Ciberseguridad en IoT

Ciberseguridad en IoT

Retos y riesgos emergentes

Jeimy J. Cano M., Ph.D, CFE

Profesor Asociado

Agenda

• Introducción

• Percepción del riesgo: el reto de lo digital

• Cambio de paradigma: hacia la densidad digital

• Fundamentos del IoT

• Fundamentos de ciberseguridad

• Ciberseguridad en IoT

• Casos recientes: Ciber-inseguridad en IoT

• IoT: Riesgos y retos emergentes

Preocupaciones de los ejecutivos a nivel global

Convergencia tecnológica y densidad digital

Computación

cognitiva

Grandes

datos y

analítica

Móviles y

Redes

sociales

Impresión

3D

Computación

en la nube

Internet de

las cosas

Diseño y despliegue de Expectativas, Experiencias y Excelencia con el cliente

Industria 4.0

INDUSTRIA 1.0

Era de la mecanización

Producción mecánica impulsada por agua y vapor

1784 Primer telar mecánico

INDUSTRIA 2.0 Era de la electricidad

Producción masiva impulsada por energía eléctrica

1870 Primera línea de producción

INDUSTRIA 3.0

Era de la automatización

Producción automatizada por dispositivos electrónicos y TI

1969 Primer controlador lógico

programable (PLC)

INDUSTRIA 4.0

Era de las redes de humanos, máquinas y cosas

Producción a través de sistemas ciber-físicos

Nivel de complejidad

Inicio del siglo XX

Percepción del riesgo

Conceptualización del riesgo

Experiencia personal

Ambigüedad

Incertidumbre

Estado de indeterminación entre una causa y sus

efectos.

Complejidad

Resultado de la limitada capacidad para distinguir

aspectos concretos de la realidad, que superan los

saberes previos de los observadores.

Resultado de las interpretaciones

legítimas basadas en significados

socialmente aceptados y en hechos

reales evidenciados.

La historia particular de cada

individuo interpretada en la cámara

secreta de sus supuestos.

Riesgo: Una situación o un evento en el que algo de valor humano está en juego y donde el resultado es incierto.

¿Qué significa “ser digital”?

Comportamientos y expectativas de clientes

Cultura

triple “A”

Anticipar, Adaptar, Arriesgar

Uso de los

datos

Nuevas

capacidades

Nuevas

fronteras

del valor

Cambio de paradigma

Densidad digital

Físico

Conexiones

Datos

Densidad digital

Productos/Servicios digitalmente modificados

Densidad digital

Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.28

Impulsores

de Valor

Densidad

digital

Anticipación

Eficiencia

Coordinación

Personalización

Privacidad

Fiabilidad

Seguridad

Integración

Retos

Evolución del IoT

Era Industrial

1850

1970

Era de la Información

2020

Mainframe Computing

1

millón de dispositivos

conectados a internet

PC / Laptop

Internet &

WiFi

Internet Móvil

2000

1990

1980

2010

Internet de las

cosas

50 Billones de

dispositivos

conectados a

internet

Algunas estadísticas

Definiciones para IoT

Ya sea que se llame IoT, la Internet Industrial o los Sistemas

Ciberfísicos (CPS), el término describe una red descentralizada

de objetos (o dispositivos), aplicaciones y servicios que

pueden detectar, registrar, interpretar, comunicar, procesar, y

actuar sobre una variedad de información o dispositivos de control

en el entorno físico.

Arquitectura básica para IoT

Aplicaciones / Industrial

Analítica/ Negocio social

Conectividad /

Habilitación de servicios

Plataformas

Sistemas inteligentes

Acoplamiento industrial

Análisis de negocio y cultura social empresarial

Enlaces y servicios

Dispositivos, redes, habilitación de aplicaciones (provisionamiento)

Principios del IoT

Los dispositivos conectados en

red están instrumentados de

tal manera que pueden ser

comunicados individualmente.

Los dispositivos se conectan

entre sí a través de una

plataforma compartida,

como un servicio en la nube.

La programación y la información

del mundo físico permite a los

dispositivos realizar actividades por

sí mismos o con otros dispositivos.

