TalkingTrust con Thales y Keyfactor: IoT

Hay muchas razones por las que los fabricantes conectan sus productos a Internet, ya sean coches conectados, dispositivos médicos, máquinas industriales o productos de consumo. La conectividad permite potentes funciones generadoras de ingresos, desde telemetría de datos y análisis de tiempo de ejecución, hasta mantenimiento predictivo que permite anticiparse a las retiradas de garantía y gestionarlas con eficacia.

Los vehículos actuales funcionan tanto con código y conectividad como con electricidad o gasolina, sobre todo a medida que se despliegan nuevas funciones de seguridad y prevención de accidentes. Hoy en día, muchos fabricantes de automóviles tienen la capacidad de actualizar a distancia software para corregir vulnerabilidades o incluso mejorar la funcionalidad.

Imagínese un mundo en el que el valor de venta al público de su coche crece con el tiempo: eso se está haciendo realidad. También está permitiendo a los fabricantes responder más rápidamente a las vulnerabilidades de seguridad, la demanda del mercado e incluso los desastres naturales.

En 2017, Tesla envió una actualización over-the-air a sus vehículos Model S y X para ampliar la capacidad máxima de la batería y la autonomía de conducción, lo que permitió a los propietarios conducir 50 kilómetros adicionales fuera de la zona de evacuación mientras el huracán Irma se cebaba con Florida.

Este es el tipo de funciones que esperamos de nuestros vehículos. El problema es cómo garantizar la seguridad de estos "centros de datos al volante" frente a los riesgos y amenazas que acechan en Internet. Es un reto complejo que apenas estamos empezando a abordar.

A pesar de todas las ventajas de la conectividad, siempre hay retos. Veamos algunas de las principales razones por las que es tan difícil proteger estos dispositivos conectados.

Son objetivos atractivos

En primer lugar, los vehículos conectados y los dispositivos de IoT son objetivos muy atractivos para los piratas informáticos. Esto se debe a que muchos vendedores no han incorporado controles de seguridad adecuados en sus productos conectados, lo que se debe, al menos en parte, a la falta general de experiencia en ciberseguridad y a los ajustados plazos y márgenes de entrega de los productos.

A diferencia de los servidores y dispositivos que funcionan en redes empresariales, los dispositivos de IoT suelen enviarse directamente a los consumidores, sin ningún control sobre la red o el entorno en el que funcionan. Esto los convierte en objetivos atractivos para botnets, mineros de criptomonedas y ataques de toma de control.

Tienen limitaciones de diseño

Los ciclos de desarrollo más rápidos y la entrega de funciones suelen tener prioridad sobre la seguridad para sacar los productos al mercado. También hay menos hardware y potencia de cálculo para trabajar en el típico dispositivo IoT en comparación con los dispositivos tradicionales, por lo que integrar la seguridad se convierte en una cuestión de elección, más que de necesidad. Por ejemplo, ejecutar agentes pesados basados en software simplemente no es una opción en un marcapasos integrado o en un dispositivo de bomba de insulina.

Lo mismo ocurre con el cifrado y la autenticación. Dependiendo del dispositivo que fabrique, las limitaciones de hardware pueden hacer que sea más conveniente utilizar la criptografía de curva elíptica (ECC) en lugar de RSA. El cifrado asimétrico puede requerir demasiada potencia de procesamiento para determinados dispositivos, lo que convierte a las claves simétricas en la única opción. Estos son los tipos de conversaciones que mantenemos con nuestros clientes para encontrar la mejor solución de seguridad sin comprometer el plazo de comercialización.

La cadena de suministro es compleja

El número de proveedores que participan en el diseño, el desarrollo, la fabricación y la entrega de productos conectados es el resultado de años y años de colaboración, pero todos deben estar de acuerdo en lo que respecta a la seguridad.

La coordinación es clave. Sin embargo, garantizar que la seguridad se gestiona correctamente en entornos de fabricación remotos y no fiables es algo que la industria en su conjunto sigue luchando por resolver. En muchos casos, esto se traduce en un almacenamiento, manipulación o uso compartido inseguros de las claves criptográficas entre proveedores, lo que da lugar al robo de claves o a su puesta en peligro.

