Desde dispositivos médicos vulnerables hasta las cámaras de video-vigilancia, a medida que se incrementa el número de dispositivos IoT desplegados en todo tipo de organizaciones, la “superficie de ataque” para posibles amenazas continúa expandiéndose. Ante este panorama, ¿qué pueden hacer las empresas para prepararse y protegerse contra estas nuevas amenazas? Se puede empezar por tener en cuenta una serie de cuestiones, que resumimos en seis puntos:
Visibilidad. El primer paso para proteger la infraestructura es conocer de qué elementos y cuales son susceptibles de ser atacados: si no hay visibilidad no se puede entender lo que está pasando en la red, y por tanto no se puede controlar. Muchos departamentos de TI desconocen con exactitud qué dispositivos están conectados a la red, y desconocen detalles más precisos, como qué, dónde y con quién se comunican esos dispositivos.
Análisis de última generación. El análisis de red ha pasado de ser descriptivo a ser predictivo y sobre todo prescriptivo, es decir, que oriente sobre las acciones a tomar en caso de detectar una amenaza potencial. Hoy día se requiere un tipo de análisis que vaya más allá de las herramientas tradicionales de gestión de eventos e información de seguridad (SIEM) para proporcionar un nivel de flujo y granularidad en tiempo real de cada parte de la red.
Aprendizaje automático e inteligencia artificial. La gran cantidad de datos que proporcionan los sistemas de información de seguridad no sirven de nada por sí mismos, ya que procesarlos de forma manual para tomar acciones es imposible. Se necesitan sistemas automatizados basados en Aprendizaje Automático (ML) e Inteligencia Artificial (AI) que permitan analizar automáticamente la información y desencadenar acciones adecuadas ante una brecha de seguridad de forma rápida y eficiente.
Además, estas tecnologías no sólo permiten reaccionar de forma instantánea, sino que por su capacidad de predicción, ayudan de forma proactiva a encontrar anomalías antes de que se conviertan en problemas importantes. Al recopilar y analizar datos en tiempo real, las máquinas pueden correlacionar información, identificar patrones, aprender a predecir lo que sucederá a continuación y actuar sobre esa información.
Acción basada en conocimiento. Cuanto más rápida sea la respuesta a un incidente, mayor será la probabilidad de que el daño esté contenido. Los análisis de seguridad proporcionan la información contextual necesaria para identificar la fuente de la amenaza y aplicar la acción adecuada: poner en cuarentena al anfitrión sospechoso, seguir investigando la amenaza con análisis de tráfico de red antes y después, determinar dónde podría haberse propagado, almacenar datos de telemetría para fines forenses, etc.
Análisis del comportamiento. El análisis del comportamiento en red de usuarios, dispositivos y aplicaciones ha demostrado ser una herramienta muy valiosa de cara a detectar y prevenir brechas de seguridad. Aplicado a dispositivos IoT, es asimismo muy útil: normalmente, los dispositivos IoT de la misma categoría (sensores de temperatura, dispositivos de automatización industrial, cámaras de vigilancia CCTV, etc.) presentan un comportamiento típico y predecible. Implementar alertas automatizadas cuando un punto extremo actúa de una manera inusual refuerza significativamente la seguridad de IoT y reduce el tiempo de resolución.
Crear un ecosistema de seguridad. Cada año las empresas emplean más recursos en soluciones de seguridad, con cada vez más soluciones que funcionan de manera dispersa y que resultan inmanejables. Por ello es muy importante que todas esas soluciones funcionen como un ecosistema, sean capaces de trabajar conjuntamente y colaborar con las soluciones de seguridad ya existentes en la red (cortafuegos, detección de virus, etc.). Cualquier empresa que invierta en análisis de seguridad debe asegurarse de poder integrarse sin problemas con sus soluciones de seguridad existentes y trabajar con las principales fuentes de inteligencia de amenazas.
Carlos Piñera
Ingeniero de Ventas de Extreme Networks
