ciberseguridad en iot · pesar de los ataques” sistema mundo exterior ataques mundo exterior...
Post on 20-May-2020
0 Views
Preview:
TRANSCRIPT
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 1
Congreso INCOCRÉDTIOJCM-18 All rights reserved 1
Congreso INCOCRÉDTIOJCM-18 All rights reserved 2
Ciberseguridad en IoTRiesgos y retos emergentes
Jeimy J. Cano M., Ph.D, CFE, CICAProfesor Asociado
Universidad del Rosario
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 2
Agenda
• Introducción
• Percepción del riesgo: el reto de lo digital
• Cambio de paradigma: hacia la densidad digital
• Fundamentos del IoT
• Fundamentos de ciberseguridad
• Ciberseguridad en IoT
• Casos recientes: Ciber-inseguridad en IoT
• IoT: Riesgos y retos emergentes
• Reflexiones finales
Congreso INCOCRÉDTIOJCM-18 All rights reserved 3
Introducción
Congreso INCOCRÉDTIOJCM-18 All rights reserved 4
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 3
Preocupaciones de los ejecutivos a nivel global
Congreso INCOCRÉDTIOJCM-18 All rights reserved 5
Fuente: https://www.pwc.com/gx/en/ceo-survey/2018/pwc-ceo-survey-report-2018.pdf
Convergencia tecnológica y densidad digital
Congreso INCOCRÉDTIOJCM-18 All rights reserved 6
Computación cognitiva
Grandes datos y
analítica
Móviles y Redes
sociales
Impresión 3D
Computación en la nube
Internet de las cosas
Diseño y despliegue de Expectativas, Experiencias y Excelencia con el cliente
DENSIDAD DIGITAL (Dispositivos, conexiones y datos)
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 4
Industria 4.0
Congreso INCOCRÉDTIOJCM-18 All rights reserved 7
INDUSTRIA 1.0Era de la mecanización
Producción mecánicaimpulsada por agua y vapor
1784 Primer telar mecánico
INDUSTRIA 2.0Era de la electricidad
Producción masivaimpulsada por energíaeléctrica
1870 Primera línea de producción
INDUSTRIA 3.0Era de la automatización
Producción automatizadapor dispositivos electrónicosy TI
1969 Primer controladorlógico programable (PLC)
INDUSTRIA 4.0Era de las redes de humanos, máquinas y cosas
Producción a través de sistemas ciber-físicos
Nivel de complejidad
Inicio del siglo XXFinales del siglo XVIII Inicia en los 70’s Actualmente
Percepción del riesgoEl reto de lo digital
Congreso INCOCRÉDTIOJCM-18 All rights reserved 8
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 5
¿Qué significa “ser digital”?
Congreso INCOCRÉDTIOJCM-18 All rights reserved 9
Comportamientos y expectativas de clientes
Cultura triple “A”
Anticipar, Adaptar, Arriesgar
Uso de los datos
Nuevas capacidades
Nuevas fronteras del valor
Adaptado de: Dörner, K. y Edelman, D. (2015) What ”digital” really means. Mckinsey Quarterly. July. Recuperdo de: http://www.mckinsey.com/industries/high-tech/our-insights/what-digital-really-means
Cambio de paradigmaHacia la densidad digital
Congreso INCOCRÉDTIOJCM-18 All rights reserved 10
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 6
Densidad digital
Congreso INCOCRÉDTIOJCM-18 All rights reserved 11
Físico
Conexiones
Datos
Con ideas de: Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.27
Productos/Servicios digitalmente modificados
Congreso INCOCRÉDTIOJCM-18 All rights reserved 12
Po
rter,M
.y
Hep
pelm
ann,
J.(2014
)H
ow
Smart,
con
nected
prod
ucts
aretran
sforming
com
petitio
n.H
arva
rdB
usin
essR
eview.N
oviem
bre
.p.7
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 7
Densidad digital
Congreso INCOCRÉDTIOJCM-18 All rights reserved 13
Zamora, J. (2017) ¿Es posible programar modelos de negocio? IESE Insight. II Trimestre de 2017. p.28
Impulsores de Valor
Densidad digital
Anticipación
Eficiencia
Coordinación
Personalización
Privacidad
Fiabilidad Seguridad
Integración
Retos
Ecosistema Fintech
