BLOG

Ceder el control del IoT por el bien de la seguridad

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 21 de septiembre de 2017

Creo que podemos decir con seguridad que estamos universalmente encantados con la tecnología. Lo mundano se transforma en mágico con la mera introducción de la tecnología. La novedad desaparece después de un tiempo, por supuesto, pero para entonces ya hay otra tarea que se puede controlar a través del dispositivo o teléfono y el ciclo comienza de nuevo.

La realidad es que la mayoría de las personas no gestionan sus (cada vez mayor número de) dispositivos como TI gestiona los sistemas. Ni siquiera la gente de informática. ¿Recuerdas la encuesta de Tripwire que descubrió que “el treinta por ciento de los profesionales de TI y el 46 por ciento de los trabajadores encuestados ni siquiera cambian la contraseña predeterminada de sus enrutadores inalámbricos”? Eso es un poco más alto que la investigación que descubrió que “cuarenta por ciento de los estadounidenses dijeron que eran demasiado perezosos, les resultaba demasiado inconveniente o realmente no les importaba…”5 seguir las recomendaciones básicas de seguridad.

No debería sorprender entonces que, cuando los profesionales de seguridad los acosan y la prensa especializada los critica, al menos los fabricantes de IoT orientados al consumidor parezcan estar mejorando su juego. Es posible transmitir actualizaciones automáticas, parches y revisiones de forma regular a los dispositivos conectados con solo marcar una casilla.

Los consumidores, al menos, están cediendo el control a los fabricantes que prometen mantener sus dispositivos a salvo de los atacantes.

 

Bueno, ese es el espacio del consumidor . Hasta el momento, este tipo de comportamiento parece estar fuera del alcance de las empresas, incluso cuando se trata de dispositivos IoT. Seguramente las empresas seguirán manteniendo el control sobre estas cosas en el futuro previsible. Después de todo, el radio de explosión de una actualización que salió mal es bastante significativo dentro del centro de datos.

tiempo empleado en idc

Excepto que esto no es escalable, y sabemos muy bien por nuestra propia investigación y por un vistazo a Shodan.io que un porcentaje bastante elevado de dispositivos IoT dentro de las organizaciones no solo están expuestos a Internet, sino que son vulnerables.

Y si son vulnerables, eso significa que debería haber (¿tal vez haya?) un parche disponible. Sin embargo, si ambas cosas fueran ciertas, ¿no veríamos menos dispositivos disponibles para el reclutamiento como thingbot ?

Teniendo en cuenta un estudio de IDC de hace dos años que estimó que los parches, las actualizaciones y las instalaciones consumen el 20,7 % de la semana para un empleado de TI promedio, no parece posible que vayan a escalar, incluso con automatización, para administrar la duplicación prevista de dispositivos (de 9259 dispositivos hoy a 18631 ) durante los próximos dos años.

Entonces, ¿qué debe hacer el negocio?

La pregunta que debemos responder es: ¿alentamos a los fabricantes a ir más allá y actualizar automáticamente sus dispositivos que residen dentro de la empresa? Porque es un poco injusto culparlos sin reconocer que la fatiga de los parches y la falta de personal pueden estar impidiendo que esos parches se apliquen en primer lugar. Como señaló otra investigación interesante de Tripwire : “ En 2015, se asignaron más de 6000 nuevos CVE. Si solo una décima parte de esas vulnerabilidades afectaran a los dispositivos en su área de responsabilidad, usted habría sido responsable de resolver 630 vulnerabilidades al año o 2,5 vulnerabilidades cada día hábil”.

Son muchas vulnerabilidades que abordar. Un montón, un número coincidente de parches.

Lamentablemente, el hecho de que se publique un parche no significa que se aplique de inmediato. Como se señala en la encuesta de Tripwire, “ Un componente clave que afecta la cantidad de tiempo necesario para implementar parches son las pruebas. Se preguntó a los encuestados si probaban los parches antes de la implementación, y el 47 por ciento respondió que lo hacían para computadoras de escritorio y el 55 por ciento para servidores . Si analizamos en detalle cuánto tiempo lleva realmente poner en producción un parche de seguridad, encontraremos datos alarmantes. Es decir, el 93% de los encuestados consiguen que los parches de seguridad se prueben e implementen en menos de un mes.

No está nada mal, teniendo en cuenta la cantidad de sistemas y las vulnerabilidades correspondientes con las que debe lidiar una empresa mediana o grande típica.

Pero pensemos por un momento que cuando se anunció CVE-2017-8225 (que afecta a un único fabricante chino de cámaras IP), tomó menos de dos meses para que más de 600.000 cámaras se infectaran con Persirai . Eso supone 10.000 dispositivos al día. Lo cual significa que un mes es un mes demasiado largo. Y esa fue sólo una vulnerabilidad.

A medida que la IoT invade la empresa en forma de más sensores y monitores, y quién sabe qué otros son accesibles y a menudo vulnerables, ¿cómo se mantiene al día la TI? ¿Podrá mantener el ritmo, incluso con la automatización de su lado?

Así que mi pregunta realmente es: ¿lo harías? ¿Cedería el control sobre los dispositivos IoT si (y sé que es un gran interrogante, pero participe para descubrirlo) los fabricantes intensificaran su labor y asumieran una mayor responsabilidad en el mantenimiento de la seguridad de sus dispositivos?

Puedes responder a esta pregunta (y ver lo que piensan tus compañeros) aquí . ¡Adelante, habla!