Se forman alianzas para tapar los agujeros de seguridad en el IoT

 Alianzas industriales de seguridad de Internet de las cosas

Los esfuerzos de varios grupos de la industria de Internet se centran en nuevas medidas para corregir las debilidades de seguridad inherentes con el uso rápidamente ampliado de los dispositivos de Internet de las cosas (IoT) para empresas y consumidores.

Suministro La empresa de seguridad en cadena Finite State anunció el 27 de abril una asociación con soluciones de seguridad de aplicaciones Veracode para ofrecer una cobertura completa de dispositivos conectados y sistemas integrados. La solución de seguridad cubre el camino desde el firmware del dispositivo hasta las aplicaciones web, la infraestructura y los servicios en la nube con los que interactúan.

Esta nueva asociación presenta la imagen más completa de la seguridad del producto para los fabricantes y usuarios de productos conectados a la vez. cuando el mercado de dispositivos de IoT está experimentando un crecimiento exponencial, según Matt Wyckhouse, fundador y director ejecutivo de Finite State.

En un desarrollo relacionado, la FIDO Alliance (Fast Identity Online) anunció el 20 de abril un nuevo , estándar de IoT abierto llamado protocolo FIDO Device Onboard (FDO) que permite que los dispositivos se incorporen de manera simple y segura a las plataformas de administración locales y en la nube.

Ese anuncio cumple con el compromiso anterior de la compañía anunciado hace dos años para establecer esfuerzos que ayuden arregle lo que está mal con la seguridad faltante de IoT.

"Estamos viendo un aumento en los eventos de seguridad informados públicamente que apuntan a las cadenas de suministro de software. Estos continúan mostrando el daño que estos incidentes pueden infligir incluso en las organizaciones más sofisticadas, lo que está generando una creciente presión sobre las empresas para garantizar que los dispositivos se desarrollen de manera segura y se revisen continuamente para detectar vulnerabilidades y riesgos de la cadena de suministro como parte de su programa de seguridad ", dijo Wyckhouse. .

Soporte de FIDO

En 2019, la Alianza FIDO anunció un grupo de trabajo dedicado a abordar los estándares de seguridad de IoT en procesos típicos, como el envío de dispositivos con credenciales de contraseña predeterminadas. Depender de la incorporación manual puede dejar vulnerables los dispositivos y las redes en las que operan.

Ese grupo de trabajo está compuesto por miembros de Amazon, Google, Intel, Microsoft, Qualcomm y otros. Este nuevo estándar aborda los desafíos de seguridad, costo y complejidad relacionados con la implementación de dispositivos de IoT a escala.

FIDO Device Onboard promueve la visión fundamental de Alliance, que ha reunido a más de 250 de las empresas y el gobierno más influyentes e innovadores agencias de todo el mundo para abordar la ciberseguridad con el fin de eliminar las violaciones de datos y permitir experiencias seguras en línea.

La Alianza FIDO, una organización sin fines de lucro, es una asociación industrial abierta que busca estandarizar la autenticación en las capas de cliente y protocolo. Las especificaciones de FIDO admiten la autenticación multifactor (MFA) y la criptografía de clave pública.

"El estándar FIDO Device Onboard se basa en los esfuerzos continuos de la Alianza para ayudar a cerrar las brechas de seguridad que existen actualmente en la Web al expandir este trabajo a aplicaciones de IoT ", dijo Andrew Shikiar, director ejecutivo y CMO de la Alianza FIDO.

" Las empresas reconocen el enorme potencial de IoT y los enormes beneficios que puede aportar a la fabricación, el comercio minorista, la atención médica, el transporte, la logística y más ", dijo continuado. "El paradigma debe cambiar de inmediato para que podamos hacer avanzar las tecnologías de IoT con medios de autenticación más seguros, más sólidos y más seguros para estos importantes usos en entornos industriales y comerciales".

Qué hace FDO

Las especificaciones FDO de FIDO para IoT se desarrollaron en colaboración como una medida de seguimiento de sus estándares de autenticación FIDO para ayudar a abordar el problema global de violación de datos. Las especificaciones han alcanzado el estado de estándar propuesto y son abiertas y de libre implementación.