Congreso INCOCRÉDTIOJCM-18 All rights reserved 14
CLIENTES
1
2
3
4
5
DESLOCALIZACIÓN
5
Adaptado de: Giné, M. & Antón, M. (2018) El impacto del Big data, la IA y el blockchain en las finanzas.IESE Insight. No. 38. III Trim. 15-21
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 8
Fundamentos del IoT
Congreso INCOCRÉDTIOJCM-18 All rights reserved 15
Algunas estadísticas
Congreso INCOCRÉDTIOJCM-18 All rights reserved 16
Tomado de: Streibich, K. (2017) Breaking the Mould! A new Business model for the 21st century. European Business Review. November. Recuperado de:http://www.europeanbusinessreview.com/breaking-the-mould-a-new-business-model-for-the-21st-century/
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 9
Definiciones para IoT
Congreso INCOCRÉDTIOJCM-18 All rights reserved 17
Ya sea que se llame IoT, la Internet Industrial o los SistemasCiberfísicos (CPS), el término describe una red descentralizadade objetos (o dispositivos), aplicaciones y servicios quepueden detectar, registrar, interpretar, comunicar, procesar, yactuar sobre una variedad de información o dispositivos de controlen el entorno físico.
Basado en: US National Security Telecommunications Advisory Committee – 2014. Recuperado de: https://www.hsdl.org/?abstract&did=789743
Arquitectura básica para IoT
Congreso INCOCRÉDTIOJCM-18 All rights reserved 18
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 10
Principios del IoT
Congreso INCOCRÉDTIOJCM-18 All rights reserved 19
Los dispositivos conectados en red están instrumentados de tal manera que pueden ser
comunicados individualmente.
Los dispositivos se conectan entre sí a través de una plataforma compartida,
como un servicio en la nube.
La programación y la información del mundo físico permite a los
dispositivos realizar actividades por sí mismos o con otros dispositivos.
Plataforma InteligenciaDispositivo
1 2 3
Basado en: US National Security Telecommunications Advisory Committee – 2014. Recuperado de: https://www.hsdl.org/?abstract&did=789743
Temas clave en IoT
Congreso INCOCRÉDTIOJCM-18 All rights reserved 20
Cliente
Industria
Estándares
Comunicaciones
Las normas de IoT y de interoperabilidad evolucionarán
gradualmente.
El enfoque en el cliente cambia del hardware y la tecnología, al software y la tecnología de análisis
La tecnología del IoT es extremadamente diversa y difiere según su aplicación
La seguridad y la privacidad de la información desempeñarán un papel clave. Están surgiendo
tecnologías y prácticas más adecuadas.
IoT
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 11
Fundamentos de Ciberseguridad
Congreso INCOCRÉDTIOJCM-18 All rights reserved 21
InfoSEC Vs CiberSEC
Congreso INCOCRÉDTIOJCM-18 All rights reserved 22
Seguridad de la Información
Ciber seguridad
Seguridad de la Información
Ciber Seguridad
Ciber seguridad
Seguridad de la información
Ciber seguridad Seguridad de la Información
I II
III
IV
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 12
Apuntes conceptuales sobre CiberSEC
Congreso INCOCRÉDTIOJCM-18 All rights reserved 23
Tomado de: ALXELROD, W.C (2013) Engineering Safe and Secure Software Systems. Artech House
Security Safety Security+Safety
“Evitar que elmundoexterior afecteal sistema”
“Evitar que elsistema afecteal mundoexterior”
“Asegurar que elsistema sigaoperando, sin afectarel mundo exterior, apesar de los ataques”
Sistema
Mundo Exterior
Ataques
Sistema Sistema
Ataques
Mundo Exterior
Mundo Exterior
Ciberseguridad Empresarial
Es una capacidad empresarial definida paradefender y anticipar las amenazas digitalespropias del ecosistema donde laorganización opera, con el fin de proteger yasegurar la resiliencia de las operaciones y lareputación de la empresa.
