Adopcion IOT aterridora: El que està succeint amb la ciberseguretat en moltes empreses avui em recorda les pel·lícules de terror que són tan populars en aquesta època de l'any. Els espectadors veuen clarament el perill per davant. Però aquells que estan involucrats en l'acció no sempre prenen les precaucions adequades per protegir-se.
De fet, com ho il·lustra el recentment publicat "Estudi de tendències globals de PKI i IOT 2019", tot i el progrés incremental en algunes àrees de seguretat d'infraestructura de clau pública (PKI), les empreses continuen perdent la marca a les millors pràctiques bàsiques.
PKI és una part estratègica de l'nucli central de TI, però l'escassetat d'habilitats i recursos al voltant de la seguretat deixa a les empreses vulnerables i sense preparació per al futur. I l'expansió d'Internet de les coses, i els desafiaments de ciberseguretat que presenta, només exacerben aquest problema.
Adopcion IOT aterridora
Hi ha una creixent consciència sobre la importància de la ciberseguretat
Ens associem amb l'Institut Ponemon per crear aquest estudi. Es basa en l'enquesta de la signatura d'investigació a més de 1,800 professionals de seguretat de TI a 14 països i regions globals. Revelem les troballes aquest mes perquè coincideixin amb el Mes Nacional de Conscienciació en Ciberseguretat.
El Mes Nacional de Consciència de Ciberseguretat (NCSAM) és un esforç de l'Aliança Nacional de Seguretat Cibernètica (NCSA), que va llançar la iniciativa el 2004 juntament amb el Departament de Seguretat Nacional dels EE. UU. NCSAM és un esforç conjunt públic-privat per crear consciència sobre la importància de la ciberseguretat. El tema d'aquest any és: TI propi. Assegura'l. Protegir-lo.
Les principals companyies, incloses ADP, American Express Corp, Bank of America, Comcast, Eli Lilly and Co, Facebook, Google, Marriott International, Mastercard, Raytheon, Uber, US Bank i Wells Fargo & Co, són a la NCSA tauler. Aquesta llista ajuda a il·lustrar la importància que algunes de les companyies més grans i importants de l'món ara atorguen a la ciberseguretat.
Però encara queda feina per fer, especialment quan es tracta de la seguretat de IOT
No obstant això, com indica la nostra investigació, moltes empreses no donen prioritat a les mesures de seguretat de IOT que contraresten les amenaces cibernètiques que més temen. I això els fa vulnerables als atacs.
Els enquestats consideren que les principals amenaces de IOT estan alterant la funció d'un dispositiu de IOT (68%) i el control remot de el dispositiu per part d'un usuari no autoritzat (54%). Però, curiosament, les pràctiques de seguretat com el lliurament de pegats de IOT i actualitzacions de dispositius per evitar aquestes alteracions van ocupar l'últim lloc en la seva llista de les cinc principals capacitats de seguretat de IOT.
Aquest és un problema real, especialment tenint en compte que la bretxa de seguretat cibernètica s'està ampliant i aprofundint a mesura que augmenta la quantitat de dispositius Iot. Les previsions suggereixen que més de 30 mil milions de dispositius IOT estaran en servei per al 2020. Això representa un augment dels 27 mil milions de dispositius IOT estimats en l'actualitat.
La nostra investigació suggereix que aproximadament el 42% dels dispositius IOT en ús dependran principalment de certificats digitals i identificació i autenticació en els propers dos anys. Però molts menys dispositius i plataformes de IOT aprofiten el xifrat. Només el 28% dels dispositius Iot fan servir xifrat, i només una quarta part dels repositoris i plataformes de dades IOT fan servir xifrat.
Hi ha algunes bones notícies, però les millors pràctiques de PKI no estan on han d'estar
Pel costat positiu, IOT és la tendència de més ràpid creixement que impulsa la implementació d'aplicacions PKI amb un creixement de l'20% en els últims cinc anys. A més, les organitzacions estan ampliant l'abast dels seus PKI.
La nostra investigació també suggereix que les empreses són més rigoroses pel que fa a la seguretat de PKI en algunes àrees. Menys estan fent servir només una contrasenya per protegir l'accés administratiu de l'autoritat de certificació (CA) (una caiguda de el 6% des del nivell de 2018), i més estan usant mòduls de seguretat de maquinari (HSM) per administrar les claus privades de CA (un augment de el 3% respecte al 2018).
Tot i així, moltes organitzacions estan perdent la marca quan es tracta de les millors pràctiques relacionades amb les PKI.
Gairebé un terç (30%) de les organitzacions enquestades per Ponemon van admetre que no fan cap tipus de revocació de certificats, i un enorme 68% va dir que lluita per establir una propietat clara de PKI tot i la dependència significativa d'aquest. Aquestes respostes, i el fet que la seva tendència de 5 anys mostra poc progrés, diu molt sobre els desafiaments operatius de PKI en el món real.
La implementació de les millors pràctiques pot canviar això, salvaguardar a les empreses i els clients.
