Seguridad

Expertos en ciberseguridad aplauden nueva ley de IoT

istock 510859324
Imagen: iStock/BeeBright

presidente donald trump señal Este Ley de mejora de la ciberseguridad de IoT Se convirtió en ley este mes, codificando lo que muchos expertos en seguridad cibernética han estado orando durante mucho tiempo, agregando protecciones de seguridad a los miles de millones de dispositivos IoT que inundan hogares y negocios.

Una variedad de artículos y electrodomésticos se han convertido en dispositivos conectados en los últimos años, predicen algunas estimaciones. Habrá 41.600 millones de dispositivos IoT en el campo para 2025 y más allá $ 1 billón gastado en ellos para 2023.

El proyecto de ley requiere que el Instituto Nacional de Estándares y Tecnología (NIST) y la Oficina de Administración y Presupuesto (OMB) «tomen medidas específicas para mejorar la ciberseguridad de los dispositivos de Internet de las Cosas (IoT).

Mirar: 5 innovaciones de Internet de las cosas (IoT) (PDF gratuito) (República tecnológica)

La explosión y expansión de los dispositivos IoT en la vida cotidiana ha coincidido con un aumento de los ataques destructivos que explotan su inseguridad para causar el mayor daño posible, sobre todo el ataque de la botnet Mirai en 2023.

Brad Ree, CTO de ioXt Alliance, trabaja con organizaciones gubernamentales, fabricantes y empresas de tecnología de primer nivel para crear estándares de seguridad comunes para dispositivos conectados en todas las categorías de productos.

En una entrevista, llamó a la ley «un gran hito para la industria» y dijo que era importante que los sectores público y privado pudieran unirse para crear un conjunto de requisitos mínimos de seguridad.

«Si bien el proyecto de ley apunta a la contratación pública, espero que los operadores de red, los ecosistemas de consumidores y los minoristas sigan requisitos similares para los productos de consumo», dijo.

Andrea Carcano y Edgard Capdevielle, cofundadores y directores ejecutivos de la firma de ciberseguridad de IoT Nozomi Networks, elogiaron la ley como un primer paso importante para garantizar que los fabricantes de dispositivos de IoT mejoren la seguridad de sus productos.

empresa Recientemente se publicó una encuesta En los primeros seis meses de este año se descubrió que los piratas informáticos estaban utilizando botnets de IoT y evolucionando tácticas de ransomware como el arma preferida para atacar dispositivos IoT en redes operativas.

«Si bien el arduo trabajo de desarrollar estándares de dispositivos aún no está completo, la participación de NIST ayudará a impulsar la adopción global de los estándares de seguridad de dispositivos IoT, que creemos contribuirán en gran medida a mejorar la seguridad industrial y de infraestructura crítica en general», dijo Capdevielle.

La Ley de seguridad de dispositivos IoT requiere la creación de estándares y pautas para gestionar los riesgos de ciberseguridad: desarrollo seguro, gestión de identidades, parches, gestión de configuración. También instruyó al NIST a trabajar con el Departamento de Seguridad Nacional de los EE. UU., los investigadores de seguridad cibernética y los expertos de la industria del sector privado para emitir una guía para informar y remediar las vulnerabilidades.

Chloé Messdaghi, vicepresidenta de estrategia de Point3 Security, dijo que la industria de la ciberseguridad está entusiasmada con la ley porque requiere que todos los dispositivos IoT adquiridos por el gobierno tengan estándares, lo que básicamente requiere que todos los dispositivos IoT recién fabricados cumplan con los estándares de ciberseguridad.

La ley también obliga a las agencias gubernamentales a adquirir dispositivos IoT para ejecutar programas de divulgación de vulnerabilidades, algo que CISA está tratando de hacer cumplir, dijo.

«Las políticas de divulgación de vulnerabilidades son una herramienta importante para fortalecer la ciberseguridad de una organización».

Yaniv Nissenboim, vicepresidente de Vdoo, una plataforma que usa IA para detectar y remediar vulnerabilidades en dispositivos IoT, dijo que espera que las agencias federales adopten rápidamente las nuevas pautas del NIST y se adhieran a la producción de productos que cumplan con las normas.

También expresó su esperanza de que la ley tenga un efecto de goteo y obligue a los gobiernos estatales a hacer lo mismo. Esto, a su vez, obligará a la industria de dispositivos IoT a hacer de la ciberseguridad una prioridad.

«Las empresas que no demuestren el cumplimiento pueden verse excluidas en algún momento del mercado objetivo lucrativo para sus dispositivos IoT. Esperamos que surjan regulaciones y estándares similares fuera de los EE. UU.», dijo Nissenboim.

Rosa Smothers, ex oficial de inteligencia de la CIA y vicepresidenta sénior de operaciones cibernéticas en KnowBe4, también señaló que a medida que evoluciona la superficie de ataque, la ley requiere que el Departamento de Seguridad Nacional revise las recomendaciones de seguridad de los dispositivos IoT como máximo cada cinco años.

“En mi opinión, el mayor impacto potencial de HR 1668 es que los contratistas gubernamentales que desarrollan o actúan como proveedores de dispositivos IoT deben implementar un programa para informar vulnerabilidades y remediación; dado que el gobierno federal es el mayor comprador de bienes en los Estados Unidos, este A requisito podría tener efectos colaterales beneficiosos en todo el sector privado», dijo Smallers.

