Cisco: El modelo de seguridad de red actual no fue diseñado para el IoT

Esta entrevista forma parte del Tema de Portada del número de octubre de IT Digital Security. Puedes descargarte la revista en este enlace. 

¿Cree que el mercado está concienciado para aplicar seguridad al IoT?

Está concienciado, pero no preparado. El modelo de seguridad de red actual fue diseñado para conectar ordenadores de propósito general, y no miles de millones de dispositivos de propósito específico. Además, con el crecimiento exponencial de objetos conectados (medidores inteligentes, sistemas de climatización, dispositivos de monitorización de salud, sensores remotos para gas y petróleo...), la capacidad para obtener visibilidad es cada vez más difícil.

Esta situación se complica aún más si no hay una verdadera integración de la arquitectura de seguridad entre las IT (Information Technologies) y las OT (Operation Technologies). Y, debido a la variedad de objetos que se pueden atacar, los ciber-delincuentes pueden diseñar nuevos métodos y amenazas que aún no conocemos.

Según Gartner, aunque en 2020 más del 25% de los ataques a empresas estarán relacionados con el IoT, éstas asignarán menos del 10% de sus presupuestos de seguridad al IoT.

¿Cuáles son los mayores retos a la hora de integrar seguridad en el IoT?

Las organizaciones se enfrentan a dos retos principales de seguridad en el IoT. En primer lugar, la mayoría de los dispositivos IoT no pueden protegerse a sí mismos, creando una gran oportunidad para que los atacantes exploten las vulnerabilidades y obtengan acceso a la red corporativa. El segundo reto es la implementación a escala o masiva, ya que las organizaciones conectarán cientos de miles de dispositivos en los próximos años. Según el último Informe Cisco VNI, en 2021 las conexiones IoT supondrán el 51% (13.700 millones) del total de dispositivos conectados, y en España supondrán el 65% (223 millones).

¿Cuál cree que será el mayor uso que los ciber-delincuentes harán del IoT?

Ataques de denegación de servicio (DDoS) que utilizan botnets (redes zombies) de objetos conectados para colapsar servidores con tráfico procedente de múltiples fuentes IP; como en el caso de Mirai, el mayor ataque al IoT (de millones de objetos y un tamaño superior a 1 Tbps) que en octubre de 2016 afectó a decenas de servicios web como Airbnb, Spotify, Twitter o PayPal a escala global.

El gran desafío es que esos ataques pueden detener servicios básicos como el suministro de electricidad, gas o agua. Y es que el tamaño medio de los ataques DDoS se ha incrementado un 22% hasta los 1,2 Gbps, suficiente para dejar completamente ‘offline’ a la mayoría de organizaciones; e incluso provocar un ataque de enormes dimensiones o derivar en ataques de destrucción de servicio (DeOS, Destruction of Service), capaces de eliminar las redes seguras y de backup que utilizan las organizaciones para restaurar sus sistemas y datos tras un incidente de ciber-seguridad. Según el último Informe Cisco VNI, los ataques DDoS crecieron un 172% en 2016 y se multiplicarán por 2,5 hasta los 3,1 millones en 2021 a escala global. Y pueden representar hasta el 18% del tráfico total de Internet de un país mientras se producen.

Los ciber-delincuentes también seguirán utilizando los dispositivos IoT para acceder a la red corporativa e instalar ransomware.

¿Por qué se espera que el IoT sea menos inseguro que un dispositivo móvil?

Los dispositivos IoT tienen capacidad de cómputo, proceso y comunicación, y por tanto son un ordenador más conectado a la red corporativa que puede suponer una puerta de acceso para los atacantes, al igual que un dispositivo móvil. Pero, además, los objetos IoT no suelen incluir software antivirus o sistemas firewall e IDS/IPS, por lo que son incluso más inseguros.

En su opinión, ¿cuáles serían las recomendaciones básicas de seguridad para el IoT?

Hay varias recomendaciones básicas:

. Segmentar el tráfico IoT y el tráfico habitual de la red de TI.

. Adoptar una arquitectura de seguridad integrada, que abarque las IT, OT y la nube, capaz de establecer políticas de seguridad una vez e implementarlas en múltiples ámbitos.

. Automatizar. Nadie podrá gestionar los miles de dispositivos conectados a la red corporativa de forma manual, salvo con herramientas automatizadas (con funcionalidades de autoprotección y auto-reparación), inteligentes (basadas en políticas) y escalables.

. Mantener actualizados los sistemas, implementar firewalls y sistemas IDS/IPS y aplicar ciber-inteligencia de extremo a extremo, utilizando la red como sensor para bloquear los ataques y como reforzador de las políticas de defensa.

. Unificar los estándares, insistiendo a los proveedores para que los utilicen.

. Convertir la seguridad en elemento básico de las implementaciones IoT desde el principio.

. Si los dispositivos resultan comprometidos, activar procesos de respuesta frente a incidentes con tolerancia a fallos para proteger el negocio.

¿Cuál es la propuesta de su compañía para proteger el Internet de las Cosas?

Segmentación, visibilidad y auto-protección. Cisco dispone de una solución para la seguridad en IoT -denominada IoT Threat Defense- que combina tecnología, arquitectura y servicios para bloquear los ciber-ataques aplicando: segmentación (aislar los objetos en caso de ataque o infección para que no afecten a la red corporativa); inteligencia frente a amenazas (gracias a técnicas como inteligencia artificial y a la división Cisco Talos); automatización y simplicidad (se detecta la amenaza una vez y se aplica la protección a todos los dispositivos conectados a la red).

Esta completa arquitectura proporciona tanto visibilidad como análisis del tráfico de red hacia y desde los dispositivos IoT, así como del tráfico que entra y sale de la red corporativa. La solución puede así detectar anomalías, bloquear amenazas, identificar hosts comprometidos y ayudar a reducir los errores de los usuarios.