamental para resolver posibles problemas de seguridad de IIoT. .
Hablando de software IIoT, debemos trazar una línea entre los sistemas integrados, como firmware, middleware y sistemas operativos (SO), y el software común: piense en aplicaciones web, de escritorio y móviles que facilitan la administración de dispositivos.
Debido a las limitaciones de diseño de los dispositivos IIoT y a la gran cantidad de puntos finales dentro de un sistema ciberfísico, parchear las vulnerabilidades de seguridad del software IIoT es una tarea que pocas empresas industriales pueden abordar. Es por eso que hasta el 65% de los fabricantes todavía utilizan sistemas operativos obsoletos plagados de vulnerabilidades de seguridad de día cero.
Solución
Para mitigar los riesgos de ciberseguridad del IIoT, una empresa industrial debe contar con un mecanismo eficiente de gestión de actualizaciones de software.
Aquí en ITRex, somos firmes defensores de las actualizaciones de software y firmware por aire (OTA). En este escenario, una plataforma basada en la nube impulsada por AWS IoT Device Management, Azure IoT Hub o soluciones SaaS preconfiguradas como Bosch IoT Rollouts entrega automáticamente actualizaciones de software a dispositivos perimetrales, controladores y puertas de enlace.
Una plataforma de administración de dispositivos configurada correctamente también realizará un mejor seguimiento de su flota de dispositivos, optimizará las implementaciones de actualizaciones a la luz de las configuraciones y requisitos de seguridad específicos del dispositivo y notificará a su equipo de TI en caso de emergencia.
Desafío 3: Medidas de seguridad física deficientes
Dejando a un lado la seguridad de la red IIoT, una empresa industrial con conciencia cibernética también debería evitar que los ciberdelincuentes y personas internas maliciosas roben hardware con el objetivo de escanear el interior de los dispositivos e infestarlos con virus y programas de espionaje.
Las medidas de seguridad física insuficientes no solo comprometen la integridad y la confidencialidad de los datos confidenciales, sino que también provocan interrupciones del servicio, tiempos de inactividad operativa y pérdidas financieras. Las repercusiones de las vulnerabilidades de la seguridad física pueden extenderse más allá de su impacto inmediato, poniendo potencialmente en peligro la seguridad pública y la infraestructura crítica.
Solución
Para abordar los problemas de seguridad física deficiente en IIoT, se requiere un enfoque multifacético. Esto es lo que su empresa debería hacer como parte de la revisión de la seguridad física del IIoT.
Priorizar la implementación de mecanismos robustos de control de acceso
Esto incluye medidas como el control de acceso basado en roles (RBAC) a los equipos conectados, la autenticación biométrica y la videovigilancia basada en visión por computadora, así como la implementación de sistemas de detección de intrusos.
Realizar auditorías periódicas de seguridad física y evaluaciones de riesgos
Las auditorías de seguridad de IIoT ayudan a identificar vulnerabilidades desde el principio. También ayudan a desarrollar estrategias de mitigación apropiadas. Este enfoque proactivo permite a las organizaciones ir un paso por delante de posibles amenazas y tomar medidas preventivas para salvaguardar sus sistemas IIoT. En la práctica, esto significa desconectar de la red los dispositivos con evidencia de manipulación, ocultar las marcas del fabricante en los dispositivos y, cuando sea posible, eliminar componentes innecesarios de la solución IIoT para evitar eventos de ingeniería inversa.
Implementar programas integrales de capacitación para empleados
Crear conciencia sobre los riesgos de seguridad física y las mejores prácticas es clave para fortalecer la ciberseguridad del IIoT (más sobre esto más adelante). La colaboración entre los equipos de TI y de seguridad física también es vital. Esta asociación garantiza un enfoque holístico de la seguridad, donde se consideran y sincronizan los aspectos físicos y digitales para brindar una protección sólida contra las amenazas de seguridad emergentes.
Desafío 4: Visibilidad limitada de los dispositivos y la actividad de la red
Hasta el 90% de las organizaciones informan tener dispositivos de IoT en la sombra en su red, y el 44% de los encuestados admitió que dichos dispositivos estaban conectados sin el conocimiento de sus equipos de seguridad o de TI.
Como resultado, mucho personal de la empresa desconoce qué dispositivos se comunican entre sí, incluido el tipo de información que recopilan e intercambian, y si esta información es inaccesible a terceros. Y el hecho de que las auditorías de seguridad de IIoT vayan mucho más allá de identificar soluciones de hardware por su IP y sistema operativo sólo complica el asunto.
Solución
Hay varios pasos que puede seguir para lograr visibilidad de dispositivos y redes en implementaciones de IIoT.
- Analice todas las comunicaciones de la red utilizando soluciones de inspección profunda de paquetes (DPI).
- Recopile información exhaustiva del dispositivo, incluido el tipo de hardware, modelo, número de serie y versiones del sistema integrado.
- Agrupe sus dispositivos según su tipo, función, importancia de la misión y posibles riesgos de seguridad de IIoT.
- Cree redes de área local virtuales (VLAN) para cada grupo de dispositivos para mejorar la visibilidad y el control del tráfico.
- Utilice plataformas confiables de administración de dispositivos, como AWS IoT Core, Azure IoT Hub y PTC ThingWorks, para mejorar los inventarios de dispositivos, el monitoreo, la configuración, la implementación de actualizaciones y la resolución de problemas.
