ciberseguridad en iot · pesar de los ataques” sistema mundo exterior ataques mundo exterior...

Seminario Incocrédito Octubre/2018

JCM-18 All rights reserved 1

Congreso INCOCRÉDTIOJCM-18 All rights reserved 1


Ciberseguridad en IoTRiesgos y retos emergentes

Jeimy J. Cano M., Ph.D, CFE, CICAProfesor Asociado

Universidad del Rosario



Agenda

• Introducción

• Percepción del riesgo: el reto de lo digital

• Cambio de paradigma: hacia la densidad digital

• Fundamentos del IoT

• Fundamentos de ciberseguridad

• Ciberseguridad en IoT

• Casos recientes: Ciber-inseguridad en IoT

• IoT: Riesgos y retos emergentes

• Reflexiones finales


Introducción




Preocupaciones de los ejecutivos a nivel global


Fuente: https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf

Convergencia tecnológica y densidad digital


Computación cognitiva

Grandes datos y

analítica

Móviles y Redes

sociales

Impresión 3D

Computación en la nube

Internet de las cosas

Diseño y despliegue de Expectativas, Experiencias y Excelencia con el cliente

DENSIDAD DIGITAL (Dispositivos, conexiones y datos)

https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf



Industria 4.0


INDUSTRIA 1.0Era de la mecanización

Producción mecánicaimpulsada por agua y vapor

1784 Primer telar mecánico

INDUSTRIA 2.0Era de la electricidad

Producción masivaimpulsada por energíaeléctrica

1870 Primera línea de producción

INDUSTRIA 3.0Era de la automatización

Producción automatizadapor dispositivos electrónicosy TI

1969 Primer controladorlógico programable (PLC)

INDUSTRIA 4.0Era de las redes de humanos, máquinas y cosas

Producción a través de sistemas ciber-físicos

Nivel de complejidad

Inicio del siglo XXFinales del siglo XVIII Inicia en los 70’s Actualmente

Percepción del riesgoEl reto de lo digital




¿Qué significa “ser digital”?


Comportamientos y expectativas de clientes

Cultura triple “A”

Anticipar, Adaptar, Arriesgar

Uso de los datos

Nuevas capacidades

Nuevas fronteras del valor

Adaptado de: Dörner, K. y Edelman, D. (2015) What ”digital” really means. Mckinsey Quarterly. July. Recuperdo de: http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means

Cambio de paradigmaHacia la densidad digital


http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means



Densidad digital


Físico

Conexiones

Datos

Con ideas de: Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.27

Productos/Servicios digitalmente modificados


Po

rter,M

.y

Hep

pelm

ann,

J.(2014

)H

ow

Smart,

con

nected

prod

ucts

aretran

sforming

com

petitio

n.H

arva

rdB

usin

essR

eview.N

oviem

bre

.p.7



Densidad digital


Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.28

Impulsores de Valor

Densidad digital

Anticipación

Eficiencia

Coordinación

Personalización

Privacidad

Fiabilidad Seguridad

Integración

Retos

Ecosistema Fintech


CLIENTES

1

2

3

4

5

DESLOCALIZACIÓN

5

Adaptado de: Giné, M. & Antón, M. (2018) El impacto del Big data, la IA y el blockchain en las finanzas.IESE Insight. No. 38. III Trim. 15-21



Fundamentos del IoT


Algunas estadísticas


Tomado de: Streibich, K. (2017) Breaking the Mould! A new Business model for the 21st century. European Business Review. November. Recuperado de:http://www.europeanbusinessreview.com/breaking-the-mould-a-new-business-model-for-the-21st-century/

http://www.europeanbusinessreview.com/breaking-the-mould-a-new-business-model-for-the-21st-century/



Definiciones para IoT


Ya sea que se llame IoT, la Internet Industrial o los SistemasCiberfísicos (CPS), el término describe una red descentralizadade objetos (o dispositivos), aplicaciones y servicios quepueden detectar, registrar, interpretar, comunicar, procesar, yactuar sobre una variedad de información o dispositivos de controlen el entorno físico.

