Ciberseguridad en IoT - ACIS

Ciberseguridad en IoTRetos y riesgos emergentes

Jeimy J. Cano M., Ph.D, CFEProfesor Asociado

Escuela de Administración

Agenda

• Introducción

• Percepción del riesgo: el reto de lo digital

• Cambio de paradigma: hacia la densidad digital

• Fundamentos del IoT

• Fundamentos de ciberseguridad

• Ciberseguridad en IoT

• Casos recientes: Ciber-inseguridad en IoT

• IoT: Riesgos y retos emergentes

• Reflexiones finales

JCM-18 All rights reserved UR-Escuela de Administración 2

Introducción


Preocupaciones de los ejecutivos a nivel global


Fuente: https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf

https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf

Convergencia tecnológica y densidad digital


Computación cognitiva

Grandes datos y

analítica

Móviles y Redes

sociales

Impresión 3D

Computación en la nube

Internet de las cosas

Diseño y despliegue de Expectativas, Experiencias y Excelencia con el cliente

DENSIDAD DIGITAL (Dispositivos, conexiones y datos)

Industria 4.0


INDUSTRIA 1.0Era de la mecanización

Producción mecánica impulsada por aguay vapor

1784 Primer telar mecánico

INDUSTRIA 2.0Era de la electricidad

Producción masiva impulsada por energíaeléctrica

1870 Primera línea de producción

INDUSTRIA 3.0Era de la automatización

Producción automatizada por dispositivoselectrónicos y TI

1969 Primer controlador lógicoprogramable (PLC)

INDUSTRIA 4.0Era de las redes de humanos, máquinas y cosas

Producción a través de sistemas ciber-físicos

Nivel de complejidad

Inicio del siglo XXFinales del siglo XVIII Inicia en los 70’s Actualmente

Percepción del riesgoEl reto de lo digital


Conceptualización del riesgo


Experiencia personalAmbigüedad

IncertidumbreEstado de indeterminación entre una causa y susefectos.

ComplejidadResultado de la limitada capacidad para distinguiraspectos concretos de la realidad, que superan los saberes previos de los observadores.

Resultado de las interpretacioneslegítimas basadas en significadossocialmente aceptados y en hechosreales evidenciados.

La historia particular de cadaindividuo interpretada en la cámarasecreta de sus supuestos.

Riesgo: Una situación o un evento en el que algo de valor humano está en juego y donde el resultado es incierto.

Ideas tomadas de: Rosa, E., Renn, O. y McCright, A. (2014) The risk society revisited. Social theory and governance. Philadelphia, Pennsylvania. USA: Temple University Press.

¿Qué significa “ser digital”?


Comportamientos y expectativas de clientes

Cultura triple “A”

Anticipar, Adaptar, Arriesgar

Uso de los datos

Nuevas capacidades

Nuevas fronteras del valor

Adaptado de: Dörner, K. y Edelman, D. (2015) What ”digital” really means. Mckinsey Quarterly. July. Recuperdo de: http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means

http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means

Cambio de paradigmaHacia la densidad digital


Densidad digital


Físico

Conexiones

Datos

Con ideas de: Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.27

Densidad digital


Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.27

Productos/Servicios digitalmente modificados


Po

rter,M

.y

Hep

pelm

ann

,J.

(20

14

)H

ow

Smart,

con

nected

pro

du

ctsare

transfo

rmin

gco

mp

etition

.Ha

rvard

Bu

siness

Review

.No

viemb

re.p.7

Visualización práctica


Densidad digital


Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.28

Impulsores de Valor

Densidad digital

Anticipación

Eficiencia

Coordinación

Personalización

Privacidad

Fiabilidad Seguridad

Integración

Retos

Fundamentos del IoT


Evolución del IoT


Era Industrial

1850 1970

Era de la Información

2020

Bo

mb

illa

Mainframe Computing

1 millón de dispositivosconectados a internet

PC / Laptop

Internet & WiFi

Internet Móvil

200019901980 2010

iPh

on

e

iPad

Mic

roso

ft

Win

do

ws

1

Go

ogl

e

Internet de las cosas

50 Billones de dispositivos

conectados a internet

Soci

al

Med

ia

Inte

l mic

rop

roce

sad

ore

s

500 millones de dispositivos conectados a internet

Algunas estadísticas


Basado en: https://www.forescout.com/wp-content/uploads/2016/10/iot-enterprise-risk-report.pdf

https://www.forescout.com/wp-content/uploads/2016/10/iot-enterprise-risk-report.pdf

Definiciones para IoT


Ya sea que se llame IoT, la Internet Industrial o los SistemasCiberfísicos (CPS), el término describe una red descentralizadade objetos (o dispositivos), aplicaciones y servicios quepueden detectar, registrar, interpretar, comunicar, procesar, yactuar sobre una variedad de información o dispositivos de controlen el entorno físico.