Desafío 5: Capacitación y ciberconcienciación insuficientes de los empleados
Como mencionamos anteriormente, la falta de colaboración y coordinación entre los equipos de tecnología de la información (TI) y tecnología operativa (OT) puede resultar en prácticas deficientes de gestión de seguridad de IIoT.
Si bien los operadores de equipos y gerentes de fábrica pueden cuidar adecuadamente las máquinas conectadas, a menudo saben poco sobre las tecnologías integradas y de conectividad que las impulsan. Los equipos de TI, por el contrario, están bien versados en seguridad de la información tradicional, pero tienden a tratar las soluciones IIoT como hardware ordinario.
Esto puede provocar niveles bajos de parches, visibilidad limitada de la actividad de la red y configuraciones incorrectas de los sistemas IIoT. Además, los ciberdelincuentes pueden aprovechar el conocimiento limitado de sus empleados sobre las mejores prácticas de seguridad de IIoT mediante ataques de phishing y suplantación de identidad. Su equipo también puede elegir contraseñas débiles o reutilizar contraseñas en todas las aplicaciones, lo que puede abrir una puerta trasera a su infraestructura de TI, socavando la seguridad del software IIoT.
Solución
A continuación se presenta un plan de alto nivel que podría ayudar a su empresa a generar conciencia sobre la ciberseguridad entre los empleados.
Cree programas de capacitación específicamente adaptados al entorno IIoT
Estos programas deben cubrir temas como los fundamentos de la ciberseguridad, la seguridad de los dispositivos IoT, las prácticas de configuración segura, la higiene de las contraseñas, el reconocimiento y la notificación de posibles incidentes de seguridad y el cumplimiento de las políticas y procedimientos de seguridad internos.
Realice sesiones de capacitación periódicas para garantizar que los empleados se mantengan actualizados con las últimas amenazas y mejores prácticas de ciberseguridad.
Esto se puede hacer a través de talleres, seminarios, seminarios web o módulos de capacitación en línea en su sistema de gestión de aprendizaje (LMS). Como parte de las actividades de capacitación, por ejemplo, podría enseñar a su personal a reconocer y responder a las amenazas de seguridad del IIoT mediante simulaciones de phishing y pruebas de penetración. También debe adaptar los programas de capacitación a funciones laborales específicas, asegurando que los empleados reciban la capacitación relevante para sus responsabilidades. Por ejemplo, el personal de TI puede necesitar más capacitación técnica, mientras que los empleados operativos pueden necesitar capacitación sobre el uso seguro de dispositivos y la seguridad física.
Desarrollar políticas y procedimientos integrales que aborden los desafíos de seguridad de IIoT
Comunique estas políticas de manera efectiva a los empleados y asegúrese de que comprendan sus funciones y responsabilidades en el mantenimiento de la seguridad. Revise y actualice periódicamente estas políticas a medida que evolucionan la tecnología y las amenazas.
Promueva una cultura de concienciación y responsabilidad sobre la seguridad de IIoT en toda su organización
Aliente a los empleados a informar con prontitud cualquier incidente de seguridad o actividad sospechosa. Enfatice que la ciberseguridad es responsabilidad de todos, desde la alta dirección hasta el personal de primera línea, y recompense a los empleados por demostrar buenas prácticas de seguridad.
Considere asociarse con consultores o expertos externos en IIoT para realizar evaluaciones de seguridad
Los expertos externos pueden aportar información valiosa, las mejores prácticas de la industria y la inteligencia sobre amenazas más reciente para mejorar los programas de capacitación de los empleados. Además, pueden ayudarle a incorporar las denominadas prácticas de “seguridad por diseño” al proceso de desarrollo de software de IIoT y a obtener requisitos funcionales y no funcionales para las implementaciones de IIoT.
En una nota final
Las tasas de adopción de IIoT se han disparado en los últimos años, al igual que los ataques de alto perfil dirigidos a infraestructuras críticas de IIoT.
Según una encuesta reciente de Check Point, en los primeros dos meses de 2023, el 54% de las empresas sufrieron ataques relacionados con IoT, con un estimado de 60 ataques por semana por organización (un 41% más que el año pasado). Entre los dispositivos más susceptibles a los ataques de piratas informáticos se encuentran los enrutadores, las grabadoras de vídeo en red y las cámaras IP; en resumen, el hardware que constituye la columna vertebral de la infraestructura de TI de cada empresa.
Incluso si su equipo de TI sigue las mejores prácticas de seguridad de IIoT durante todo el proceso de desarrollo e implementación, no hay garantía de que los piratas informáticos no ejerzan control sobre su equipo y sus datos explotando vulnerabilidades en aplicaciones y dispositivos fuera del ecosistema de IIoT. Es por eso que su empresa necesita una estrategia de seguridad integral, ¡que es lo que ITRex puede hacer por usted!
Ya sea que esté considerando lanzar un piloto de IIoT o necesite ayuda para escalar una prueba de concepto (PoC) de IIoT en otros casos de uso, ¡escríbanos! Estamos bien versados en análisis de negocios, ingeniería de sistemas integrados, computación en la nube y DevOps, así como en desarrollo de aplicaciones para el usuario final.
Este artículo fue publicado originalmente en el sitio web de itrex.