Plataforma

Inteligencia

Dispositivo

1

2

3

Temas clave en IoT

Cliente

Industria

Estándares

Comunicaciones

Las normas de IoT y de

interoperabilidad evolucionarán

gradualmente.

El enfoque en el cliente cambia del hardware

y la tecnología, al software y la tecnología de

análisis

La tecnología del IoT es extremadamente

diversa y difiere según su aplicación

La seguridad y la privacidad de la información

desempeñarán un papel clave. Están surgiendo

tecnologías y prácticas más adecuadas.

InfoSEC Vs CiberSEC

Seguridad de la

Información

Ciber seguridad

Seguridad de la

Información

Ciber seguridad

Ciber seguridad

Seguridad de la

información

Ciber seguridad

Seguridad de la

_Información

I

II

III

IV

Apuntes conceptuales sobre CiberSEC

Tomado

de:

ISO

27032

–

Information

Technology- Security Techniques – Guidelines

for cybersecurity.

Tomado de: ALXELROD, W.C (2013) Engineering Safe and Secure Software Systems. Artech House

Security

Safety

Security+Safety

“Evitar que el

mundo

exterior afecte

al sistema”

“Evitar que el

sistema afecte

al

mundo

exterior”

“Asegurar que el

sistema

siga

operando, sin afectar

el mundo exterior, a

pesar de los ataques”

Sistema

Mundo

Exterior

Ataques

Sistema

Sistema

Ataques

Mundo

Exterior

Mundo

Exterior

Apuntes conceptuales sobre CiberSEC

Tomado de: ALXELROD, W.C (2013) Engineering Safe and Secure Software Systems. Artech House

Security

Safety

Security+Safety

“Evitar que el

mundo

exterior afecte

al sistema”

“Evitar que el

sistema afecte

al

mundo

exterior”

“Asegurar que el

sistema

siga

operando, sin afectar

el mundo exterior, a

pesar de los ataques”

Sistema

Mundo

Exterior

Ataques

Sistema

Sistema

Ataques

Mundo

Exterior

Mundo

Exterior

Ciberseguridad

Empresarial

Es una capacidad empresarial definida para

defender y anticipar las amenazas digitales

propias

del

ecosistema

donde

la

organización opera, con el fin de proteger y

asegurar la resiliencia de las operaciones y la

Apuntes conceptuales sobre CiberSEC

Activar

Adaptar

Anticipar

Inteligencia

Cacería de amenazas

Prototipos y riesgos

inteligentes

Juegos de guerra

Inteligencia de

amenazas

Nuevos normales

Nuevas capacidades

Entendiendo los ciberataques

Absorción ágil de las

discontinui-dades tecnológicas

Ciberataques

Cambio de percepción:

Incertidumbre e inestabilidad

Activos valiosos

en línea

Redes digitales

abiertas e

interconectadas

Atacantes sofisticados

Ideas adaptadas de: Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.

IoT: Riesgos de la convergencia tecnológica

Ideas de: Ayala L. (2016) Cyber-Physical Attack Recovery Procedures. In: Cyber-Physical Attack Recovery Procedures. Berkeley, CA.USA: Apress.

Entorno digital

Mundo físico

Sistemas legados sin

medidas de seguridad y

control avanzadas

Diagnósticos y

mantenimiento

remoto

Interconexiones

con redes

corporativas

Migrción a redes

TCP/IP

operativos

Sistemas

obsoletos

Configuraciones

inadecuadas de los

IoT: Marco de Riesgos de Seguridad

IoT: Indicadores de posibles ataques

IoT: Métodos de ataque

Forzar parada del sistema

Falla protocolo industrial: Dispositivo en estado de falla

recuperable mayor.

Descarga remota del código de

arranque

Función del protocolo industrial habilitada

Reinicio del dispositivo

Mal uso de la función que trae el dispositivo

Bloqueo del dispositivo

Generado como producto de una falla del

protocol industrial

Bloqueo de la CPU

Envío mal formado de comandos del protocolo

industrial: Dispositivo en estado de falla

recuperable mayor.