Son difíciles de parchear y actualizar

La capacidad de actualizar los dispositivos es fundamental, no sólo para habilitar nuevas funciones, sino, lo que es más importante, para solucionar vulnerabilidades o fallos de funcionamiento repentinos e imprevisibles (por ejemplo, criptografía débil, errores de software , malware, etc.). Muchos vendedores lanzan al mercado productos conectados sin planificar y probar adecuadamente software y los mecanismos de actualización de la seguridad.

Las actualizaciones por aire (OTA) de software y del firmware deben realizarse de forma segura y eficaz. Los recientes acontecimientos ponen de manifiesto la necesidad de proteger la cadena de suministro de software , desde las comprobaciones de calidad del código y los procesos seguros de firma de código hasta la protección segura de las claves privadas utilizadas para firmar el código. También es necesario garantizar que los dispositivos puedan verificar la firma para asegurarse de que sólo pueda ejecutarse en ellos código autorizado, y no malware malintencionado falsificado con otra firma.

Otra cuestión a tener en cuenta son las redes poco fiables. Por ejemplo, si un coche se mete en un túnel o se queda sin conexión en un garaje durante meses de invierno mientras se actualiza software , ¿cómo puede asegurarse de que la actualización esté instalada cuando el vehículo vuelva a conectarse?

El diseño y la vida útil de los productos son largos

Muchos de estos dispositivos tardan años en diseñarse, probarse y fabricarse antes de llegar al mercado. Añadir la seguridad en una fase tardía es mucho más difícil y costoso que adoptar un enfoque de "seguridad desde el diseño". Por otro lado, el ciclo de vida de los dispositivos IoT , desde su diseño hasta el final de su vida útil, puede durar desde días hasta más de 20 años (piense en los coches modernos).

La seguridad no es estática. Muchos de los productos de IoT que se comercializan hoy en día sobrevivirán a la validez de los algoritmos criptográficos que utilizan para proteger los dispositivos y cifrar los datos sensibles. Los fabricantes y proveedores de hardware , especialmente los del sector del automóvil, deben planificar con antelación la eventual rotación o sustitución masiva de claves y certificados en todo su parque.

La industria del automóvil es un ejemplo primordial de cómo las amenazas basadas en Internet pueden afectar a la privacidad y la seguridad de los usuarios finales (también conocidos como conductores). Los investigadores de seguridad han demostrado en múltiples ocasiones que explotar las vulnerabilidades conectadas en los vehículos modernos no solo es posible, sino también práctico y factible.

Algunos ejemplos de estas amenazas son:

• Amenazas para el funcionamiento del vehículo: manipulación de datos/alertas de sistemas interconectados, o activación a distancia de funciones del conductor, como el frenado o la aceleración.
• Amenazas de arranque a distancia: un llavero digital comprometido (por ejemplo, debido a un cifrado débil) permite a los piratas informáticos obtener acceso autorizado a un vehículo.
• Amenazas a la privacidad de los datos: los ataques man-in-the-middle comprometen la transmisión de datos personales, localización de vehículos, historial de viajes, etc.
• Amenazas para la unidad de control electrónico (ECU): las actualizaciones maliciosas de firmware actúan como un "caballo de Troya" que permite al pirata informático imitar la confianza y acceder a distancia a los sistemas de control del vehículo.
• Amenazas para el infoentretenimiento y el diagnóstico remoto: un ataque remoto a través de dispositivos móviles vinculados o la alteración de la información de los sistemas de diagnóstico de los vehículos.

Asegurar la próxima generación de vehículos conectados y dispositivos IoT exige un nuevo enfoque centrado en la seguridad por diseño y la criptoagilidad a lo largo del ciclo de vida del dispositivo.

Entonces, ¿cómo afrontar estos retos? La protección de los dispositivos conectados implica muchas capas de seguridad diferentes, por lo que la seguridad debe comenzar con una arquitectura de alto nivel de la pila IoT y el ecosistema conectado.