Basado en: US National Security Telecommunications Advisory Committee – 2014. Recuperado de: https://www.hsdl.org/?abstract&did=789743

https://www.hsdl.org/?abstract&did=789743

Arquitectura básica para IoT


Aplicaciones / Industrial

Analítica/ Negocio social

Conectividad / Habilitación de servicios

Plataformas

Sistemas inteligentes

Acoplamiento industrial

Análisis de negocio y cultura social empresarial

Enlaces y servicios

Dispositivos, redes, habilitación de aplicaciones (provisionamiento)

Sensores y sistemas embebidos

Principios del IoT


Los dispositivos conectados en red están instrumentados de tal manera que pueden ser

comunicados individualmente.

Los dispositivos se conectan entre sí a través de una plataforma compartida,

como un servicio en la nube.

La programación y la información del mundo físico permite a los

dispositivos realizar actividades por sí mismos o con otros dispositivos.

Plataforma InteligenciaDispositivo

1 2 3

Basado en: US National Security Telecommunications Advisory Committee – 2014. Recuperado de: https://www.hsdl.org/?abstract&did=789743

https://www.hsdl.org/?abstract&did=789743

Temas clave en IoT


Cliente

Industria

Estándares

Comunicaciones

Las normas de IoT y de interoperabilidad evolucionarán

gradualmente.

El enfoque en el cliente cambia del hardware y la tecnología, al software y la tecnología de análisis

La tecnología del IoT es extremadamente diversa y difiere según su aplicación

La seguridad y la privacidad de la información desempeñarán un papel clave. Están surgiendo

tecnologías y prácticas más adecuadas.

IoT

Fundamentos de Ciberseguridad


InfoSEC Vs CiberSEC


Seguridad de la Información

Ciber seguridad

Seguridad de la Información

Ciber seguridad

Ciber seguridad

Seguridad de la información

Ciber seguridad Seguridad de la Información

I II

III

IV

Apuntes conceptuales sobre CiberSEC


Tomado de: ISO 27032 – InformationTechnology- Security Techniques – Guidelinesfor cybersecurity.Tomado de: ALXELROD, W.C (2013) Engineering Safe and Secure Software Systems.

Artech House

Security Safety Security+Safety

“Evitar que elmundoexterior afecteal sistema”

“Evitar que elsistema afecteal mundoexterior”

“Asegurar que elsistema sigaoperando, sin afectarel mundo exterior, apesar de los ataques”

Sistema

Mundo Exterior

Ataques

Sistema Sistema

Ataques

Mundo Exterior

Mundo Exterior



Tomado de: ALXELROD, W.C (2013) Engineering Safe and Secure Software Systems. Artech House

Security Safety Security+Safety

“Evitar que elmundoexterior afecteal sistema”

“Evitar que elsistema afecteal mundoexterior”

“Asegurar que elsistema sigaoperando, sin afectarel mundo exterior, apesar de los ataques”

Sistema

Mundo Exterior

Ataques

Sistema Sistema

Ataques

Mundo Exterior

Mundo Exterior

Ciberseguridad Empresarial

Es una capacidad empresarial definida paradefender y anticipar las amenazas digitalespropias del ecosistema donde laorganización opera, con el fin de proteger yasegurar la resiliencia de las operaciones y lareputación de la empresa.



Activar

Adaptar

Anticipar

Inteligencia

Cacería de amenazas

Prototipos y riesgos inteligentes

Juegos de guerra

Inteligencia de amenazas

Nuevos normales Nuevas capacidades

Adaptado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf

Entendiendo los ciberataques


Absorción ágil de las discontinui-dades tecnológicas

Ciberataques

Cambio de percepción:Incertidumbre e inestabilidad

Activos valiososen línea

Redes digitalesabiertas e

interconectadas

Atacantes sofisticados

Ideas adaptadas de: Kaplan, J., Bailey, T., O’Halloran, D., Marcus, A. y Rezek, C. (2015) Beyond cybersecurity. Protecting your digital business. Hoboken, New Jersey. USA: Wiley.

