Buscar
  • CertiNet

PKI es la credencial de facto para Gestión de Identidades de IoT Internet of Things

La Infraestructura de Llave Pública (PKI) está emergiendo como la tecnología esencial para la gestión de identidades en el mundo de IoT, en la medida que los clientes están buscando una fórmula que integre autenticación, cifrado e integridad de los datos.


Sally Johnson, SearchSecurity, 29 enero 2019.


Establecer la identidad de las cosas en un sistema IoT es un factor crítico para gestionar tanto el acceso a los datos como a otros sistemas. Ya sea que se trate de un sensor monitoreando la temperatura del freezer, una cámara de seguridad, una ampolleta en un edificio inteligente o cualquier otro tipo de dispositivo, si éste tiene conectividad a internet y se comunica con otros dispositivos y sistemas, tiene el potencial de ser hackeado y causar estragos en la red de la organización. Estos dispositivos, que sólo se están haciendo más numerosos y ubicuos en la medida que la adopción de IoT se despliega, requieren estar registrados y gestionados de manera de prevenir brechas de seguridad.


Sin embargo, lograr esto en un entorno IoT – que a menudo incluye dispositivos remotos y recursos restringidos – ha resultado ser un desafío. No obstante, están surgiendo empresas que usan tecnologías nuevas y probadas y robustas para encargarse de este asunto.

"La gestión de identidades para IoT es aún incipiente, en gran parte, porque las tecnologías emergentes están impactando dramáticamente el cómo IoT se despliega y el cómo los datos interactúan y se procesan” señala Jessica Groopman, analista de la industria y socia fundadora de Kaleido Insights, San Francisco.


Las interfaces habilitadas para Inteligencia Artificial IA ya se han generalizado, agrega, “existen millones de smartphones con reconocimiento por huella digital y facial en el mercado y se estima que un 89% de ellos estarán disponibles en 2020”. “También vemos a blockchain y sus tecnologías asociadas jugando un rol importante en la narrativa de identificación de dispositivos IoT”


Compañías como Filament e Intel, por ejemplo, "están desarrollando chips habilitados con blockchain de manera que los dispositivos puedan venir pre-configurados para usos específicos, como la trazabilidad de la procedencia” señaló Groopman. "No sólo las soluciones de identidad necesitan tener este tipo de interacciones en cuenta, sino que los chips se volverán importantes habilitadores para la autenticación de la identidad de los dispositivos. Aquellos que capturan cada identidad, cada ser humano, dispositivo, datos, interacciones, (realmente un “gemelo digital”) son mucho más “únicos” y difíciles de falsificar que las actuales soluciones.”


“La gestión de identidad para IoT está relacionada con la identidad de la empresa y la gestión de accesos, en muchos aspectos, indicó Dan Timpson CTO en DigiCert proveedor de TLS/SSL, Infraestructura de Llave Pública (PKI) y sistemas de seguridad IoT en Lehi, Utah, USA. "Pero lo que lo hace más complicado es que el espacio de IoT aún no está maduro", dijo. "Esta es la razón por la que se están adoptando soluciones ligeras para identificar de forma única dispositivos, como incrustar un certificado o guardar una llave. Ya que en el ámbito de IoT, no se tiene mucho espacio para hacer las cosas que se pueden hacer al interior de la empresa, en cuanto al hardware, chip con memoria o huella”


Para abordar este tema, las plataformas IoT están intentando crear sus propios métodos de seguridad o adoptando conocidos mecanismos PKI para sus dispositivos.


"Es un darse cuenta lo que está ocurriendo en tiempo real, y al mismo tiempo que los fabricantes están pensando en cómo asegurar el dispositivo, ponerlo en línea y gestionarlo” indicó Timpson. “La automatización es uno de los principales diferenciadores en el mundo IoT que debe considerarse claramente en los requisitos. Estos dispositivos deben ser capaces de enrolarse ellos mismos, tomar los artefactos de seguridad y seguir su camino. Y si sucede algo anómalo los paneles de gestión lo deben poder detectar”


“Sin embargo, es posible que muchas personas que ingresan al reino de IoT no hayan considerado algunos de los problemas de seguridad a los que se abren cuando conectan un dispositivo, y rápidamente descubren que la gestión de identidad de IoT es un tema complejo” señala Nisarg Desai, Jefe de Gestión de Productos IoT de GlobalSign, Autoridad Certificadora y Proveedor de Tecnologías de Identidad y Seguridad para IoT de Portsmouth, N.H. "Estamos en una etapa en la cual las cosas necesitan identidades únicas, y su manejo se volverá muy importante en un futuro cercano” indicó Desai.


Por supuesto, a medida que el IoT crece, también lo hace la necesidad de contar con tecnologías para la gestión de identidad de IoT. Recientemente la empresa de investigación de mercado ABI Research pronosticó que los servicios de plataforma IoT, junto con la criptografía, la gestión de certificados digitales y los servicios de intercambio de datos, impulsarán el mercado a $ 21.5 mil millones para 2022, gracias principalmente a los ingresos producto de la industria de manufactura y automotriz.


¿Por qué la gestión de identidad de IoT es tan importante?


Sin mirar muy lejos, encontramos el caso del Botnet “Mirai” del 2016—construido en gran parte a partir de dispositivos IoT hackeados—un doloroso ejemplo de cuan fácil es que los dispositivos IoT que no tienen contraseñas codificadas o carecen de los requerimientos de seguridad más básicos pueden ser comprometidos y usados para llevar adelante enormes ataques de denegación de servicio distribuidos.


