Se forman alianzas para tapar los agujeros de seguridad en el IoT | Internet de las Cosas


Por Jack M. Germain

13 de mayo de 2021 5:13 a.m. PT

Los esfuerzos de varios grupos de la industria de Internet se están centrando en nuevas medidas para corregir las debilidades de seguridad inherentes con el uso rápidamente ampliado de los dispositivos de Internet de las cosas (IoT) para empresas y consumidores.

Empresa de seguridad de la cadena de suministro Estado finito el 27 de abril anunció una asociación con soluciones de seguridad de aplicaciones Veracode para ofrecer una cobertura completa de dispositivos conectados y sistemas integrados. La solución de seguridad cubre el camino desde el firmware del dispositivo hasta las aplicaciones web, la infraestructura y los servicios en la nube con los que interactúan.

Esta nueva asociación presenta la imagen más completa de la seguridad del producto para los fabricantes y usuarios de productos conectados en un momento en que el mercado de dispositivos de IoT está experimentando un crecimiento exponencial, según Matt Wyckhouse, fundador y director ejecutivo de Finite State.

En un desarrollo relacionado, el Alianza FIDO (Fast Identity Online) anunció el 20 de abril un nuevo estándar de IoT abierto llamado protocolo FIDO Device Onboard (FDO) que permite que los dispositivos se incorporen de forma sencilla y segura a las plataformas de administración locales y en la nube.

Ese anuncio cumple con el compromiso anterior de la compañía anunciado hace dos años para establecer esfuerzos que ayuden a solucionar lo que está mal con la seguridad faltante de IoT.

“Estamos viendo un aumento en los eventos de seguridad informados públicamente que apuntan a las cadenas de suministro de software. Estos continúan mostrando el daño que estos incidentes pueden infligir incluso en las organizaciones más sofisticadas, lo que está generando una creciente presión sobre las empresas para garantizar que los dispositivos se desarrollen de forma segura y se revisen continuamente para las vulnerabilidades y los riesgos de la cadena de suministro como parte de su programa de seguridad “, dijo Wyckhouse.

Soporte FIDO

En 2019, la Alianza FIDO anunció un grupo de trabajo dedicado a abordar los estándares de seguridad de IoT en procesos típicos, como dispositivos de envío con credenciales de contraseña predeterminadas. Depender de la incorporación manual puede dejar vulnerables los dispositivos y las redes en las que operan.

Ese grupo de trabajo está compuesto por miembros de Amazon, Google, Intel, Microsoft, Qualcomm y otros. Este nuevo estándar aborda los desafíos de seguridad, costo y complejidad relacionados con la implementación de dispositivos de IoT a escala.

FIDO Device Onboard promueve la visión fundamental de Alliance, que ha reunido a más de 250 de las empresas y agencias gubernamentales más influyentes e innovadoras de todo el mundo para abordar la ciberseguridad con el fin de eliminar las violaciones de datos y permitir experiencias seguras en línea.

FIDO Alliance, una organización sin fines de lucro, es una asociación industrial abierta que busca estandarizar la autenticación en las capas de cliente y protocolo. Las especificaciones FIDO admiten la autenticación multifactor (MFA) y la criptografía de clave pública.

“El estándar FIDO Device Onboard se basa en los esfuerzos continuos de Alliance para ayudar a cerrar las brechas de seguridad que existen actualmente en la web al expandir este trabajo a aplicaciones de IoT”, dijo Andrew Shikiar, director ejecutivo y CMO de FIDO Alliance.

“Las empresas reconocen el enorme potencial de IoT y los enormes beneficios que puede aportar a la fabricación, el comercio minorista, la atención médica, el transporte, la logística y más”, continuó. “El paradigma debe cambiar de inmediato para que podamos hacer avanzar las tecnologías de IoT con medios de autenticación más seguros, más fuertes y más seguros para estos importantes usos en entornos industriales y comerciales”.

Qué hace FDO

Las especificaciones FDO de FIDO para IoT se desarrollaron en colaboración como una medida de seguimiento de sus estándares de autenticación FIDO para ayudar a abordar el problema global de violación de datos. Las especificaciones han alcanzado el estado estándar propuesto y están abiertas y se pueden implementar libremente.

Inicialmente, las nuevas especificaciones apuntan a aplicaciones industriales y comerciales. Los desarrolladores pueden ver y descargar las especificaciones aquí.

