![[Webinar Recap] Using Zero Trust Manufacturing for Supply Chains](https://www.keyfactor.com/wp-content/uploads/What-is-Zero-Trust-Manufacturing.png)
Con tantos socios en la cadena de suministro, la realidad es que no se puede confiar en la seguridad del proceso de fabricación para garantizar que no se han alterado el hardware, el firmware o las credenciales del dispositivo.
En un seminario web reciente con Kaeo Caindec, analista principal de Farallon Technology Group, hablamos de cómo los fabricantes podrían controlar la seguridad de los dispositivos dentro de su compleja cadena de suministro, todo ello mediante un enfoque de fabricación de confianza cero.
Puede ver nuestro debate de hoy y leer algunos de los puntos principales de nuestro reciente seminario web sobre Fabricación de confianza cero: Cómo integrar la seguridad de los dispositivos IoT en su cadena de suministro.
Qué es la fabricación de confianza cero
Empecemos por comprender el enfoque de "fabricación de confianza cero" y cómo puede proteger mejor el ciclo de vida de fabricación de sus dispositivos.
Con el aumento de los dispositivos conectados y IoT , tenemos miles de millones de dispositivos ahí fuera. Y no solo dispositivos domésticos, sino también dispositivos de control industrial que plantean riesgos de seguridad. Cuando hablamos de fabricación de confianza cero, en realidad nos referimos a un enfoque para diseñar y fabricar, probar y suministrar productos fiables.
Si pensamos en el proceso de diseño y en el número de empresas que intervienen en él, desde el diseño asistido por ordenador (CAD) hasta la incorporación de chips, dispositivos y componentes, pasando por todos los desarrolladores de software que intervienen a lo largo del proceso, y los retos que plantea la entrega segura del producto. En cada punto, hay muchos puntos de entrada para que alguien ponga en peligro el dispositivo.
La fabricación de confianza cero consiste en examinar todo el proceso de principio a fin para asegurarnos de que producimos y suministramos dispositivos fiables.
En el diagrama anterior se puede ver que hay claves y hay credenciales en determinados lugares. Este ciclo de entrega muestra los múltiples pasos para averiguar qué tipo de llave, certificado o credencial necesita colocar.
Ya sea en algún lugar de un elemento seguro, en una pieza de hardware donde vas a hacer una clave privada, o en la fábrica cuando lo estás haciendo, necesitas una estrategia holística desde el principio
Por ejemplo, tiene que tener una estación de trabajo autorizada que realice la generación de claves, la inyección de claves y el final de la vida útil de la clave para protegerse contra infracciones y vulnerabilidades.
Vulnerabilidades e infracciones típicas
Estos ataques, curiosamente, siguen un patrón fundamental:
- El actor de la amenaza, o el malo, envía un correo electrónico de phishing o
- Ataca directamente a un sistema.
- Suelen hacer un reconocimiento para robar y escuchar credenciales o irrumpir en un proceso para robar información privada sobre los propios dispositivos.
- Pueden utilizarlo para penetrar más y comprometer un dispositivo. En este caso, podría ser un dispositivo dentro de una red OT industrial. Desde ese dispositivo, pueden empezar a lanzar ataques laterales, y este mismo patrón se utiliza repetidamente para todo.
Mientras que el 80% de las brechas implican fuerza bruta o credenciales robadas, aquí no estamos hablando sólo de la información o los datos o la privacidad. Estamos hablando de actores de amenazas que comprometen dispositivos para tomar el control.
Fabricación de confianza cero frente a redes de confianza cero
Forrester acuñó el término "redes de confianzacero" hace varios años. Las redes de confianza cero consisten en garantizar que los usuarios finales y los dispositivos puedan acceder a una red de forma segura. Entre los principios fundamentales para implantar una arquitectura de red de confianza cero se incluyen: proporcionar controles de acceso que puedan autenticar al usuario final o realizar una autenticación multifactor bidireccional.
Esto significa poner salvaguardas para evitar la escalada de privilegios y utilizar la microsegmentación, cortafuegos para acceder a todo, desde los sistemas informáticos privados de la empresa hasta la nube pública, y la red y los dispositivos IoT .
Este enfoque se centra en la autenticación, el cifrado, el inicio de sesión, el usuario y las bases de datos protegidas por contraseña. Sin embargo, este punto de vista se basa en el hecho de que confías en las personas, confías en sus credenciales y confías en que son quienes son.
Las redes de confianza cero pueden fallar porque no definen cómo garantizar que se puede confiar en las credenciales e identidades de los dispositivos que se comunican en la red.
Con la fabricación de confianza cero, se garantiza la integridad y fiabilidad de los sistemas y dispositivos, mientras que las redes de confianza cero garantizan la seguridad de las comunicaciones.
Mejores prácticas de fabricación de confianza cero
¿Está preparado para saber más sobre la fabricación de confianza cero? Vea el seminario web a petición para obtener más información sobre lo que se necesita para implementar un enfoque de fabricación de confianza cero. Obtendrá más información sobre las complejidades y los retos de la cadena de suministro y sobre cómo empezar a integrar la seguridad de los dispositivos de IoT en su cadena de suministro.