Apuntes conceptuales sobre CiberSEC
Congreso INCOCRÉDTIOJCM-18 All rights reserved 24
Activar
Adaptar
Anticipar
Inteligencia
Cacería de amenazas
Prototipos y riesgos inteligentes
Juegos de guerra
Inteligencia de amenazas
Nuevos normales Nuevas capacidades
Adaptado de: http://www.ey.com/Publication/vwLUAssets/EY-global-information-security-survey-2014/$FILE/EY-global-information-security-survey-2014.pdf
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 13
Sectores más expuestos
Congreso INCOCRÉDTIO JCM-18 All rights reserved 25
Fuente: https://www.nuix.com/black-report/black-report-2018
Ciberseguridad en IoT
Congreso INCOCRÉDTIOJCM-18 All rights reserved 26
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 14
¿Porqué las organizaciones son más vulnerables hoy?
Congreso INCOCRÉDTIOJCM-18 All rights reserved 27
Fuente: https://www.informationweek.com/whitepaper/risk-management-security/security-monitoring/the-risk-management-struggle/400923
IoT: Vectores de ataque críticos
Congreso INCOCRÉDTIOJCM-18 All rights reserved 28
Tomado de: Stellios, I., Kotzanikolaou, P., Psarakis, M., Alcarazy, C. & Lopez, J. (2018) A Survey of IoT-enabled Cyberattacks: Assessing Attack Paths to Critical Infrastructures and Services. IEEE Communications Surveys & Tutorials. DOI 10.1109/COMST.2018.2855563. p. 5
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 15
IoT: Indicadores de posibles ataques
Congreso INCOCRÉDTIOJCM-18 All rights reserved 29
Tomado de: Ayala L. (2016) Threats and attacks detection. In: Cyber-Physical Attack Recovery Procedures. Berkeley, CA.USA: Apress.
IoT: Métodos de ataque
Congreso INCOCRÉDTIOJCM-18 All rights reserved 30
Forzar parada del sistemaFalla protocolo industrial: Dispositivo en estado de fallarecuperable mayor.
Descarga remota del código de arranqueFunción del protocolo industrial habilitada
Reinicio del dispositivoMal uso de la función que trae el dispositivo
Bloqueo del dispositivoGenerado como producto de una falla del
protocol industrial
Bloqueo de la CPUEnvío mal formado de comandos del protocoloindustrial: Dispositivo en estado de fallarecuperable mayor.
Reescritura del firmware
Abuso de la capacidad de los protocolosindustriales para escribir datos y archivos
para remover dispositivos
Suplantación del dispositivo
Manipulación de la identificación del dispositivo en la red de control
1
2
3
45
6
7
Con ideas de: Brooks, T. (editor) (2017) Cyber-assurance for Internet of Things. Hoboken, New Jersey. USA: IEEE-John Wiley & Son. 107-108
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 16
IoT: Fundamentos de diseño confiable
Congreso INCOCRÉDTIOJCM-18 All rights reserved 31
Adaptado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program against advanced threats. New York, USA: Apress. P. 22
Asuma que un atacanteinteligente podría supercar todas las medidas defensivas
Diseñe defensas para detectar y demorar los
ataques
Incluya niveles de defensa para contener los ataques y proveerredundancia en la protección. Use defensas activas para
capturar y repeler losataques después que inician
y antes que tengan éxito.