Ecosistemas digitales

Ciberseguridad en IoT


IoT: Riesgos de la convergencia tecnológica


Ideas de: Ayala L. (2016) Cyber-Physical Attack Recovery Procedures. In: Cyber-Physical Attack Recovery Procedures. Berkeley, CA.USA: Apress.

Entorno digital

Mundo físico

Sistemas legados sin medidas de seguridad y control avanzadas

Diagnósticos y mantenimiento

remoto

Interconexionescon redes

corporativas

Migrción a redesTCP/IP

Sistemasoperativosobsoletos

Configuracionesinadecuadas de los

proveedores

IoT: Marco de Riesgos de Seguridad


Fuente: https://www.iotca.org/wp-content/themes/iot/pdf/IoT-Cybersecurity-Alliance-Demystifying-IoT-Cybersecurity.pdf

https://www.iotca.org/wp-content/themes/iot/pdf/IoT-Cybersecurity-Alliance-Demystifying-IoT-Cybersecurity.pdf

IoT: Indicadores de posibles ataques


Tomado de: Ayala L. (2016) Threats and attacks detection. In: Cyber-Physical Attack Recovery Procedures. Berkeley, CA.USA: Apress.

IoT: Métodos de ataque


Forzar parada del sistemaFalla protocolo industrial: Dispositivo en estado de fallarecuperable mayor.

Descarga remota del código de arranqueFunción del protocolo industrial habilitada

Reinicio del dispositivoMal uso de la función que trae el dispositivo

Bloqueo del dispositivoGenerado como producto de una falla del

protocol industrial

Bloqueo de la CPUEnvío mal formado de comandos del protocoloindustrial: Dispositivo en estado de fallarecuperable mayor.

Reescritura del firmware

Abuso de la capacidad de los protocolosindustriales para escribir datos y archivos

para remover dispositivos

Suplantación del dispositivo

Manipulación de la identificación del dispositivo en la red de control

1

2

3

45

6

7

Con ideas de: Brooks, T. (editor) (2017) Cyber-assurance for Internet of Things. Hoboken, New Jersey. USA: IEEE-John Wiley & Son. 107-108

IoT: Fundamentos de diseño confiable


Adaptado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress. P. 22

Asuma que un atacanteinteligente podría supercar todas las medidas defensivas

Diseñe defensas para detectar y demorar los

ataques

Incluya niveles de defensa para contener los ataques y proveerredundancia en la protección. Use defensas activas para

capturar y repeler losataques después que inician

y antes que tengan éxito.

Axiomaspara el diseño

IoT: Algunos marcos de ciberseguridad


IoT Cybersecurity Alliance - https://www.iotca.org/ Online Trust Alliance IoT Trust Framework - https://otalliance.org

IoT: Algunos marcos de ciberseguridad


CISCO Securing IoT - https://bit.ly/2zpBpeN ENISA Baseline security recommendations for IoT- https://bit.ly/2Bebzf0

https://bit.ly/2zpBpeN

https://bit.ly/2Bebzf0

Algunos marcos de ciberseguridad


Tomado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress. P. 29

Algunos marcos de ciberseguridad


NIST Cybersecurity Framework -https://www.nist.gov/cyberframework

ISA/IEC 62443 - https://bit.ly/2qBPfqX

https://bit.ly/2qBPfqX

Casos recientes: Ciber-inseguridad en IoT


CASO Mirai


¿Qué es MIRAI?Mirai es una pieza de malware para IoT quebusca enrutadores inseguros, cámaras, DVR y otrosdispositivos de Internet de las Cosas (IoT) quetodavía usan sus contraseñas predeterminadas yluego las agrega a una red de bots, que se usadespués para lanzar ataques DDoS en sitios web einfraestructura de Internet.