Reescritura del firmware

Abuso de la capacidad de los protocolos

industriales para escribir datos y archivos

para remover dispositivos

Suplantación del dispositivo

Manipulación de la identificación del

dispositivo en la red de control

1

2

3

4

5

6

7

IoT: Fundamentos de diseño confiable

Adaptado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress. P. 22

Asuma que un atacante

inteligente podría supercar

todas las medidas defensivas

Diseñe defensas para

detectar y demorar los

ataques

Incluya niveles de defensa para

contener los ataques y proveer

redundancia en la protección.

_{Use defensas activas para}

capturar y repeler los

ataques después que inician

y antes que tengan éxito.

Axiomas

para el

diseño

IoT: Algunos marcos de ciberseguridad

IoT: Algunos marcos de ciberseguridad

Algunos marcos de ciberseguridad

NIST Cybersecurity Framework

CASO Mirai

¿Qué es MIRAI?

Mirai es una pieza de malware para IoT que

busca enrutadores inseguros, cámaras, DVR y otros

dispositivos de Internet de las Cosas (IoT) que

todavía usan sus contraseñas predeterminadas y

luego las agrega a una red de bots, que se usa

después para lanzar ataques DDoS en sitios web e

infraestructura de Internet.

Autores

Paras Jha (de 21 años de Nueva Jersey), Josiah

White (de 20 años de edad, Washington) y

Dalton Norman (de 21 años de Louisiana)

fueron acusados formalmente en diciembre de 2017

por un tribunal de Alaska con cargos múltiples por

su papel en los ciberataques masivos llevados a cabo

utilizando la botnet Mirai.

Tomada de: https://www.securityartwork.es/wp-content/uploads/2017/10/Informe_Mirai_2.pdf

Ad ap ta d o d e: Cáce re s, J . (20 17) T re s h ack ers se d eclara n cu lp ab le s d e crear la b o tn et Mirai DDoS b asad a en la Io T. Recu p era d o d e : h tt p s:/ /b it.ly /2q vIz d Y

IoT: La tormenta perfecta

Con ideas de: Kranz, M. (2017) Internet of things. Construye nuevos modelos de negocio. Madrid, España: LID Editorial

IoT

Inicialmente contratación en la nube

y ahora computación en la niebla.

Inicialemente monitoreo y seguimiento

remoto, y ahora control y manejo de

objetos remoto.

Inicialmente mundos separados TI y

OT y ahora convergencia de TI y

OT con DevOps.

Inicialmente estándares de TI y OT, y

ahora incorporación de capacidades

Transformación

digital

Mayores exigencias de innovación y agilidad para superar las

expectativas de los clientes.

Convergencia

tecnológica

Acelerada integración de tecnologías y usos intensivos de datos

para crear experiencias distintas.

Múltiples fuentes

de vulnerabilidades

Uso intensivo de ambientes descentralizados, móviles,

_{virtualizados, en la nube y con tecnologías inteligentes.}

Evolución de los

perfiles de los

atacantes

Mutación acelerada de motivaciones de los atacantes:

Monetización de la información.

Interdependencia

de proveedores

Mayor dependencia de terceros para asegurar la operación y

proteger las información de las empresas y personas.

Ideas tomadas de: Sigma (2017) Cyber: Getting to grips with complex risk. Swiss Re Institute. Economic Research & Consulting. No. 1. Recuperado de:

Para continuar reflexionando …

Referencia académica:

Cano, J. (2016) Manual de un CISO. Reflexiones no

convencionales sobre la gerencia de la seguridad

de la información en un mundo VICA (Volátil,

Incierto, Complejo y Ambiguo). Bogotá, Colombia:

Ediciones de la U.

Enlace en la página de la Editorial: (Formato Ebook)

La

ciberseguridad en IoT

no es sólo un

ejercicio

de

implementación

de

prácticas de seguridad y control,

es

una

apuesta

empresarial

que

desarrolla capacidades para

defender

y anticipar

riesgos emergentes

en un

entorno digitalmente modificado.

Jeimy J. Cano M.

Jeimy J. Cano M., Ph.D, CFE

Profesor Asociado

Escuela de Administración

Blog:

http://insecurityit.blogspot.com.co

@itinsecure

Ciberseguridad en IoT

“Si el objetivo más alto de un

capitán fuera preservar su

barco, lo mantendría en el

puerto por siempre”.

Santo Tomás de Aquino

Jeimy J. Cano M., Ph.D, CFE

[email protected]