Axiomaspara el diseño
IoT: Algunos marcos de ciberseguridad
Congreso INCOCRÉDTIOJCM-18 All rights reserved 32
IoT Cybersecurity Alliance - https://www.iotca.org/ Online Trust Alliance IoT Trust Framework - https://otalliance.org
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 17
Congreso INCOCRÉDTIOJCM-18 All rights reserved 33
CISCO Securing IoT - https://bit.ly/2zpBpeN ENISA Baseline security recommendations for IoT- https://bit.ly/2Bebzf0
IoT: Algunos marcos de ciberseguridad
Congreso INCOCRÉDTIOJCM-18 All rights reserved 34
Tomado de: Donaldson, S., Siegel, S., Williams, C. y Aslam, A. (2015) Enterprise Security. How to build a successful cyberdefense program againstadvanced threats. New York, USA: Apress. P. 29
IoT: Algunos marcos de ciberseguridad
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 18
Congreso INCOCRÉDTIOJCM-18 All rights reserved 35
NIST Cybersecurity Framework -https://www.nist.gov/cyberframework ISA/IEC 62443 - https://bit.ly/2qBPfqX
IoT: Algunos marcos de ciberseguridad
Casos recientes: Ciber-inseguridad en IoT
Congreso INCOCRÉDTIOJCM-18 All rights reserved 36
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 19
CASO Mirai
Congreso INCOCRÉDTIOJCM-18 All rights reserved 37
¿Qué es MIRAI?Mirai es una pieza de malware para IoT quebusca enrutadores inseguros, cámaras, DVR y otrosdispositivos de Internet de las Cosas (IoT) quetodavía usan sus contraseñas predeterminadas yluego las agrega a una red de bots, que se usadespués para lanzar ataques DDoS en sitios web einfraestructura de Internet.
AutoresParas Jha (de 21 años de Nueva Jersey), JosiahWhite (de 20 años de edad, Washington) yDalton Norman (de 21 años de Louisiana)fueron acusados formalmente en diciembre de 2017por un tribunal de Alaska con cargos múltiples porsu papel en los ciberataques masivos llevados a caboutilizando la botnet Mirai.
Tomada de: https://www.securityartwork.es/wp-content/uploads/2017/10/Informe_Mirai_2.pdf
Ad
apta
do
de:
Các
ere
s, J
. (20
17)
Tres
hac
kers
se
dec
lara
n c
ulp
able
s d
e cr
ear
la b
otn
etM
irai
DD
oS
bas
ada
en la
IoT.
Rec
up
erad
o d
e :h
ttp
s://
bit
.ly/2
qvI
zdY
CASO Mirai
Congreso INCOCRÉDTIOJCM-18 All rights reserved 38
Fuente: https://bit.ly/2Bebzf0
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 20
IoT: Riesgos y retos emergentes
Congreso INCOCRÉDTIOJCM-18 All rights reserved 39
IoT: Evolución y retos
Congreso INCOCRÉDTIOJCM-18 All rights reserved 40
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 21
IoT: Contexto de la vulnerabilidad digital
Congreso INCOCRÉDTIOJCM-18 All rights reserved 41
IoT: El imperativo de las API
Congreso INCOCRÉDTIOJCM-18 All rights reserved 42
Con ideas de: Calabro, L., Púrpura, C., Vasa, V. & Perinkolam, A. (2018) El imperativo de API. Desde preocupación de TI hasta mandato de negocios. Deloitte Insights. Recuperado de: https://bit.ly/2HB5I73
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 22
IoT: Ciberseguridad en impresoras 3D
Congreso INCOCRÉDTIOJCM-18 All rights reserved 43
Tomado de: Di Fiore, A. (2017) Ciberseguridad: el talón de Aquiles de la expansión a gran escala de la impresión 3D. HarvardBusiness Review. Recuperado de: https://www.hbr.es/seguridad-y-privacidad/885/ciberseguridad-el-tal-n-de-aquiles-de-la-expansi-n-gran-escala-de-la
Reflexiones finales
Congreso INCOCRÉDTIOJCM-18 All rights reserved 44
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 23
IoT: La tormenta perfecta
Congreso INCOCRÉDTIOJCM-18 All rights reserved 45
Con ideas de: Kranz, M. (2017) Internet of things. Construye nuevos modelos de negocio. Madrid, España: LID Editorial TI – Tecnología de Información.OT – Operaciones de Tecnología.
