esenfrdeitptru

¿Dónde deberían comenzar las organizaciones en lo que respecta a la seguridad de los dispositivos IoT?

AS-030-2022

Fecha: 1/Abr/2022

Resumen:

El mercado de Internet de las cosas (IoT) tiene un problema de seguridad que se está convirtiendo en un problema empresarial. Según una encuesta reciente realizada por Ponemon Institute, el 59 % de los responsables de la toma de decisiones sobre la seguridad de los productos integrados dicen que han perdido ingresos debido a problemas de seguridad del producto.

Se espera que el valor de mercado de IoT esté entre $ 5.5-12.6 billones para 2030 eso deja a los fabricantes de IoT en la necesidad de una estrategia de seguridad que pueda escalar con el creciente mercado. Pero la seguridad para los dispositivos IoT aún no está tan madura como otros sectores.

Los dispositivos IoT son detectables, de fácil acceso y conectados a los sistemas físicos lo que los deja vulnerables a los actores de amenazas oportunistas, así como a los atacantes de estados-nación más sofisticados que buscan llevar a cabo ataques distribuidos de denegación de servicio (DDoS), ensamblar botnets y dirigir ataques ciberfísicos en entornos críticos.

La IoT Security Foundation publicó recientemente un informe que encontró que solo el 21.6% de las empresas tienen una política de divulgación de vulnerabilidad y el 78.4% de las empresas no pasarían una prueba de umbral.

Identifique su línea de base

No puedes asegurar lo que no puedes ver. Si desconoce todos los componentes del firmware del dispositivo integrado, en este sentido cualquier esfuerzo de seguridad restante tendrá un punto ciego significativo.

Sin esta línea de base de visibilidad, podría permitir grandes agujeros de seguridad en dispositivos implementados en entornos críticos. Por ejemplo, se descubrió que los drones DJI transmitían información al gobierno chino, lo que llevó a la presión del Pentágono para detener su uso.

Algunos riesgos de productos no provienen de atacantes, sino de problemas legales. Garantizar que los certificados de seguridad estén actualizados también es clave antes de la implementación.

Estándares de cumplimiento

Si bien nadie puede garantizar un dispositivo impenetrable, es imperativo que los fabricantes de dispositivos prioricen las salvaguardas a medida que se mantienen al día con la demanda de productos, cumplan con los estándares de seguridad.  Esto no solo contribuye en gran medida a asegurar su producto, si puede demostrar sus esfuerzos de mitigación de riesgos, ayudará a que sus clientes se sientan cómodos.

El Instituto Nacional de Estándares y Tecnología (NIST) publicó los criterios de seguridad de referencia para los dispositivos IoT en agosto y cuatro documentos en diciembre pasado.

Referencias:

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.02042022-2.pdf
https://www.helpnetsecurity.com/2022/03/31/devices-security/