Dispositivos Edge

Piense en los dispositivos de IoT y sus componentes, como las unidades de control electrónico (ECU) y las pasarelas que agregan y transfieren datos. Para empezar, cada dispositivo debe tener una identidad única y de confianza que no se duplique ni comparta con otros dispositivos.

• Identidad del dispositivo: Proporcione una "identidad digital" única incorporando un par de claves asimétricas de confianza basadas en PKI durante la fabricación o el aprovisionamiento del dispositivo. Lo ideal es que la clave privada se genere en el dispositivo (lo que se conoce como generación de clave en el dispositivo o ODKG).
• Firma de firmware: Asegúrese de que las actualizaciones de firmware over-the-air (OTA) están firmadas y las claves y certificados de firma de código están protegidos dentro de un módulo de seguridad hardware (HSM), como un HSM Thales SafeNet.
• Arranque seguro: Se utiliza junto con la verificación de firmware para garantizar que el dispositivo solo arranca después de haber validado el estado de la confianza en el dispositivo.

Plataformas de gestión

Una vez que haya encontrado la forma de integrar la seguridad en los dispositivos, deberá plantearse cómo garantizar la seguridad en la gestión y las operaciones de backend. Tanto si se trata de una turbina eléctrica como de una bomba de insulina, la necesidad de recopilar, supervisar y analizar datos es lo que realmente impulsa el valor de IoT , pero la seguridad en este nivel es esencial.

• Autenticación de dispositivos: TLS se ha utilizado para proteger Internet durante décadas, por lo que resulta ideal para permitir la autenticación o la autenticación mutua (mTLS) en conexiones como Wi-Fi, Bluetooth o redes 5G.
• Cifrado de datos: El cifrado asimétrico no lo cubre todo. Las claves simétricas deben utilizarse para cifrar y proteger los datos en reposo en dispositivos, bases de datos o servicios en la nube. En algunos casos, los certificados digitales pueden no ser una opción debido a las restricciones de hardware , pero siempre deben utilizarse claves simétricas para proteger los datos.

IoT Operaciones

Si ha cifrado los datos y establecido conexiones seguras correctamente, puede garantizar la protección de los datos de extremo a extremo y permitir que esos datos se descifren y sean accesibles a nivel operativo basándose en la confianza.

A la hora de diseñar una arquitectura de seguridad para los dispositivos de IoT , hay que empezar por entender qué identidades hay que crear, cómo hay que aprovisionarlas y la infraestructura necesaria para ello.

Un enfoque de seguridad integral debe incluir la capacidad de soportar la emisión de grandes volúmenes de claves y certificados de confianza para los componentes en la fábrica y sobre el terreno, la gestión de esas identidades a lo largo de su ciclo de vida y procesos seguros de firma de software/firmware.

Thales y Keyfactor proporcionan conjuntamente la infraestructura y las herramientas necesarias para cumplir estos requisitos en entornos complejos, como las cadenas de suministro de automoción y dispositivos médicos.

PKI alojada como servicio: PKI de raíz privada y alta disponibilidad entregada como servicio desde la nube con protección integrada de CA emisora y raíz a través de los HSM de Thales Cloud. También puede aprovechar su PKI y HSM locales existentes.

• IoT Gestión de identidades: Gestión de extremo a extremo de las claves de cifrado y los certificados digitales, desde la emisión, el aprovisionamiento, la sustitución y la revocación.
• Firma segura: Flujos de trabajo de firma de firmware centralizados y seguros para entregar actualizaciones OTA de confianza a los dispositivos finales - respaldados por un HSM seguro de Thales para garantizar que las claves de firma de código están a salvo de robo o uso indebido.
• Integración en el ecosistema: APIs e integraciones plug-in para integrarse con HSMs existentes en las instalaciones, cripto-bibliotecas, plataformas en la nube y aplicaciones IoT .

Obtenga más información sobre cómo Keyfactor y Thales hacen posible que los fabricantes integren la identidad de seguridad y la capacidad de actualización en los dispositivos desde el principio.