IoT
Inicialmente contratación en la nubey ahora computación en la niebla.
Inicialemente monitoreo y seguimientoremoto, y ahora control y manejo de objetos remoto.
Inicialmente mundos separados TI y OT y ahora convergencia de TI y OT con DevOps.
Inicialmente estándares de TI y OT, y ahora incorporación de capacidadesen objetos ciber-físicos.
IoT: Sector Financiero
Congreso INCOCRÉDTIOJCM-18 All rights reserved 46
Tomado de: Eckenrode, J. (2015) The derivative effect: How financial services can make IoT technology pay off. The Internet of Things in the financialservices industry. Deloitte Insights. Recuperado de: https://www2.deloitte.com/insights/us/en/focus/internet-of-things/iot-in-financial-services-industry.html
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 24
Congreso INCOCRÉDTIOJCM-18 All rights reserved 47
Con ideas de: Cano, J. (2018) El profesional de seguridad de la información. Un análisis de su evolución: 1960-2030+. Revista SISTEMAS - Asociación Colombiana deIngenieros de Sistemas. No. 147. Abril-Junio. 65-72. Doi: 10.29236/sistemas.n147a6
IoT: CiberLideraXgo
Romper con lo cotidianopara abrirse a los retos
del mundo VICA.
Descubrir la esenciade la vocación para servir mejor.
Renovar la vidainterior para cambiarel mundo exterior.
Mantener el movimiento para
superar la inercia.
1 2
3 4
CiberLidera GO
Congreso INCOCRÉDTIOJCM-18 All rights reserved 48
Transformacióndigital
Mayores exigencias de innovación y agilidad para superar lasexpectativas de los clientes.
Convergenciatecnológica
Acelerada integración de tecnologías y usos intensivos de datospara crear experiencias distintas.
Múltiples fuentesde vulnerabilidades
Uso intensivo de ambientes descentralizados, móviles,virtualizados, en la nube y con tecnologías inteligentes.
Evolución de los perfiles de los
atacantes
Mutación acelerada de motivaciones de los atacantes:Monetización de la información.
Interdependenciade proveedores
Mayor dependencia de terceros para asegurar la operación yproteger las información de las empresas y personas.
Ideas tomadas de: Sigma (2017) Cyber: Getting to grips with complex risk. Swiss Re Institute. Economic Research & Consulting. No. 1. Recuperado de:http://institute.swissre.com/research/overview/sigma/01_2017.html
IoT: Conclusiones
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 25
Congreso INCOCRÉDTIOJCM-18 All rights reserved 49Imagen tomada de: https://i1.wp.com/www.kachwanya.com/wp-content/uploads/2015/02/CyberattacksExit.jpg
Congreso INCOCRÉDTIOJCM-18 All rights reserved 50
Para continuar reflexionando …
Referencia académica:
Cano, J. (2016) Manual de un CISO. Reflexiones noconvencionales sobre la gerencia de la seguridadde la información en un mundo VICA (Volátil,Incierto, Complejo y Ambiguo). Bogotá, Colombia:Ediciones de la U.
Enlace en la página de la Editorial: (Formato Ebook)https://edicionesdelau.com/producto/manual-de-un-ciso-2/
Seminario Incocrédito Octubre/2018
JCM-18 All rights reserved 26
La ciberseguridad en IoT no es sólo unejercicio de implementación deprácticas de seguridad y control, esuna apuesta empresarial quedesarrolla capacidades para defendery anticipar riesgos emergentes en unentorno digitalmente modificado.
Jeimy J. Cano M.
@itinsecureCongreso INCOCRÉDTIOJCM-18 All rights reserved 51
Congreso INCOCRÉDTIOJCM-18 All rights reserved 52
Ciberseguridad en IoTRiesgos y retos emergentes
Jeimy J. Cano M., Ph.D, CFE, CICAProfesor Asociado
Universidad del Rosario
top related