FDO aprovecha la criptografía asimétrica de clave pública para proporcionar a la industria de IoT industrial una forma rápida y segura de incorporar cualquier dispositivo a cualquier sistema de gestión de dispositivos. Los beneficios comerciales del estándar FIDO Device Onboard incluyen:

  • Simplicidad: las empresas ya no tienen que pagar más por el largo y altamente técnico proceso de instalación que por los propios dispositivos. Las personas de cualquier nivel de experiencia pueden aplicar el proceso FDO altamente automatizado de manera rápida y eficiente.
  • Flexibilidad: las empresas pueden decidir qué plataformas en la nube prefieren para los dispositivos incorporados en el punto de instalación (en lugar de fabricarlos). Se puede incorporar un SKU de un solo dispositivo a cualquier plataforma, lo que simplifica enormemente la cadena de suministro del dispositivo.
  • Seguridad: FDO aprovecha un enfoque de “instalador que no es de confianza”, lo que significa que el instalador ya no necesita, ni está disponible dicho acceso, ninguna información sensible de control de acceso / infraestructura para agregar un dispositivo a una red.

“Este es un hito importante que tiene como objetivo resolver uno de los desafíos críticos de hoy con la implementación de sistemas de IoT. El nuevo estándar FDO ayudará a reducir costos, ahorrar tiempo y mejorar la seguridad, todo lo que ayudará a la industria de IoT a expandirse rápidamente”, dijo. Christine Boles, vicepresidente del Grupo de Internet de las Cosas y director general de la División de Soluciones Industriales de Intel.

La implementación del estándar FDO permite a las empresas aprovechar la oportunidad completa de IoT al reemplazar el proceso de incorporación manual actual con una solución industrial automatizada y altamente segura, explicó.

Se necesita mitigación

Esta última iniciativa de la Alianza FIDO reduce la dependencia mundial de las contraseñas con una autenticación más simple y sólida. El nuevo proceso evita los ataques escalables y la apropiación de cuentas.

Firma de investigación IDC espera que la cantidad de dispositivos IoT alcance los 55,7 mil millones en todo el mundo. IDC también espera que el mercado de IoT mantenga una tasa de crecimiento anual de dos dígitos y supere la marca de $ 1 billón en 2022.

Los avances en la conectividad 5G y la transformación digital acelerada de las operaciones comerciales han aumentado la adopción de dispositivos conectados a Internet. Sin embargo, esto conlleva un mayor riesgo y superficies de ataque ampliadas para que los equipos de seguridad y desarrollo las fortalezcan y protejan.

“Los fabricantes de dispositivos conectados y sistemas integrados están bajo una creciente presión del mercado para crear e implementar dispositivos seguros sin comprometer la velocidad de desarrollo o la experiencia del usuario”, dijo Peter Ellis, vicepresidente de desarrollo corporativo de Veracode.

El enfoque holístico de Finite State es una única solución SaaS para analizar estos dispositivos y la cadena de suministro que los sustenta. Ayuda a los clientes a identificar, priorizar y remediar rápidamente los riesgos de seguridad del producto, explicó Ellis.

Un reciente encuesta por Omdia e IoT World Hoy, tanto los proveedores como los usuarios empresariales descubrieron que la mayoría de las empresas tienen serias preocupaciones sobre las infracciones a sus infraestructuras. De los 170 líderes de IoT encuestados, el 85 por ciento dijo que las preocupaciones de seguridad siguen siendo una barrera importante para la adopción de IoT.

Casi dos tercios (64 por ciento) de los encuestados afirmaron que la seguridad de IoT de extremo a extremo es su principal prioridad a corto plazo. Ese problema supera la computación de borde (55 por ciento), la inteligencia artificial / aprendizaje automático (50 por ciento) y las implementaciones de 5G (28 por ciento).



Jack M. Germain ha sido reportero de ECT News Network desde 2003. Sus principales áreas de enfoque son TI empresarial, Linux y tecnologías de código abierto. Es un crítico estimado de distribuciones de Linux y otro software de código abierto. Además, Jack cubre ampliamente la tecnología empresarial y los problemas de privacidad, así como los desarrollos en el comercio electrónico y la electrónica de consumo. Envíe un correo electrónico a Jack.

.



Source link