El mundo del IoT ha seguido expandiéndose rápidamente, y a medida que los innovadores de productos lanzan dispositivos conectados al mercado, el riesgo de ataques a dispositivos y robo de datos sigue aumentando. Un desarrollo de productos y una entrega de funciones más rápidos suelen tener prioridad, lo que conlleva un aumento de los riesgos de seguridad del IoT.
Consulte las preguntas principales de nuestra reciente sesión de preguntas y respuestas con expertos en PKI para saber por qué y cómo la infraestructura de clave pública (PKI) ha surgido como una forma eficiente y rentable de proteger dispositivos integrados a escala. O vea la sesión completa bajo demanda:
¿Cuál es el estado actual de la seguridad de PKI y del IoT?
El IoT se encuentra en una posición interesante en la actualidad. Una tendencia emergente en la computación en la nube es hacia el edge computing. Y la combinación de estas tres necesidades (IoT, computación en la nube y edge computing) está haciendo que la necesidad de proteger dispositivos, aplicaciones y microservicios que se ejecutan en contenedores sea más importante.
Ha habido una explosión de nuevos dispositivos, aplicaciones y componentes que intentan comunicarse de forma segura entre sí, y esto solo se volverá más complejo. Muchos de estos sistemas —especialmente en entornos industriales— son dispositivos heredados que son antiguos y difíciles de actualizar o parchear.
En última instancia, el IoT consiste esencialmente en añadir una pila de red a algo que antes no la tenía, introduciendo naturalmente mayores desafíos de seguridad. Si a esto le sumamos la necesidad de mantenerse al día con las prácticas de seguridad actuales y futuras, y el creciente número de dispositivos IoT, obtenemos un estado de la seguridad del IoT que está en camino de ser más complejo y más importante que nunca.
¿Cómo pueden los fabricantes de IoT abordar el panorama actual y futuro de cumplimiento normativo del IoT?
Hay mucho blanco y negro en el cumplimiento normativo. Por ejemplo, cuando se trata de someterse a una auditoría, o la apruebas o la suspendes.
Y si bien existe esa línea muy clara que marca la pauta general sobre qué hacer, también es fundamental comprender que la seguridad y el cumplimiento normativo no son lo mismo.
El cumplimiento normativo debe considerarse el mínimo exigible en materia de seguridad. Sin embargo, comenzar con una evaluación de seguridad adecuada durante el diseño inicial del dispositivo ayudará a garantizar que la seguridad se integre en los sistemas IoT desde el principio.
¿Por qué la PKI ha surgido como la tecnología principal para proteger los dispositivos IoT? ¿En qué se diferencia el uso de PKI en entornos empresariales tradicionales de su implementación en el IoT?
Si se va a autenticar algo, se debe vincular de alguna manera una identidad a una clave, y eso es la PKI en pocas palabras.
En los últimos años, la necesidad de lo que ahora se denomina «PKI de raíz privada» ha explotado. La mayoría de las organizaciones quieren poder establecer un control muy estricto sobre quién obtiene las credenciales y el control de las identidades de los dispositivos. Esencialmente, buscan PKI que operen de esta manera, ya sea gestionadas por su equipo o por un tercero.
Esto introduce una mayor fragmentación de las raíces de confianza basada en las líneas de dispositivos. Si usted es un fabricante de IoT, no querrá que sus dispositivos se autentiquen en las mismas raíces de confianza que sus usuarios y sus ordenadores portátiles, y viceversa. Por ejemplo, no querrá que un ordenador portátil pueda autenticarse como un marcapasos.
A pesar de la fragmentación, una regla importante sigue aplicándose en lo que respecta a PKI y el IoT: las cosas aún deben ser actualizables, aunque sea más difícil debido a las directrices en constante cambio.
No se puede simplemente colocar una clave en algo y pensar que será estática para siempre. Los algoritmos y las claves envejecen, y los fabricantes deben encontrar una manera de hacer que las cosas sean actualizables y seguras.
¿Cómo se migra de una solución más sencilla a una más compleja y robusta?
En primer lugar, y lo más importante: no intente construirlo usted mismo.
Hubo un tiempo en que las empresas que fabricaban dispositivos IoT o los implementaban en su red simplemente adquirían una CA interna como la de Microsoft. Intentaban implementar un conjunto de identidades en los dispositivos, construir sistemas manualmente y gestionar esas identidades, claves y certificados.
Desafortunadamente, y la mayoría de las veces sin darse cuenta, al intentar simplemente hacer que esos dispositivos sean más seguros, es probable que se estén generando más inseguridades.
El siguiente paso sería reflexionar sobre todo desde el principio. Plantéese las siguientes preguntas:
- ¿Cómo se emiten las identidades al dispositivo?
- ¿Cómo va a registrar esos dispositivos?
- ¿Cómo se integra el primer conjunto de identidades una vez que salen de la planta de fabricación?
- ¿Cómo se gestiona la PKI, lo cual será diferente a simplemente integrarse con una CA?
Asegúrese de tener un plan bien definido de dónde identifica las brechas y sepa que existen soluciones para ayudar a automatizarlo. Como, por ejemplo, Keyfactor.
Muchas empresas, en particular los grandes fabricantes, dirán: «Llevamos años produciendo este producto y no es muy seguro. Ahora queremos incorporar una autenticación más robusta al producto». Pero, simplemente no saben cómo ensamblar todas las piezas porque no es tan sencillo como tener una identidad y una autoridad de certificación.
Todos los procesos y la automatización intermedia tienen que ver con la gestión de PKI y puede ser muy complejo de construir por sí mismo.
