La seguridad es fundamental para la confiabilidad de los sistemas y dispositivos de IoT, escribe Arlen Baker, el arquitecto jefe de seguridad de Wind River. Todos, desde el desarrollador hasta el operador y el beneficiario final, deben tener la confianza de que una solución de IoT funcionará según lo prometido, sin poner en riesgo la privacidad o seguridad de nadie. Además, la capacidad de demostrar una seguridad efectiva es cada vez más crítica para cumplir con estándares estrictos como el Reglamento General de Privacidad de Datos (GDPR) de la UE, y para obtener certificaciones de seguridad de productos de varias entidades reguladoras.
Dado el rápido ritmo de la adopción de IoT y la presión sobre los desarrolladores para que traigan soluciones al mercado rápidamente, eso es bastante difícil. ¿Cómo pueden los desarrolladores de IoT abordar la seguridad de manera eficiente en todo el ciclo de vida de la solución?
Los desarrolladores de IoT se beneficiarían de un enfoque sistemático de la seguridad, basado en una comprensión clara de las necesidades y objetivos de seguridad. Un excelente ejemplo de este enfoque es el Wind River Helix Security Framework, diseñado para ayudar a los desarrolladores a optimizar las capacidades de seguridad integradas en las soluciones de software integradas de Wind River.
Helix Security Framework comienza con el modelo estándar de confidencialidad, integridad y disponibilidad de la industria, la tríada de la CIA ampliamente aceptada. Luego, vamos un paso más allá y deconstruimos cada uno de estos tres principios en implementaciones de seguridad tangibles. En el contexto de la Tríada, la confidencialidad abarca implementaciones diseñadas para mantener la privacidad de un activo. La integridad se refiere a medidas que protegen el contenido del activo contra interrupciones o corrupción. La disponibilidad incluye implementaciones que aseguran la accesibilidad del activo. Luego aplicamos estas implementaciones específicamente a los requisitos de los sistemas integrados que nuestro cliente necesita asegurar.
Esa es la explicación de alto nivel del marco, pero ¿cómo funciona en términos prácticos? Para decirlo de manera más simple, la funcionalidad de seguridad está integrada en cada producto de nuestra cartera que ofrecemos para desarrolladores de sistemas integrados. Sin embargo, eso en sí mismo no es suficiente para garantizar que los dispositivos creados con estas soluciones sean seguros. Se necesita una medida adicional de experiencia y análisis en un enfoque integral para identificar e implementar las capacidades de seguridad adecuadas para los requisitos de cada sistema. Helix Security Framework permite a los usuarios determinar qué características de seguridad necesitan para sus aplicaciones específicas y cómo activarlas.
En la práctica, el marco cobra vida a través de una clase de capacitación de seguridad integrada personalizada. La clase se basa en la solución específica de Wind River que usa el cliente y la aplicación para la que la usa. Las clases típicamente implican tres etapas durante tres días. El primer día se centra en comprender el marco, dividirlo en implementaciones de seguridad y sentar las bases para lo que se necesita para asegurar un dispositivo integrado. El segundo día implica pasar por las diversas características de seguridad dentro del producto Wind River que pondrán en práctica esas implementaciones. Es importante destacar que ninguna solución de seguridad por sí sola proporcionará protección completa para un dispositivo IoT. Más bien, es la capa adecuada de estas defensas lo que proporcionará una protección mucho más fuerte y multifacética, comúnmente conocida como defensa en profundidad.
En el tercer día, llevamos a cabo un laboratorio práctico que permite al cliente reunir todo: usar las herramientas identificadas en el día dos para implementar los requisitos de seguridad identificados en el día uno.
Ese es el componente educativo del marco, que esencialmente enseña a nuestros clientes cómo asegurar sus dispositivos utilizando las herramientas integradas en las soluciones que han adquirido de Wind River. Otro componente clave del marco es una evaluación de seguridad. Es similar a la clase de capacitación en el sentido de que comienza con sentar las bases, pasar por las implementaciones que salen de la Tríada de la CIA y asegurarse de que el cliente entienda lo que significa asegurar el dispositivo. Seguimos eso con una inmersión profunda en la necesidad específica del cliente de definir los activos del sistema, las vulnerabilidades de esos activos y las implementaciones de seguridad necesarias para asegurarlos. Ponemos todo eso en un informe escrito contra el cual el cliente puede ejecutar.
En diferentes escenarios con varios clientes, Helix Security Framework ha demostrado ser eficaz para capacitar a los equipos de desarrollo para que cumplan sus objetivos de seguridad. Se ha aplicado para asegurar dispositivos médicos, pantallas de visualización frontal para aviones militares, sistemas de control industrial, plantas de energía, sistemas de aguas residuales y alcantarillado, y otros sistemas IoT para infraestructura crítica. Lo hemos aplicado en nombre de los clientes que construyen nuevos sistemas desde cero, así como para los operadores de infraestructura industrial y crítica que se enfrentan a la actualización y conexión de sistemas y equipos heredados brownfield.
La belleza del marco desde la perspectiva del cliente es que es repetible y transferible. Un cliente con un importante contratista de defensa nos dijo que su equipo estaba aplicando nuestro proceso no solo al compromiso inicial, sino a múltiples proyectos en toda la corporación. Les dimos el marco y les enseñamos cómo usarlo, y ellos lo siguieron.
Otro cliente en el campo de los dispositivos médicos estaba buscando un sistema operativo (SO) disponible comercialmente que proporcionara monitoreo continuo de seguridad y protección contra vulnerabilidades. De hecho, la compañía había incurrido en una gran cantidad de prensa negativa sobre las vulnerabilidades en sus dispositivos, y les estaba causando impactos financieros. Recorrer Helix Security Framework fue un factor importante en la decisión de la compañía de utilizar Wind River Linux, junto con nuestro monitoreo continuo de seguridad y protección contra vulnerabilidades, y la próxima versión de su dispositivo incorporó las recomendaciones derivadas de nuestra evaluación de seguridad.
Los desarrolladores de IoT y sistemas integrados necesitan un enfoque sistemático de seguridad que pueda integrarse en el proceso de desarrollo. Para los usuarios de la tecnología Wind River, el marco de seguridad Wind River Helix ha sido probado en las trincheras. Es una forma para que los desarrolladores de IoT y los operadores de sistemas obtengan la ventaja contra los actores maliciosos, al tiempo que les permite satisfacer el mercado y la demanda regulatoria de sistemas seguros y confiables.
www.windriver.com
Uber está mejorando sus implementaciones de IoT en todo el mundo mediante la adopción de…
Obras de motor de materia y Bharti Airtel, un proveedor de servicios de telecomunicaciones ha…
En The Legend of Zelda: Breath of the Wild, los guardianes son una forma primitiva…
Muchos de nosotros nos enamoramos absolutamente de Wall-E, el personaje principal de una…
Dhruv Bhutani / Android AuthorityCada año, los fanáticos de los teléfonos inteligentes esperan con ansias…
Apple ha anunciado que Final Cut Pro finalmente llegará para el iPad. Tras años de…