Problemas de seguridad de IoT de larga data

Los expertos en ciberseguridad se han quejado durante mucho tiempo de que los fabricantes de dispositivos IoT no están haciendo lo suficiente para proteger los dispositivos que, en teoría, podrían dar acceso a los atacantes a redes completas.

Lou Morentin, vicepresidente de cumplimiento y gestión de riesgos de Cerberus Sentinel, dijo que la seguridad de los dispositivos se ha considerado poco y que la tecnología integrada en cada nueva iteración de estos dispositivos brinda un nuevo salto en funcionalidad y facilidad de uso, pero también trae consigo el costo. .

«Debido a que muchos de estos dispositivos IoT no tienen ningún control de seguridad, pueden tener acceso a redes y datos. Por ejemplo, muchos de estos dispositivos también ingresan a entornos seguros, como el Departamento de Defensa y el sector de la salud. Los saltos tecnológicos también pueden llevar a los proveedores a abandonar los dispositivos, pasando a la última y mejor versión; eso deja muchos dispositivos vulnerables en la naturaleza. No hay ningún requisito o razón para que el proveedor incorpore seguridad; está vendiendo el producto «, dijo Morendin.

«Desafortunadamente, esto proporciona una vía para que los actores maliciosos comprometan a los consumidores, y ahora los entornos gubernamentales y de la industria también pueden robar datos. Al exigir a los fabricantes que exijan un cierto nivel de seguridad, esto al menos puede ayudar a ralentizar o, en algunos casos, prevenir fuga de datos confidenciales”.

Explicó que algunos estados como California están tratando de exigir a los proveedores que comiencen a tener algunas características básicas de seguridad en los dispositivos IoT. Pero las leyes a nivel nacional obligarán a los fabricantes que quieren sentarse en la mesa de negociaciones a incorporar seguridad en sus dispositivos.

Stefano De Blasi, investigador de amenazas en Digital Shadows, dijo que el auge de 5G indudablemente estimulará una explosión aún mayor de dispositivos IoT. Pero conectar estos dispositivos a redes empresariales privadas amplía la superficie de ataque y puede exponer datos confidenciales, como registros médicos, información de identificación personal y planes de trabajo.

«Un problema importante con la seguridad de IoT en este momento es que la prisa por llegar al mercado tiende a restar prioridad a las medidas de seguridad que deben integrarse en nuestros dispositivos. Para los delincuentes interesados ​​en robar datos confidenciales y acceder a redes expuestas, este problema hace que muchos usuarios de Internet de IoT -Los dispositivos conectados están cada vez más disponibles», dijo.

«Los delincuentes pueden usar su poder de cómputo para explotar productos vulnerables y orquestar campañas masivas de botnets de IoT para interrumpir el tráfico a servicios específicos y propagar malware. Esta acción no solo demuestra la importancia de esta seguridad crítica, sino que también sienta un precedente importante que puede y debe inspirar a otros países y organizaciones a seguir.”

Según Peter Monahan, director de arquitectura de soluciones globales de WhiteHat Security, los dispositivos IoT son más vulnerables a las infracciones de seguridad que las aplicaciones web o móviles tradicionales.

La mayoría de las aplicaciones de IoT están diseñadas para interactuar con cualquier número de API que pueden ser igualmente vulnerables a las infracciones de seguridad, pero estas API suelen ser desarrolladas y distribuidas por terceros externos.

«Esto plantea un desafío importante para resumir la postura de seguridad general de cualquier dispositivo en particular, según la implementación prevista del gobierno federal», dijo.

¿Expandiéndose más allá del equipo del gobierno?

El proyecto de ley no está exento de críticas. Algunos expertos han cuestionado por qué el proyecto de ley se limita a equipos de propiedad o controlados por el gobierno en lugar de a la industria en su conjunto.

Terence Jackson, director de seguridad de la información de Thycotic, dijo que si bien los dispositivos IoT utilizados en las redes gubernamentales son importantes, la legislación que exige la seguridad de todos los dispositivos IoT brindaría un enfoque más integral para la seguridad de los dispositivos IoT.

«Esto en realidad puede aumentar las ventas de la empresa, ya que pueden lanzar dispositivos IoT de grado ‘gubernamental’ de mayor costo. Ver si las empresas aumentan la seguridad de sus productos de grado de consumo debido a este estándar, será algo muy interesante», dijo Jackson. señalado.

Chris Hazelton, director de soluciones de seguridad de Lookout, dijo que la diversidad de características y puntos de precio de los dispositivos IoT ahora está ejerciendo presión sobre los fabricantes para que lleven dispositivos al mercado, lo que lleva a las empresas a tomar atajos, especialmente cuando se trata de ciberseguridad.

Explicó que ahora hay cientos de millones de dispositivos con contraseñas de administrador predeterminadas simples, lo que crea una gran superficie de ataque para cualquier organización que implemente y confíe en estos dispositivos conectados, agregó.

Hazelton señaló que NIST ha desarrollado previamente pautas para implementar seguridad móvil para teléfonos inteligentes y tabletas, y esas pautas incluso son ampliamente adoptadas, incluso por equipos deportivos profesionales fuera del gobierno.

Con suerte, lo mismo sucederá con los dispositivos IoT después de que se haya aprobado y firmado la ley, dijo.

LEER  Las pequeñas empresas deben intensificar los esfuerzos para asegurar y retener una fuerza laboral híbrida

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba