El mundo de IoT ha seguido expandiéndose rápidamente, y a medida que los innovadores de productos sacan al mercado dispositivos conectados, el riesgo de pirateo de dispositivos y robo de datos sigue aumentando. A menudo se da prioridad a un desarrollo de productos y una entrega de funciones más rápidos, lo que conlleva un aumento de los riesgos de seguridad en IoT .
Consulte las preguntas más frecuentes de nuestra reciente sesión de preguntas y respuestas con expertos en PKI para saber por qué y cómo la infraestructura de clave pública (PKI) se ha convertido en una forma eficaz y rentable de proteger los dispositivos integrados a gran escala. O vea la sesión completa bajo demanda:
¿Cuál es el estado actual de la seguridad PKI y IoT ?
IoT en una posición interesante en los tiempos actuales. Una tendencia emergente de la computación en nube es hacia la computación de borde. Y la combinación de esas tres necesidades (IoT, cloud y edge computing) está haciendo más importante la necesidad de proteger los dispositivos, las aplicaciones y los microservicios que se ejecutan en contenedores.
Se ha producido una explosión de nuevos dispositivos, aplicaciones y componentes que intentan comunicarse entre sí de forma segura, y la situación no hará más que complicarse. Muchos de estos sistemas, sobre todo los industriales, son antiguos y difíciles de actualizar o parchear.
Al fin y al cabo, IoT consiste esencialmente en poner una pila de red en algo que antes no la tenía, lo que naturalmente introduce mayores retos de seguridad. Si a esto le unimos la necesidad de mantenerse al día con las prácticas de seguridad actuales y futuras y el creciente número de dispositivos IoT , tenemos un estado de seguridad IoT que va camino de ser más complejo y más importante que nunca.
¿Cómo pueden los fabricantes de IoT abordar el panorama actual y futuro del cumplimiento de la normativa IoT ?
Hay mucho blanco y negro en el cumplimiento. Por ejemplo, cuando se trata de someterse a una auditoría, o se pasa o no se pasa.
Y aunque existe una línea muy clara en la arena que sirve de orientación general sobre lo que hay que hacer, también es fundamental entender que la seguridad y el cumplimiento no son lo mismo.
La conformidad debe considerarse el listón mínimo en materia de seguridad. Sin embargo, comenzar con una evaluación de seguridad adecuada durante el diseño inicial del dispositivo ayudará a garantizar que la seguridad adecuada se entreteje en los sistemas IoT desde el principio.
¿Por qué la PKI se ha convertido en la tecnología estrella para proteger los dispositivos de IoT ? En qué se diferencia la utilización de PKI en entornos empresariales tradicionales de la implantación de IoT ?
Si vas a autenticar algo, debes vincular de algún modo una identidad a una clave, y eso es PKI en pocas palabras.
En los últimos años se ha disparado la necesidad de lo que ahora se denomina "PKI privada". La mayoría de las organizaciones quieren ser capaces de delimitar quién obtiene las credenciales y el control sobre las identidades de los dispositivos. Esencialmente, buscan PKI que funcionen de este modo, ya sea su equipo o un tercero que lo gestione todo.
Esto introduce mucha más fragmentación de raíces de confianza basadas en líneas de dispositivos. Si eres un fabricante de IoT , no querrás que tus dispositivos se autentiquen en las mismas raíces de confianza que tus usuarios y sus portátiles, y viceversa. Por ejemplo, no querrás que un portátil pueda autenticarse como un marcapasos.
Sin embargo, a pesar de la fragmentación, sigue aplicándose una gran regla en lo que respecta a PKI y IoT: las cosas tienen que poder actualizarse, aunque sea más difícil debido a las directrices en constante cambio.
No se puede poner una clave a algo y pensar que será estático para siempre. Los algoritmos y las claves envejecen, y los fabricantes tienen que encontrar la manera de que todo sea actualizable y seguro.
¿Cómo migrar de una solución más sencilla a otra más compleja y robusta?
Lo primero y más importante: no intentes construirlo tú mismo.
Hubo un tiempo en el que las empresas que construían dispositivos IoT o los implementaban en su red simplemente obtenían una CA interna como Microsoft. Intentaban implementar algún conjunto de identidades en los dispositivos, construir sistemas manualmente y gestionar esas identidades, claves y certificados.
Desgraciadamente, y la mayoría de las veces sin darse cuenta, al tratar simplemente de hacer que esos dispositivos sean más seguros, es probable que se estén creando más inseguridades.
El siguiente paso sería pensarlo todo desde el principio. Hazte las siguientes preguntas:
- ¿Cómo se emiten las identidades al dispositivo?
- ¿Cómo va a inscribir esos dispositivos?
- ¿Cómo se integra la primera serie de identidades una vez que salen de la planta de fabricación?
- ¿Cómo se gestiona la PKI, que va a ser diferente de la simple integración con una CA?
Asegúrese de tener un buen plan de dónde ve las lagunas, y sepa que hay soluciones para ayudar a automatizar eso. Como, por ejemplo, Keyfactor.
Muchas empresas, sobre todo los grandes fabricantes, dicen: "Llevamos años fabricando este producto y no es muy seguro. Y ahora queremos incorporar una autenticación más fuerte en el producto". Pero no saben cómo encajar todas las piezas, porque no es tan sencillo como tener una identidad y una autoridad de certificación.
Todos los procesos y automatizaciones intermedios tienen que ver con la gestión de PKI y puede ser muy complejo construirlos uno mismo.