Inicialmente, las nuevas especificaciones están dirigidas a aplicaciones industriales y comerciales. Los desarrolladores pueden ver y descargar las especificaciones aquí .

FDO aprovecha la criptografía asimétrica de clave pública para proporcionar a la industria de IoT industrial una forma rápida y segura de incorporar cualquier dispositivo a cualquier sistema de gestión de dispositivos. Los beneficios comerciales del estándar FIDO Device Onboard incluyen:

  • Simplicidad: las empresas ya no tienen que pagar más por el largo y altamente técnico proceso de instalación que por los propios dispositivos. Las personas de cualquier nivel de experiencia pueden aplicar el proceso FDO altamente automatizado de manera rápida y eficiente.
  • Flexibilidad: las empresas pueden decidir qué plataformas en la nube prefieren para los dispositivos incorporados en el punto de instalación (en lugar de fabricarlos). Se puede incorporar un SKU de un solo dispositivo a cualquier plataforma, lo que simplifica enormemente la cadena de suministro del dispositivo.
  • Seguridad: FDO aprovecha un enfoque de "instalador no confiable", lo que significa que el instalador ya no necesita, ni dicho acceso está disponible para: – cualquier información sensible de control de acceso / infraestructura para agregar un dispositivo a una red.

"Este es un hito importante que tiene como objetivo resolver uno de los desafíos críticos actuales con la implementación de sistemas de IoT. El nuevo estándar FDO ayudará a reducir costos, ahorrar tiempo y mejorar la seguridad, todo ayudando a la industria de IoT expandirse rápidamente ", dijo Christine Boles vicepresidenta del Grupo de Internet de las cosas y gerente general de la División de Soluciones Industriales de Intel.

La implementación del estándar FDO permite a las empresas aprovechar todo el IoT oportunidad al reemplazar el actual proceso de incorporación manual con una solución industrial automatizada y altamente segura, explicó.

Se necesita mitigación

Esta última iniciativa de la Alianza FIDO reduce la dependencia mundial de las contraseñas con una autenticación más simple y sólida. El nuevo proceso evita los ataques escalables y la apropiación de cuentas.

La empresa de investigación IDC espera que el número de dispositivos IoT alcance los 55,7 mil millones en todo el mundo. IDC también espera que el mercado de IoT mantenga una tasa de crecimiento anual de dos dígitos y supere la marca de 1 billón de dólares en 2022.

Los avances en la conectividad 5G y la transformación digital acelerada de las operaciones comerciales han aumentado la adopción de dispositivos conectados a Internet. Sin embargo, esto conlleva un mayor riesgo y superficies de ataque ampliadas para que los equipos de seguridad y desarrollo las fortalezcan y protejan.

"Los fabricantes de dispositivos conectados y sistemas integrados se encuentran bajo una creciente presión del mercado para crear e implementar dispositivos seguros sin comprometer la velocidad de desarrollo o usuario. experiencia ", dijo Peter Ellis, vicepresidente de desarrollo corporativo de Veracode.

El enfoque holístico de Finite State es una única solución SaaS para analizar estos dispositivos y la cadena de suministro que los sustenta. Ayuda a los clientes a identificar, priorizar y remediar rápidamente los riesgos de seguridad del producto, explicó Ellis.

Una encuesta reciente realizada por Omdia e IoT World Today de proveedores y usuarios empresariales encontró que la mayoría de las empresas tienen serias preocupaciones sobre infracciones a sus infraestructuras. De los 170 líderes de IoT encuestados, el 85 por ciento dijo que las preocupaciones de seguridad siguen siendo una barrera importante para la adopción de IoT.

Casi dos tercios (64 por ciento) de los encuestados afirmaron que la seguridad de IoT de extremo a extremo es su principal prioridad a corto plazo. Ese problema supera la computación de borde (55 por ciento), la inteligencia artificial / aprendizaje automático (50 por ciento) y las implementaciones de 5G (28 por ciento).


Leave a Reply

Your email address will not be published. Required fields are marked *