AutoresParas Jha (de 21 años de Nueva Jersey), JosiahWhite (de 20 años de edad, Washington) yDalton Norman (de 21 años de Louisiana)fueron acusados formalmente en diciembre de 2017por un tribunal de Alaska con cargos múltiples porsu papel en los ciberataques masivos llevados a caboutilizando la botnet Mirai.

Tomada de: https://www.securityartwork.es/wp-content/uploads/2017/10/Informe_Mirai_2.pdf

Ad

apta

do

de:

Các

eres

, J.

(2

01

7)

Tres

hac

kers

se

dec

lara

n c

ulp

able

s d

e cr

ear

la b

otn

etM

irai

DD

oS

bas

ada

en la

IoT.

Rec

up

erad

o d

e :h

ttp

s://

bit

.ly/2

qvI

zdY

https://bit.ly/2qvIzdY

CASO Mirai


Fuente: https://bit.ly/2Bebzf0

https://bit.ly/2Bebzf0

IoT: Riesgos y retos emergentes


IoT: Evolución y retos


Contexto de la vulnerabilidad digital


El imperativo de las API


Con ideas de: Calabro, L., Púrpura, C., Vasa, V. & Perinkolam, A. (2018) El imperativo de API. Desde preocupación de TI hasta mandato de negocios. Deloitte Insights. Recuperado de: https://bit.ly/2HB5I73

https://bit.ly/2HB5I73

Reflexiones finales


IoT: La tormenta perfecta


Con ideas de: Kranz, M. (2017) Internet of things. Construye nuevos modelos de negocio. Madrid, España: LID Editorial

TI – Tecnología de Información.OT – Operaciones de Tecnología.

IoT

Inicialmente contratación en la nubey ahora computación en la niebla.

Inicialemente monitoreo y seguimientoremoto, y ahora control y manejo de objetos remoto.

Inicialmente mundos separados TI y OT y ahora convergencia de TI y OT con DevOps.

Inicialmente estándares de TI y OT, y ahora incorporación de capacidadesen objetos ciber-físicos.


Transformacióndigital

Mayores exigencias de innovación y agilidad para superar lasexpectativas de los clientes.

Convergenciatecnológica

Acelerada integración de tecnologías y usos intensivos de datospara crear experiencias distintas.

Múltiples fuentesde vulnerabilidades

Uso intensivo de ambientes descentralizados, móviles, virtualizados, en la nube y con tecnologías inteligentes.

Evolución de los perfiles de los

atacantes

Mutación acelerada de motivaciones de los atacantes: Monetización de la información.

Interdependenciade proveedores

Mayor dependencia de terceros para asegurar la operación y proteger las información de las empresas y personas.

Ideas tomadas de: Sigma (2017) Cyber: Getting to grips with complex risk. Swiss Re Institute. Economic Research & Consulting. No. 1. Recuperado de:http://institute.swissre.com/research/overview/sigma/01_2017.html

http://institute.swissre.com/research/overview/sigma/01_2017.html

Para continuar reflexionando …


Referencia académica:

Cano, J. (2016) Manual de un CISO. Reflexiones noconvencionales sobre la gerencia de la seguridadde la información en un mundo VICA (Volátil,Incierto, Complejo y Ambiguo). Bogotá, Colombia:Ediciones de la U.

Enlace en la página de la Editorial: (Formato Ebook)https://edicionesdelau.com/producto/manual-de-un-ciso-2/

https://edicionesdelau.com/producto/manual-de-un-ciso-2/

JCM-18 All rights reserved UR-Escuela de Administración

La ciberseguridad en IoT no es sólo unejercicio de implementación deprácticas de seguridad y control, esuna apuesta empresarial quedesarrolla capacidades para defendery anticipar riesgos emergentes en unentorno digitalmente modificado.

Jeimy J. Cano M.

@itinsecure51

Jeimy J. Cano M., Ph.D, CFEProfesor Asociado

Escuela de Administración

Blog:

http://insecurityit.blogspot.com.co

@itinsecure

Ciberseguridad en IoTRetos y riesgos emergentes

“Si el objetivo más alto de un capitán fuera preservar su barco, lo mantendría en el

puerto por siempre”.

Santo Tomás de Aquino

Jeimy J. Cano M., Ph.D, CFE

[email protected]

@itinsecure

Ciberseguridad en IoT - ACIS

Documents

Transcript of Ciberseguridad en IoT - ACIS