“Si analizamos el panorama de ataques que se han producido en Internet, uno de los problemas que subyacen es la atribución del dispositivo", indica Timpson. "¿Cómo se identifican los dispositivos de una forma única y discreta? Nuestra opinión es que los certificados digitales, en particular, y PKI funcionan bastante bien. Un certificado puede usarse como un factor de autenticación fuerte y tiene una vida útil bastante buena para identificar un dispositivo. Es posible ponerle atributos del dispositivo y definir vínculos criptográficos. En el caso de que la identidad del dispositivo deba actualizarse o cambiarse, lo bueno es que es un artefacto que se puede actualizar, renovar o reemplazar, según sea necesario"

Las personas confían en múltiples documentos para probar diferentes cosas acerca de si mismos - certificados de nacimiento, licencias de conducir, pasaportes o números de Seguridad Social. Para conducir un auto necesitamos una licencia. Para cruzar la frontera un pasaporte. Pero generalmente necesitamos un documento básico o esencial, como el certificado de nacimiento, para obtener los otros documentos que nos ayudan a establecer nuestra identidad.


De una manera similar, ha habido un aumento de múltiples documentos ID para la identificación de un dispositivo en el entorno IoT, indica Desai, y agrega “los clientes están pidiendo múltiples certificados por dispositivo, porque se están requiriendo diferentes formatos de identificación según los diferentes propósitos asociados”


¿De qué están preocupados principalmente los clientes?


La seguridad es el principal y mayor preocupación en el ámbito de negocios y el IoT ha exacerbado esta preocupación. Asegurar la autenticación segura de los dispositivos y mantener los datos cifrados y seguros son las principales iniciativas a nivel empresarial.


"Los clientes necesitan saber que los dispositivos son auténticos y no falsos” puntualiza Timpson. “Los tres factores que los clientes quieren son integridad, autenticación y cifrado. Pero el desafío es hacerlo de una manera elegante y fácil de usar. Si es muy difícil de usar no lo vas a usar. El costo también es un factor, y a menudo es una sorpresa.

"Mucha gente siente que la seguridad debería estar integrada en los dispositivos y no es algo que deban agregar y pagar", dijo Desai. "Pero una vez que van más allá de eso, la premisa básica es usar la mejor seguridad que puedas permitirte. Conviértete en un objetivo más pequeño, y los malos se moverán al siguiente".


El consenso general es que los clientes desean tecnologías de seguridad que puedan escalar para satisfacer las necesidades de IoT de una manera extremadamente rentable. Es importante crear un marco de seguridad y una arquitectura escalables que puedan soportar sus implementaciones de IoT no solo ahora, sino en el futuro.


La tecnología PKI para dispositivos IoT está siendo usada para proteger los distintos tipos de dispositivos conectados a internet, con énfasis especial en el resguardo de la infraestructura de dispositivos médicos e infraestructura crítica, incluyendo agua, electricidad, gas, petróleo y transporte.



¿De qué manera su organización está manejando la Gestión de Identidad IoT?


"PKI puede ser usada para proteger los datos que se comparten entre los dispositivos médicos que pueden estar en mi cuerpo, como un marcapaso o una bomba de insulina, y el teléfono. Parece loco, pero puedo usar certificados para monitorearlos y ajustarlos de acuerdo a referencias críticas de parámetros biológicos” señala Dan Timpson. CTO de Digicert.


La gestión de identidades también se está incorporando a los sistemas de seguridad IoT. Un ejemplo reciente es cómo Longview IoT, una compañía de Carnegie Technologies, se asoció con GlobalSign e Intrinsic ID, un proveedor de tecnología de autenticación digital para dispositivos IoT, para crear un sistema de seguridad en capas para las aplicaciones de trazabilidad de activos, monitoreo ambiental, monitoreo de energía, entre otros”

"GlobalSign está invirtiendo de manera intensiva en una red de partners para mostrar como integrando diferentes topologías se puede proveer un nivel mayor de protección” señaló Desai.


Como resultado, Longview ahora ofrece un conjunto de sensores personalizados, gateways, cloud analytics y aplicaciones específicas para la industria que vienen pre configuradas para que funcionen de inmediato. "La seguridad de IoT es la máxima prioridad en nuestras soluciones, y en su implementación desde nuestros sensores hasta la nube" indicó Brad Bush, Director Gerente de IoT de Carnegie Technologies, con sede en Austin, Texas.


Los dispositivos desarrollados por Longview cuentan con dos certificados de seguridad proporcionados por GlobalSign, que automáticamente los protegen dentro de la cadena de suministro, así como protegen los datos transmitidos en la “red de área amplia de baja potencia” de Longview. Los datos se almacenan en una infraestructura de nube privada segura, como capa final de seguridad.


"Estamos viendo emerger PKI como la credencial de facto para dispositivos IoT", dijo Desai. "Y ahora, estamos en el camino hacia sistemas más complejos de aprovisionamiento y administración de identidades”


En el horizonte de IoT, señala Timpson, las conversaciones ya están girando hacia la criptografía post-cuántica y a un algoritmo capaz de estar en un dispositivo para continuar protegiendo su seguridad durante 10 a 15 años y ser resistente a las computadoras cuánticas. "Estamos buscando estrategias descentralizadas complementarias con identidad” indicó.


Por ello no es sorprendente que el uso de la tecnología de blockchain también sea parte de la siguiente generación de servicios que estará en discusión.


7 visualizaciones0 comentarios