Internet of Things – Nuevos desafíos de seguridad
Antonio Nicolás Ramos
Qué es la Internet of Things (IoT)?
La IoT es una red de objetos físicos que contienen tecnologías para comunicarse y detectar o interactuar con sus estados internos o con el entorno externo.
Los sistemas y sensores integrados conectan los objetos a Internet, interactuando con ella para generar resultados significativos y funcionalidades convenientes a usuarios finales.
2
Industria 4.0 como la cuarta revolución industrial
3
Conectada
Cuarta Revolución industrial
Hoy
Primera Revolución Industrial
Mecánica
1700’s
Primeras fábricas alimentadas
por la maquinaria a vapor
Seguda Revolución Industrial
Eléctrica
1800’s
La electricidad hizo posible la
división del trabajo y la
producción en masa.
Tercera Revolución Industrial
Automatizado
1900’s
Tecnologías TI permitieron el
trabajo programable y el fin de
la dependencia del trabajo
manual
Los sistemas cibernéticos, impulsados por IoT y alimentados por
gran cantidad de datos, crean una sociedad completamente
interconectada.
Ritmo sin precedentes
Para que una nueva
tecnología alcance una masa
crítica de 50m usuarios
35días
Experiencias extremas
Porcentaje de clientes que
buscan una experiencia más
fluida
87%
Caos conectado
“Cosas” conectadas a Internet
para 2020 ** incluyendo
sensores, chips RFID, etc.
50bn
Nativos digitales
Para el año 2025, se proyecta
que la fuerza laboral sea
mayormente nativo digital
75%
IoT en sistemas industriales y sistemas diseñados para usuarios finales
4
Internet of Things
Industrial IoT/I4.0 Consumer IoT
A través de la tecnología se permite la interacción entre hombre, máquinas y sensores para aumentar la productividad en entornos industriales
A través de la tecnología, es posible la prestación
de servicios personalizados para
mejorar la calidad de vida en el ámbito
privado.
IoT – Desde el producto al sistema
5
Producto
Inteligente
Conectado
Producto Inteligente
Producto Físico
Mecánico Eléctrico
Conectividad
Cableada o inalámbrica / Capacidad para conectar
Electrónica y Control
Capacidad para procesar
Sensores
Capacidad para medir
Software
Capacidad para instruir
Interfaz de Usuario
Capacidad para interactuar
Nube del Producto
Capacidad para almacenar y analizar datos / ejecutar aplicaciónes
Qué beneficios traen las tecnologías industriales (OT)?
6
Incremento de la
Productividad y
Flexibilidad vistos
como los beneficios
más importantes
1
Solo unas pocas
compañías desean
modificar sus
modelos de
negocio
2
La Seguridad IT es el principal impacto
en los modelos de
negocio basados en IoT
e industria 4.0.
3
Impacto de los siguientes aspectos de IoT e Industria 4.0 en su modelo de negocio?
Beneficios potenciales de los siguientes niveles de IoT e Industria 4.0 para su compañía?
Qué pasa cuando OT / IT converge y los dispositivos legacy son remplazados por IoT?
7
15 years delay in moving from isolated, closed
systems to unified interconnecded environments
Isolated
systems
Centralized
systems
ERP / CRM
new
functionalities
Virtualisation
SSCs
Cloud
computing
Lack of IT
knowledge
Closed
systems
No
standardsCorporate
costs
IT Effectiveness
OT
IT
Unification of
technologies
SECURITY
Closed
systemsSECURITY
...
20142012‘90s‘80s 2000
Isolated
systems
Connection with
business LANClose
cooperation
IT Department
OT DepartmentProblems:
Problems:
I S S U E S
I S S U E S
I S
S U
E S
I S
S U
E S
IT Department
OT Department
OT
IT
El desafío es cómo asegurar de forma eficiente y eficaz los sistemas OT y los entornos de
fabricación, aprovechando toda la experiencia adquirida a lo largo de los años.
Amenazas cibernéticas e IoT – La frontera de riesgos de la empresa se está expandiendo
8
La interconectividad de personas, dispositivos y organizaciones en el mundo digital actual
abre nuevas oportunidades – puntos de acceso donde los atacantes pueden acceder a
datos y sistemas sensibles.
IoT conducirá a un
aumento de las
oportunidades, así
como un aumento
de la complejidad
y riesgos
Para que las organizaciones puedan comunicarse
con sus partners, deben crear “huecos” en sus
barreras de seguridad.
