El poder de las huellas dactilares pasivas del sistema operativo para una identificación precisa de los dispositivos IoT

Se prevé que la cantidad de dispositivos IoT en redes empresariales y en Internet alcance los 29 mil millones para el año 2030. Este crecimiento exponencial ha aumentado inadvertidamente la superficie de ataque. Cada dispositivo interconectado puede crear potencialmente nuevas vías para ataques cibernéticos y violaciones de seguridad. La botnet Mirai demostró precisamente eso, al utilizar miles de dispositivos IoT vulnerables para lanzar ataques DDoS masivos en infraestructuras críticas de Internet y sitios web populares.

Para protegerse eficazmente contra los riesgos de la expansión de IoT, el monitoreo continuo y el control absoluto son cruciales. Sin embargo, eso requiere una identificación precisa de todos los dispositivos y sistemas operativos (SO) de IoT dentro de la red empresarial. Sin este conocimiento, los equipos de TI y de seguridad carecen de la visibilidad y la comprensión necesarias para implementar de manera efectiva controles de seguridad específicos, monitorear la actividad de la red, identificar anomalías y mitigar amenazas potenciales.

Normalmente, los administradores pueden identificar dispositivos y sistemas operativos a través de ID de dispositivo únicos asignados por agentes de software que se ejecutan en puntos finales de la red y recopilan información para la identificación del dispositivo. Sin embargo, puede que no sea posible o factible instalar dichos agentes en todos los sistemas operativos, especialmente aquellos utilizados en sistemas integrados y dispositivos de IoT. Esto se debe a que los dispositivos de IoT están diseñados para realizar funciones específicas y, a menudo, tienen recursos limitados: potencia de procesamiento, memoria y almacenamiento. A menudo carecen de la capacidad para admitir agentes de software adicionales.

Por esas razones, necesitamos un enfoque pasivo para la identificación que no implique instalaciones de software y que funcione igualmente bien con sistemas personalizados y simplificados para cumplir con los requisitos específicos de los dispositivos IoT. Uno de esos métodos es la toma de huellas dactilares basada en red y la toma de huellas dactilares pasiva del sistema operativo.

En la práctica, la toma de huellas dactilares pasiva del sistema operativo es como intentar perfilar a las personas sin ninguna interacción directa, simplemente a partir de su apariencia y comportamiento. De manera similar, la forma en que un dispositivo interactúa con la red revela mucho sobre su identidad, capacidades y riesgos potenciales. En lugar de instalar un agente de software, la toma de huellas dactilares pasiva del sistema operativo implica analizar los patrones de tráfico de red y los comportamientos generados por los dispositivos para determinar su sistema operativo.

Este método se basa en técnicas establecidas y bases de datos de huellas dactilares que almacenan patrones de tráfico y comportamientos específicos de varios sistemas operativos. Por ejemplo, las opciones específicas establecidas en los encabezados TCP o las solicitudes del Protocolo de configuración dinámica de host (DHCP) pueden variar entre sistemas operativos. La toma de huellas digitales del sistema operativo consiste, esencialmente, en comparar los patrones y atributos del tráfico de red de un dispositivo con perfiles de sistema operativo conocidos y clasificar el tráfico en consecuencia.

Se pueden utilizar varios protocolos de red para la toma de huellas digitales del sistema operativo:

A pesar de sus limitaciones, el análisis de comportamientos y atributos de varios protocolos en las capas de la red puede ayudar a identificar dispositivos con precisión. Los administradores pueden utilizar las huellas digitales del sistema operativo para tomar decisiones informadas sobre el control de acceso y las políticas de seguridad.

La toma de huellas digitales del sistema operativo puede ser útil para la identificación pasiva de dispositivos, dada la rápida expansión de las redes de IoT y las vulnerabilidades que introducen. Sin embargo, la toma manual de huellas digitales del sistema operativo es una tarea desalentadora que requiere amplios conocimientos y experiencia en el dominio.

El principal desafío es la escalabilidad. Es imposible asignar manualmente identificadores únicos a través de miles de flujos de tráfico en redes empresariales. Para superar este desafío, las organizaciones pueden aprovechar los recursos y la escala de una red convergente y una pila de seguridad basadas en la nube. Una pila de seguridad nativa de la nube, como SASE (Secure Access Service Edge) o SSE (Secure Service Edge), puede acceder a los recursos necesarios y habilitar algoritmos de aprendizaje automático y análisis estadísticos para extraer patrones y comportamientos de grandes volúmenes de datos de tráfico de red.

Las funciones convergentes de redes y seguridad pueden permitir la recopilación y correlación automatizadas de datos de redes y seguridad de múltiples fuentes, como sistemas de detección de intrusiones, registros de firewall y soluciones de seguridad de terminales, para proporcionar una descripción general de la actividad de la red y su relación con los sistemas operativos y los dispositivos de IoT. .

Convergence facilita la identificación y clasificación automatizada de clientes en función de sus características únicas. Finalmente, una consola de administración centralizada puede ayudar a agilizar el proceso de identificación y análisis y permitir una acción inmediata con respecto al control de acceso y las políticas de seguridad.