Para ayudar a mejorar la seguridad de los sistemas electrónicos de seguridad física, UL 2900 2-3 , la más reciente adición a la serie UL 2900 de estándares de seguridad cibernética, desarrollada con información de la industria, proporciona un conjunto fundamental de requisitos de evaluación y desempeño de ciberseguridad que los fabricantes de los productos conectables a la red pueden usarse para establecer una línea base de ciberprotección contra vulnerabilidades, debilidades y malware conocidos.
Los medidores eléctricos inteligentes, las cámaras de seguridad comerciales, los sensores de proceso y los cajeros automáticos constituyen una fracción de los dispositivos conectados a internet de las cosas (IoT).
Según Gartner, Inc., una organización de investigación y asesoramiento empresarial, 8.400 millones de «cosas» conectadas estarián en uso en 2017 con una expectativa de 20.400 millones para 2020. El crecimiento exponencial de los dispositivos IoT, tales como televisores inteligentes, cajas de cable digital, medidores inteligentes y cámaras de seguridad, ofrece numerosas oportunidades a usuarios de negocio a negocio (B2B) y de negocio a consumidor (B2C) tales como servicios receptivos, experiencias mejoradas y conveniencia, por nombrar algunos.
Para los sistemas electrónicos de seguridad física, el IoT permite a las organizaciones monitorear, identificar y responder de forma remota a los problemas de seguridad y protección. Las claves digitales se pueden cambiar rápidamente, por ejemplo, para limitar o permitir el acceso, agregando una capa adicional de seguridad al sistema.
Pero con la tecnología interconectada vienen las ciberamenazas en forma de técnicas de phishing, worms, bots, ransomware y malware utilizadas por los atacantes que manipulan las vulnerabilidades dentro del software de administración de red y los sistemas operativos.
¿Lo que está en juego?
Symantec, en su Informe de amenazas a la seguridad en Internet 2017 , ofrece estas estadísticas aleccionadoras de su análisis de los datos de 2016:
- 1 de cada 2.596 correos electrónicos contenían intentos de phishing
- Se introdujeron 357 millones de nuevas variantes de malware
- 98.6 millones de bots
- 229 mil ataques web bloqueados, en promedio, por día
- Los dispositivos de IoT fueron atacados en promedio una vez cada dos minutos
Para poner las cifras en contexto, un ataque de octubre de 2016 fue noticia cuando las cámaras pirateadas provocaron un ataque masivo de denegación de servicio distribuido (DDOS) contra sitios web como Amazon, Twitter, Spotify, Yelp, Netflix y Reddit. Un ejército de botnets, conocido como Mirai, causó estragos al dejar fuera de servicio los sitios web específicos o disminuir severamente el ancho de banda operacional de un sitio.
Los artículos informativos informaron que el tráfico provenía de varios tipos de dispositivos IoT, incluidos enrutadores no seguros, DVR y cámaras. Los dispositivos conectados como estos se utilizan como puerta trasera para hackear redes legítimas, actuando como una plataforma preparada para individuos, grupos e incluso estados, para lanzar incidentes de botnet / DDOS a gran escala.
Seguridad por diseño
La Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) advirtió a los fabricantes de IoT a principios de 2017 que abordarán los riesgos de ciberseguridad pronto o enfrentarán más supervisión gubernamental y regulaciones obligatorias.
En el centro del problema están los ataques DDOS de botnets como Mirai y un escrutinio creciente de canales no seguros que pueden ser interceptados fácilmente por los hackers. Muchos fabricantes producen dispositivos que son fáciles de «romper», como lo demuestra la investigación del estado de Nueva York sobre el candado QuickLock y el candado de cierre QuickLock vendidos por SafeTech en Utah.
La FCC propuso en su Libro Blanco sobre la reducción del riesgo de ciberseguridad (18 de enero de 2017) la implementación de prácticas inteligentes de diseño cibernético, como las salvaguardas de autenticación y el cumplimiento de las mejores prácticas, antes de la publicación de un producto. La FCC prefiere utilizar asociaciones colaborativas privadas / públicas, pero agrega que «la Comisión tiene las herramientas disponibles para hacer ajustes para restablecer el equilibrio si es necesario».
La solución UL 2900
Para ayudar a mejorar la seguridad de los sistemas electrónicos de seguridad física, UL 2900 2-3 , la más reciente adición a la serie UL 2900 de estándares de seguridad cibernética, desarrollada con información de la industria, proporciona un conjunto fundamental de requisitos de evaluación y desempeño de ciberseguridad que los fabricantes de los productos conectables a la red pueden usarse para establecer una línea base de ciberprotección contra vulnerabilidades, debilidades y malware conocidos.
El Programa de aseguramiento de seguridad cibernética (UL CAP) de UL ahora puede probar y evaluar el software de un producto para detectar la presencia de malware, vulnerabilidades y debilidades, y certificar la arquitectura y el diseño del software del producto según las especificaciones enumeradas en el Esquema de investigación.
Las infraestructuras de seguridad física electrónica incluyen sistemas de comunicaciones de emergencia, sistemas de alarma contra incendios, sistemas de recepción de alarmas, sistemas de cajeros automáticos, sistemas de control de acceso, cámaras de vigilancia, DVR, NVR y similares.
Para UL 2900-2-3, se desarrolló un enfoque de seguridad de tres niveles con un mayor nivel de seguridad para cada nivel. Las pruebas incluyen pruebas de fuzz, detección de vulnerabilidades conocidas, análisis de códigos y binarios, análisis de control de riesgos, pruebas de penetración estructuradas y evaluación de controles de riesgos de seguridad.
El nivel 1 (L1) incluye los requisitos fundamentales de prueba de seguridad cibernética para la evaluación del riesgo de seguridad del software en productos cubiertos en el Esquema de investigación. L1 se recomienda como un nivel mínimo de evaluación.
El Nivel 2 (L2) incluye todos los requisitos de evaluación y prueba de L1 y los requisitos complementarios adicionales para la evaluación del riesgo de seguridad del software en los productos. L2 también proporciona una evaluación de las capacidades de seguridad de un producto con conocimiento de los controles internos de seguridad del producto.
El Nivel 3 (L3) incluye los requisitos de evaluación y prueba L1 y L2 y los requisitos suplementarios adicionales del proceso y gestión del proveedor. También proporciona una evaluación de las capacidades de seguridad de un producto con conocimiento de los controles internos de seguridad del producto y el conocimiento de las prácticas comerciales del proveedor para respaldar el ciclo de vida del producto.
En el mundo conectado de hoy en día, la variedad de dispositivos disponibles ofrece numerosos puntos de entrada para ataques cibernéticos. Ahora es el momento de que los desarrolladores y fabricantes de software comprendan las vulnerabilidades de un sistema y endurezcan su producto contra ataques. UL 2900 2-3 puede ayudar a garantizar el rendimiento y la confiabilidad del software de un producto para disminuir el tiempo de inactividad y mitigar los riesgos cibernéticos.
[isc_list]