Su Sistema de Seguridad debe alcanzar toda su
red, incluyendo clientes, proveedores,
colaboradores, socios de negocio, etc. –
denominados en conjunto su “ecosistema
empresarial”.
Deben identificarse las nuevas funciones y
procesos, políticas y estructuras requeridas para
expandir la frontera de riesgos.
Panorama actual – Los ataques sobre IoT son noticia
9
The Washington Post, 09/04/2017
Daily Mail, 18/04/2017
+ 150 Sirenas
Activas por la madrugada
Un Mercedes de €35.000
robado a través de una
laptop
Top 10 vulnerabilidades sobre dispositivos IoT
10
► El IoT Top 10 de OWASP enumera aspectos
importantes de la Seguridad IoT.
► La Seguridad IoT y los dispositivos conectados
suelen carecer de claridad y liderazgo.
► Las soluciones de seguridad existentes son
específicas y tácticas, y carecen de una imagen
global o a largo plazo.
► Los dispositivos existentes ya han introducido
riesgos inherentes a ellos, dificultando la gestión
de vulnerabilidades.
► Los dispositivos IoT actuales tienen más en
común con el software que con la ingeniería
mecánica, requiriendo un set de habilidades
diversas para desarrollar e implementar
dispositivos de forma segura.
1: Interface web insegura
2: Autenticación / Autorización insuficiente
3: Servicios de red inseguros
4: Ausencia de cifrado en transporte
5: Deficiencias de privacidad
6: Interface cloud insegura
7: Interface mobile insegura
8: Parametrización de Seguridad insuficiente
9: Software / Firmware inseguro
10: Seguridad física pobre
Mirando más allá del perímetro de seguridad: el ecosistema digital
11
Perímetro en expansión Límite de Seguridad tradicional
Data
La mayoría de las
compañías gastan la
mayor parte de su
tiempo y recursos
construyendo una
cerca alrededor de
su organización
interna, incluyendo
sus datos, sistemas
y recursos humanos.
Este es un punto de
partida, pero el
perímetro ya no es
estable y una barrera
ya no es lo
suficientemente
fuerte para prevenir
los sofisticados
ataques informáticos
actuales.
Seguridad IoT no es lo mismo que seguridad IT !
12
IoT
Security
IT
R&D
Mfg. ERM
External
Modelo de Interacción de
Seguridad IoT
• La responsabilidad de Seguridad en toda
la empresa abarca las tecnologías
informáticas (TI), I+D, Manufacturing y
Third Parties.
• La seguridad IoT actuará como un
integrador aprovechando las capacidades
y comprometiéndose directamente con
las unidades de negocio, TI, productos,
ERM y Third Parties.
• La innovación continua es fundamental
en la seguridad IoT para no quedarse
atrás.
Cómo podemos empezar a evaluar el riesgo?
13
Secure SDLC
Maturity Assessment
Awareness Training
Metrics Creation
Assessment de Madurez
Intentos de Intrusión
Ciclo de Desarrollo Seguro de IoT
Modelado de Amenazas
Concientización
Registro de Eventos y Analytics
Desarrollo de Métricas
Detección de Código Malicioso
Deployment Monitoring
Reverse Engineering
Guía de Implementación
Protección contra Ingeniería Reversa
Integración de actividades de seguridad al ciclo de vida de desarrollo de IoT.
Entrenamientos de concientización para entender los problemas de seguridad y desafíos del uso de dispositivos IoT.
Creación de KPIs / KRIs para proveer visibilidad a la alta gerencia sobre los riesgos existentes sobre IoT
Soporte y guía para la implementación de dispositivos IoT en entornos de producción
Realizar GAP assessments sobre las practices actuales de Seguridad IoT frente a estándares
Revisión de los dispositivos IoT de alto riesgo a través de intentos de intrusión para detectar vulnerabilidades.
Revisión de las capacidades de registro y procesamiento de eventos de seguridad sobre dispositivos IoT.
Proveer orientación para la detección de código
malicioso previo a la implementación de
dispositivos IoT.
Soporte a los fabricantes de dispositivos IoT para prevenir la ingeniería reversa sobre sus dispositivos.
Revisión de los dispositivos IoT de alto riesgo a través del modelado de amenazas para detectar vulnerabilidades.
Muchas gracias