La investigació de Ponemon també mostra que les CA corporatives internes són l'opció més popular per a la implementació de PKI. La major part (80%) de les organitzacions de serveis financers utilitzen CA corporatives internes. Aquest enfocament és utilitzat pel 63% de el grup d'enquesta general, un nombre que ha augmentat un 19% en els últims cinc anys.
Però de vegades, la subcontractació pot ajudar. Aquesta enquesta va revelar indicis que les empreses que aprofiten serveis gestionats allotjats externs acreditats poden collir els beneficis de millors millors pràctiques quan es tracta de ciberseguretat. Si manté PKI internament, utilitza serveis externs o una combinació de tots dos, nCipher i la seva empresa matriu, Entrust Datacard, poden ajudar-lo. Mòduls de seguretat de maquinari nCipher nShield.
Les empreses que es tornen vulnerables als atacs cibernètics al no prioritzar la seguretat de PKI
L'Estudi de Tendències Globals de PKI i IOT de 2019, realitzat per la firma d'investigació Ponemon Institute i patrocinat per nCipher Security, es basa en els comentaris de més de 1,800 professionals de seguretat de TI a 14 països / regions.
L'estudi va trobar que IOT és la tendència de més ràpid creixement que impulsa la implementació d'aplicacions d'infraestructura de clau pública (PKI), amb un creixement de l'20% en els últims cinc anys.
Els enquestats van esmentar preocupacions sobre diverses amenaces de seguretat de IOT, inclosa l'alteració de la funció dels dispositius de IOT a través de malware o altres atacs (68%) i el control remot d'un dispositiu per part d'un usuari no autoritzat (54 %). No obstant això, els enquestats van qualificar el lliurament de pegats i actualitzacions als dispositius Iot, la capacitat que protegeix contra aquesta amenaça principal, finalment en una llista de les cinc capacitats de seguretat IOT més importants.
L'estudi també va trobar que en els propers dos anys una mitjana de l'42% dels dispositius IOT dependrà principalment de certificats digitals per a identificació i autenticació. Però el xifrat per a dispositius Iot, i per a plataformes IOT i repositoris de dades IOT, és de només el 28% i 25% respectivament.
"L'escala de la vulnerabilitat de IOT és sorprenent: IDC va pronosticar fa poc que hi haurà 20,6B de dispositius IOT connectats per 2025, generant 79,4 zettabytes de dades", va dir John Grimm, director sènior d'estratègia i desenvolupament empresarial de nCipher Security.
"No té sentit recopilar i analitzar dades generades per IOT i prendre decisions comercials basades en ells, si no podem confiar en la seguretat dels dispositius o les seves dades. Crear confiança comença amb prioritzar les pràctiques de seguretat que contraresten les principals amenaces de IOT i garantir l'autenticitat i integritat en tot l'ecosistema de IOT ".
PKI resulta estratègica, però les organitzacions s'estan deixant vulnerables i sense preparació
PKI és el nucli de la infraestructura de TI per a moltes organitzacions, el que permet la seguretat per a iniciatives digitals crítiques com el núvol, la implementació de dispositius mòbils i IOT.
La majoria dels enquestats fan servir PKI àmpliament en les seves organitzacions, per a certificats SSL / TLS (79%), xarxes privades i VPN (69%), i aplicacions i serveis públics basats en el núvol (55%). No obstant això, més de la meitat (56%) creu que PKI és incapaç d'admetre noves aplicacions.
A més, molts enquestats veuen importants barreres tècniques i organitzatives per a l'ús de PKI, inclosa la incapacitat per canviar les aplicacions heretades (46%), habilitats insuficients (45%) i recursos (38%).
Les millors pràctiques de seguretat de PKI d'empresa són mixtes
Gairebé un terç (30%) de les organitzacions, una participació especialment discordant tenint en compte les implicacions, no estan utilitzant cap tècnica de revocació de certificats. Més de dos terços (68%) citen "sense propietat clara" com el seu principal desafiament de PKI.
Però, algunes empreses estan aplicant més rigor a la seguretat de PKI en certes àrees. La proporció d'enquestats que fan servir "només contrasenya" per als administradors de l'Autoritat de Certificació ha caigut un 6% de 2018 a un 24% aquest any. I el 42% dels enquestats van dir que estan utilitzant mòduls de seguretat de maquinari (HSM) per administrar les claus privades.
"L'ús de PKI està evolucionant a mesura que les organitzacions aborden la transformació digital en les seves empreses. A més de IOT, més de l'40% dels nostres enquestats també van esmentar iniciatives en el núvol i mòbils com a impulsores de l'ús de PKI ", va dir el Dr. Larry Ponemon, president i fundador de l'Institut Ponemon.
"Clarament, el ràpid creixement de IOT està tenint un gran impacte en l'ús de PKI, ja que les organitzacions s'adonen que PKI proporciona tecnologia d'autenticació central per a dispositius connectats. Perquè les organitzacions aprofitin a l'màxim les seves iniciatives digitals, han de continuar millorant la maduresa de seguretat dels seus PKI ".