Cada día aumentan mas los dispositivos conectados a nuestras vidas. La superficie de ataque es inmensa: Internet, dispositivos móviles, Bluetooth, protocolos personalizados de RF, DAB, archivos multimedia importados por USB, diagnósticos remotos, telemática, aplicaciones móviles entre muchos otros. ¿Puede un atacante abusar de esta interfaz?
Aplicación móvil y API
La fuente más común de vulnerabilidades explotables remotamente es la aplicación móvil. Después de todo, la aplicación móvil está diseñada para interactuar con el dispositivo IOT y, a menudo, desde cualquier lugar del mundo.
Muchas aplicaciones móviles interactúan con un servidor API. Detectar el tráfico entre un dispositivo y el servidor API, o descompilar la aplicación móvil, permitirá descubrir y probar el funcionamiento de la API.
¿Cuáles son los problemas más comunes en estas áreas?
- Uso de comunicaciones de texto claro, lo que permite interceptar y alterar el tráfico. El cifrado de transporte es vital, especialmente en dispositivos móviles que a menudo usan conexiones Wi-Fi que no son de confianza.
- Almacenamiento inseguro de datos en el dispositivo, permitiendo que un atacante obtenga secretos como contraseñas almacenadas, Wi-Fi PSK y otras claves. La captura del dispositivo o una aplicación maliciosa pueden hacer esto posible.
- Referencia insegura de objeto directo: la API usa algo así como un número VIN o ID secuencial sin verificaciones de autorización para acceder a los datos.
- Conexión débil de dispositivos: ¡es importante que no sea posible emparejar un nuevo dispositivo móvil con un equipo ya emparejado!
- Funcionalidad de depuración u ocultación: con frecuencia, la aplicación móvil contiene referencias a funcionalidades que nunca deberían terminar en manos de un cliente.
- Desarrollo de aplicaciones subcontratadas, lo que lleva a la pérdida de control y supervisión de la seguridad de aplicaciones y API.
OWASP y otros publican pautas para ayudar a asegurar aplicaciones móviles y API web.
10 mejores prácticas para proteger Internet de las cosas en su organización
La lista de 10 pasos compilada por Conner Forrest incluye información de numerosos expertos en IoT, incluidos John Pironti, presidente y estratega jefe de riesgo de información de IP Architects, el vicepresidente de investigación de Gartner, Earl Perkins, y Merritt Maxim, analista senior de Forrester Research:
- Comprenda sus Endpoints: cada nuevo punto final de IoT introducido en una red brinda un punto de entrada potencial para los ciberdelincuentes que debe abordarse.]
- Rastree y administre sus dispositivos: comprenda qué dispositivos conectados hay en la organización mediante el despliegue de una solución de detección, seguimiento y administración de activos al comienzo de un proyecto de IdC.
- Identifique lo que la seguridad de TI no puede resolver: identifique qué aspectos del dispositivo físico no se pueden proteger mediante las prácticas de seguridad de TI.
- Considere parches y soluciones: evalúe los dispositivos de IoT en parte en términos de su potencial de aplicación de parches y soluciones.
- Utilice una estrategia basada en el riesgo: priorice primero los activos críticos en su infraestructura de IoT.
- Realice pruebas y evaluaciones: realice algún tipo de prueba de penetración o evaluación del dispositivo antes de la implementación.
- Cambiar las contraseñas y credenciales predeterminadas: si bien es de sentido común, algunos dispositivos IoT tienen contraseñas predeterminadas que son difíciles de cambiar o no se pueden cambiar.
- Mire los datos: comprender la forma en que un dispositivo de IoT interactúa con los datos es crucial para asegurarlo.
- Confíe en los protocolos de cifrado actualizados: las empresas deben encriptar los datos que entran y salen de sus dispositivos IoT, confiando en la encriptación más potente disponible.
- Pasar de control de nivel de dispositivo a control de nivel de identidad: a medida que más dispositivos de IoT ofrecen la capacidad de conectar múltiples usuarios a un solo dispositivo, el enfoque de la seguridad debe cambiar al control de nivel de identidad.