Basado en: US National Security Telecommunications Advisory Committee – 2014. Recuperado de: https://www.hsdl.org/?abstract&did=789743

Arquitectura básica para IoT


https://www.hsdl.org/?abstract&did=789743



Principios del IoT


Los dispositivos conectados en red están instrumentados de tal manera que pueden ser

comunicados individualmente.

Los dispositivos se conectan entre sí a través de una plataforma compartida,

como un servicio en la nube.

La programación y la información del mundo físico permite a los

dispositivos realizar actividades por sí mismos o con otros dispositivos.

Plataforma InteligenciaDispositivo

1 2 3

Basado en: US National Security Telecommunications Advisory Committee – 2014. Recuperado de: https://www.hsdl.org/?abstract&did=789743

Temas clave en IoT


Cliente

Industria

Estándares

Comunicaciones

Las normas de IoT y de interoperabilidad evolucionarán

gradualmente.

El enfoque en el cliente cambia del hardware y la tecnología, al software y la tecnología de análisis

La tecnología del IoT es extremadamente diversa y difiere según su aplicación

La seguridad y la privacidad de la información desempeñarán un papel clave. Están surgiendo

tecnologías y prácticas más adecuadas.

IoT

https://www.hsdl.org/?abstract&did=789743



Fundamentos de Ciberseguridad


InfoSEC Vs CiberSEC


Seguridad de la Información

Ciber seguridad

Seguridad de la Información

Ciber Seguridad

Ciber seguridad

Seguridad de la información

Ciber seguridad Seguridad de la Información

I II

III

IV



Apuntes conceptuales sobre CiberSEC


Tomado de: ALXELROD, W.C (2013) Engineering Safe and Secure Software Systems. Artech House

Security Safety Security+Safety

“Evitar que elmundoexterior afecteal sistema”

“Evitar que elsistema afecteal mundoexterior”

“Asegurar que elsistema sigaoperando, sin afectarel mundo exterior, apesar de los ataques”

Sistema

Mundo Exterior

Ataques

Sistema Sistema

Ataques

Mundo Exterior

Mundo Exterior

Ciberseguridad Empresarial

Es una capacidad empresarial definida paradefender y anticipar las amenazas digitalespropias del ecosistema donde laorganización opera, con el fin de proteger yasegurar la resiliencia de las operaciones y lareputación de la empresa.

Apuntes conceptuales sobre CiberSEC


Activar

Adaptar

Anticipar

Inteligencia

Cacería de amenazas

Prototipos y riesgos inteligentes

Juegos de guerra

Inteligencia de amenazas

Nuevos normales Nuevas capacidades

Adaptado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf



Sectores más expuestos

Congreso INCOCRÉDTIO JCM-18 All rights reserved 25

Fuente: https://www.nuix.com/black-report/black-report-2018

Ciberseguridad en IoT


https://www.nuix.com/black-report/black-report-2018



¿Porqué las organizaciones son más vulnerables hoy?


Fuente: https://www.informationweek.com/whitepaper/risk-management-security/security-monitoring/the-risk-management-struggle/400923

IoT: Vectores de ataque críticos


Tomado de: Stellios, I., Kotzanikolaou, P., Psarakis, M., Alcarazy, C. & Lopez, J. (2018) A Survey of IoT-enabled Cyberattacks: Assessing Attack Paths to Critical Infrastructures and Services. IEEE Communications Surveys & Tutorials. DOI 10.1109/COMST.2018.2855563. p. 5

https://www.informationweek.com/whitepaper/risk-management-security/security-monitoring/the-risk-management-struggle/400923



IoT: Indicadores de posibles ataques


Tomado de: Ayala L. (2016) Threats and attacks detection. In: Cyber-Physical Attack Recovery Procedures. Berkeley, CA.USA: Apress.

IoT: Métodos de ataque


Forzar parada del sistemaFalla protocolo industrial: Dispositivo en estado de fallarecuperable mayor.

