El hardware conectado a Internet de las cosas (IoT) puede recibir y reenviar no solo datos, sino también comandos o código de malware bajo control externo. Los sensores existentes no deben ser puntos ciegos en la seguridad de TI. Seis consejos para detectar y analizar ataques del Internet de las Cosas.
Los administradores de seguridad de TI necesitan métodos de defensa que puedan detectar, analizar y evitar un ataque, por ejemplo, a través de una cámara IP u otros sensores. Cualquiera que vea el tráfico de red resultante puede bloquear los ataques en una etapa temprana o contenerlos rápidamente en caso de emergencia. Network Detection and Response (NDR) forma parte de un completo sistema de ciberdefensa, también para medianas empresas.
Muchos dispositivos IoT en red como un peligro
La creación de redes a través de dispositivos IoT está en constante aumento. En diciembre de 2021, los expertos de IoT Analytics asumieron que la cantidad de puntos finales activos en todo el mundo aumentaría en un nueve por ciento a 12,3 mil millones de dispositivos para fin de año. Por lo tanto, el número total de conexiones superaría los 2025 mil millones en 27. Las empresas industriales y de salud han implementado cada vez más dispositivos que están conectados a la red corporativa central. Incluso las pequeñas y medianas empresas se están abriendo cada vez más a Internet, a menudo sin un plan de seguridad de TI correspondiente y con pocos recursos de defensa.
Puerta de entrada al Internet de las cosas
El hardware IoT es un objetivo atractivo para los piratas informáticos: secuestran cámaras IP conectadas a la red de la empresa para redes de bots y luego las usan para llevar a cabo ataques de denegación de servicio. Un peligro generalizado es el enrutador privado u otros dispositivos IoT en la oficina en casa. Los atacantes pueden usarlos para obtener acceso a la infraestructura central de TI de la empresa. En última instancia, incluso los pequeños espacios abren las puertas y las puertas para actividades de hackers de gran alcance.
Hay varias razones por las que los sensores y el hardware IoT son un punto débil en las defensas de TI: Muchos administradores a menudo no saben qué dispositivos forman parte de su red. Además, las empresas usan los dispositivos siempre que funcionen de alguna manera, más tiempo del previsto por el fabricante. Si los fabricantes ya no admiten dichos sistemas, estos dispositivos se convierten en una brecha de seguridad, especialmente porque los usuarios a menudo no actualizan los dispositivos. Si hay alguna actualización en absoluto.
Examinar el tráfico en busca de anomalías
Se requiere acceso inmediato a los dispositivos IoT para detectar y defenderse contra el intercambio de comandos entre el sensor y el servidor de comando y control o los movimientos laterales con fines maliciosos en una etapa temprana. Si los dispositivos tienen una dirección IP y son parte de la red de la empresa, NDR puede ver y evaluar el tráfico de la cámara de video IP, el sensor en producción o la cerradura de puerta inteligente.
La huella dactilar de la comunicación anómala con dispositivos IoT basados en IP administrados se destaca claramente del tráfico de datos normal: los sensores en producción, por ejemplo, entregan regularmente pequeños paquetes a los sistemas y aplicaciones centrales en una operación estándar segura y casi nunca reciben paquetes de datos de regreso, desde un actualización aparte de eso. Por otro lado, no se deben transmitir datos externamente, a menos que un proveedor quiera enviar datos al socio. Sin embargo, un análisis del tráfico de red entrenado por inteligencia artificial y aprendizaje automático reconoce procesos imprevistos y da la alarma.
Seis consejos para protegerse de los ataques del Internet de las Cosas
1. Segmentar redes corporativas
Los dispositivos IoT deben moverse en su propia red. Una red de invitados es suficiente para recopilar y enviar datos en el sitio. El acceso a dicha red o los patrones visibles en el tráfico de datos entre el IoT y la red central se pueden ver y monitorear de manera eficiente.
2. La confianza cero como protección básica
No se debe permitir el acceso a un dispositivo IoT sin marcar. Este control de acceso predeterminado crea seguridad inmediata y evita el crecimiento descontrolado del hardware IoT con acceso a la red.
3. Parches virtuales
Un parche virtual en un firewall de aplicaciones ayuda a controlar el tráfico de dispositivos IoT administrables o no actualizables a la red. Resuelven los problemas de seguridad existentes mediante un bloqueo a nivel de firewall.
4. Una alarma debe ir seguida de una acción inmediata
Los patrones anormales de tráfico de datos en la red deben desencadenar contramedidas a través de firewalls, antivirus, detección y respuesta de puntos finales o gestión de identidades. Los sistemas de bloqueo o una copia de seguridad de instantáneas automática cuando ocurre un ataque sospechoso por primera vez y durante los preparativos son medidas inmediatas automatizadas para evitar daños.
5. Desarrollar una estrategia de defensa integral
Detección y respuesta de red: así es como se hacen visibles los ataques que comienzan a través de Internet de las cosas (Imagen: ForeNova).
Si los sistemas de TI no forman parte de la red de la empresa, los administradores de TI teóricamente pueden instalar un sensor NDR localmente, lo que implica altos costos y esfuerzo administrativo. Por lo tanto, otras tecnologías de seguridad juegan un papel importante, por ejemplo, con el enrutador doméstico no administrado: un cliente EDR garantiza la protección inmediata de este punto final.
6. Analizar eventos para prevenir los ataques del mañana
Si NDR ha repelido un ataque con la ayuda de otras tecnologías, el análisis del incidente juega un papel importante para cerrar la brecha y prevenir ataques de seguimiento. Las rutas de un ataque, que una red de detección y respuesta registra en una línea de tiempo hacia y desde el exterior y el interior del sistema en un espejo de todo el tráfico de datos, permanecen visibles. La inteligencia artificial y el aprendizaje automático también están creando nuevos patrones de ataques de tráfico que pueden indicar un ataque de IoT y ayudar con la mitigación futura.
Reconocer rastros en el tráfico de datos
El peligro del Internet de las cosas abruma rápidamente a los equipos de TI con pocos recursos humanos y técnicos de TI. Pero cada vez que IoT es el punto de partida de un ataque a la infraestructura central de TI con sistemas, aplicaciones y conocimiento de la empresa, estos eventos se reflejan en el tráfico de datos. Detección y respuesta de red, que desarrolla modelos de tráfico normales basados en IA, aprendizaje automático e inteligencia de amenazas, alerta sobre anomalías y toma contramedidas automáticas. Tal defensa está ahora al alcance de las pequeñas y medianas empresas.
Más en Forumova.com
Acerca de ForeNova ForeNova es un especialista en seguridad cibernética con sede en los EE. UU. que ofrece a las medianas empresas detección y respuesta de red (NDR) asequibles y completas para mitigar de manera eficiente el daño de las amenazas cibernéticas y minimizar los riesgos comerciales. ForeNova opera el centro de datos para clientes europeos en Frankfurt a. M. y diseña todas las soluciones conformes con el RGPD. La sede europea está en Ámsterdam.