Descarga remota del código de arranqueFunción del protocolo industrial habilitada

Reinicio del dispositivoMal uso de la función que trae el dispositivo

Bloqueo del dispositivoGenerado como producto de una falla del

protocol industrial

Bloqueo de la CPUEnvío mal formado de comandos del protocoloindustrial: Dispositivo en estado de fallarecuperable mayor.

Reescritura del firmware

Abuso de la capacidad de los protocolosindustriales para escribir datos y archivos

para remover dispositivos

Suplantación del dispositivo

Manipulación de la identificación del dispositivo en la red de control

1

2

3

45

6

7

Con ideas de: Brooks, T. (editor) (2017) Cyber-assurance for Internet of Things. Hoboken, New Jersey. USA: IEEE-John Wiley & Son. 107-108



IoT: Fundamentos de diseño confiable


Adaptado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress. P. 22

Asuma que un atacanteinteligente podría supercar todas las medidas defensivas

Diseñe defensas para detectar y demorar los

ataques

Incluya niveles de defensa para contener los ataques y proveerredundancia en la protección. Use defensas activas para

capturar y repeler losataques después que inician

y antes que tengan éxito.

Axiomaspara el diseño

IoT: Algunos marcos de ciberseguridad


IoT Cybersecurity Alliance - https://www.iotca.org/ Online Trust Alliance IoT Trust Framework - https://otalliance.org




CISCO Securing IoT - https://bit.ly/2zpBpeN ENISA Baseline security recommendations for IoT- https://bit.ly/2Bebzf0



Tomado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program againstadvanced threats. New York, USA: Apress. P. 29


https://bit.ly/2zpBpeN

https://bit.ly/2Bebzf0




NIST Cybersecurity Framework -https://www.nist.gov/cyberframework ISA/IEC 62443 - https://bit.ly/2qBPfqX


Casos recientes: Ciber-inseguridad en IoT


https://bit.ly/2qBPfqX



CASO Mirai


¿Qué es MIRAI?Mirai es una pieza de malware para IoT quebusca enrutadores inseguros, cámaras, DVR y otrosdispositivos de Internet de las Cosas (IoT) quetodavía usan sus contraseñas predeterminadas yluego las agrega a una red de bots, que se usadespués para lanzar ataques DDoS en sitios web einfraestructura de Internet.

AutoresParas Jha (de 21 años de Nueva Jersey), JosiahWhite (de 20 años de edad, Washington) yDalton Norman (de 21 años de Louisiana)fueron acusados formalmente en diciembre de 2017por un tribunal de Alaska con cargos múltiples porsu papel en los ciberataques masivos llevados a caboutilizando la botnet Mirai.

Tomada de: https://www.securityartwork.es/wp-content/uploads/2017/10/Informe_Mirai_2.pdf

Ad

apta

do

de:

Các

ere

s, J

. (20

17)

Tres

hac

kers

se

dec

lara

n c

ulp

able

s d

e cr

ear

la b

otn

etM

irai

DD

oS

bas

ada

en la

IoT.

Rec

up

erad

o d

e :h

ttp

s://

bit

.ly/2

qvI

zdY

CASO Mirai


Fuente: https://bit.ly/2Bebzf0

https://bit.ly/2qvIzdY

https://bit.ly/2Bebzf0



IoT: Riesgos y retos emergentes


IoT: Evolución y retos




IoT: Contexto de la vulnerabilidad digital


IoT: El imperativo de las API


Con ideas de: Calabro, L., Púrpura, C., Vasa, V. & Perinkolam, A. (2018) El imperativo de API. Desde preocupación de TI hasta mandato de negocios. Deloitte Insights. Recuperado de: https://bit.ly/2HB5I73

https://bit.ly/2HB5I73



IoT: Ciberseguridad en impresoras 3D


Tomado de: Di Fiore, A. (2017) Ciberseguridad: el talón de Aquiles de la expansión a gran escala de la impresión 3D. HarvardBusiness Review. Recuperado de: https://www.hbr.es/seguridad-y-privacidad/885/ciberseguridad-el-tal-n-de-aquiles-de-la-expansi-n-gran-escala-de-la

Reflexiones finales


https://www.hbr.es/seguridad-y-privacidad/885/ciberseguridad-el-tal-n-de-aquiles-de-la-expansi-n-gran-escala-de-la



IoT: La tormenta perfecta


Con ideas de: Kranz, M. (2017) Internet of things. Construye nuevos modelos de negocio. Madrid, España: LID Editorial TI – Tecnología de Información.OT – Operaciones de Tecnología.

IoT

Inicialmente contratación en la nubey ahora computación en la niebla.

Inicialemente monitoreo y seguimientoremoto, y ahora control y manejo de objetos remoto.

Inicialmente mundos separados TI y OT y ahora convergencia de TI y OT con DevOps.

Inicialmente estándares de TI y OT, y ahora incorporación de capacidadesen objetos ciber-físicos.

IoT: Sector Financiero


Tomado de: Eckenrode, J. (2015) The derivative effect: How financial services can make IoT technology pay off. The Internet of Things in the financialservices industry. Deloitte Insights. Recuperado de: https://www2.deloitte.com/insights/us/en/focus/internet-of-things/iot-in-financial-services-industry.html

https://www2.deloitte.com/insights/us/en/focus/internet-of-things/iot-in-financial-services-industry.html




Con ideas de: Cano, J. (2018) El profesional de seguridad de la información. Un análisis de su evolución: 1960-2030+. Revista SISTEMAS - Asociación Colombiana deIngenieros de Sistemas. No. 147. Abril-Junio. 65-72. Doi: 10.29236/sistemas.n147a6

IoT: CiberLideraXgo

Romper con lo cotidianopara abrirse a los retos

del mundo VICA.

Descubrir la esenciade la vocación para servir mejor.

Renovar la vidainterior para cambiarel mundo exterior.

Mantener el movimiento para

superar la inercia.

1 2

3 4

CiberLidera GO


Transformacióndigital

Mayores exigencias de innovación y agilidad para superar lasexpectativas de los clientes.

Convergenciatecnológica

Acelerada integración de tecnologías y usos intensivos de datospara crear experiencias distintas.

Múltiples fuentesde vulnerabilidades

Uso intensivo de ambientes descentralizados, móviles,virtualizados, en la nube y con tecnologías inteligentes.

Evolución de los perfiles de los

atacantes

Mutación acelerada de motivaciones de los atacantes:Monetización de la información.

Interdependenciade proveedores

Mayor dependencia de terceros para asegurar la operación yproteger las información de las empresas y personas.

Ideas tomadas de: Sigma (2017) Cyber: Getting to grips with complex risk. Swiss Re Institute. Economic Research & Consulting. No. 1. Recuperado de:http://institute.swissre.com/research/overview/sigma/01_2017.html

IoT: Conclusiones

http://institute.swissre.com/research/overview/sigma/01_2017.html



Congreso INCOCRÉDTIOJCM-18 All rights reserved 49Imagen tomada de: https://i1.wp.com/www.kachwanya.com/wp-content/uploads/2015/02/CyberattacksExit.jpg


Para continuar reflexionando …

Referencia académica:

Cano, J. (2016) Manual de un CISO. Reflexiones noconvencionales sobre la gerencia de la seguridadde la información en un mundo VICA (Volátil,Incierto, Complejo y Ambiguo). Bogotá, Colombia:Ediciones de la U.

Enlace en la página de la Editorial: (Formato Ebook)https://edicionesdelau.com/producto/manual-de-un-ciso-2/

https://edicionesdelau.com/producto/manual-de-un-ciso-2/



La ciberseguridad en IoT no es sólo unejercicio de implementación deprácticas de seguridad y control, esuna apuesta empresarial quedesarrolla capacidades para defendery anticipar riesgos emergentes en unentorno digitalmente modificado.

Jeimy J. Cano M.

@itinsecureCongreso INCOCRÉDTIOJCM-18 All rights reserved 51


Ciberseguridad en IoTRiesgos y retos emergentes

Jeimy J. Cano M., Ph.D, CFE, CICAProfesor Asociado

Universidad del Rosario

ciberseguridad en iot · pesar de los ataques” sistema mundo exterior ataques mundo exterior...

Documents