El futuro de la seguridad de la red doméstica inteligente 5G es la microsegmentación

98

IDC predice que habrá alrededor de 41.600 millones de dispositivos IoT conectados en 2025, y GSMA predice que el 20% de las conexiones serán 5G para el mismo año. En un mundo 5G, muchos dispositivos IoT se conectarán directamente a la red, lo que traerá nuevos desafíos y oportunidades de seguridad cibernética por igual.

Para los operadores, proporcionar una fuerte ciberseguridad integrada en sus redes será una ventaja competitiva al principio, y en última instancia se convertirá en algo imprescindible. Con cualquier nueva tecnología viene la incertidumbre, y será esencial para los operadores introducir nuevas e innovadoras soluciones para establecer la confianza entre los consumidores para el 5G, demostrando que ofrece oportunidades de ciberseguridad que antes no estaban disponibles con 4G.

Una de las oportunidades de seguridad será la microsegmentación transparente en hogares inteligentes 5G, lo que reducirá las superficies de ataque de las redes domésticas inteligentes. Actualmente, los hogares inteligentes son tan fuertes como su eslabón más débil, pero con la microsegmentación transparente aplicada a los hogares inteligentes 5G, los dispositivos se pueden aislar para evitar que un dispositivo débil sirva como puerta de entrada a toda la red.

Los dispositivos domésticos inteligentes suelen estar conectados constantemente, tienen firmware desactualizado, no se parchean regularmente contra las vulnerabilidades de seguridad más recientes y, a menudo, recopilan datos confidenciales y los envían a la nube, lo que los hace vulnerables a los ataques. Una vez que un atacante obtiene acceso con éxito a un dispositivo inteligente, toda la red, incluidos otros dispositivos IoT conectados a la misma red, está en riesgo. Junto con investigadores del Instituto TU de Tecnología Dresden y Karlsruhe en Alemania, investigué cómo se pueden implementar políticas de seguridad de redes detalladas en hogares inteligentes, para prevenir a redes enteras, conectadas a 5G, de riesgos potenciales en caso de que un dispositivo esté infectado o vulnerable, y como solución se nos ocurrieron dos funciones de red que permiten esto.

Tradicionalmente, las puertas de enlace residenciales, como los routers, servían como un perímetro de seguridad en las redes domésticas, pero este perímetro se está rompiendo. Cada vez más dispositivos que se conectan a back-ends e intercambian información a través de la nube están entrando en los hogares, y los dispositivos individuales están perforando el perímetro al habilitar el reenvío de puertos (por ejemplo, a través de UPnP), manteniendo conexiones abiertas a puntos de conexión en la nube o teniendo vulnerabilidades en sus aplicaciones móviles complementarias. Específicamente, los dispositivos IoT que se comunican entre sí y que siempre están encendidos, apenas están supervisados y parchados contra las últimas actualizaciones de seguridad por sus propietarios, dando lugar a una mayor superficie de ataque en las redes domésticas. Los atacantes pueden aprovechar uno de los muchos puntos de entrada en una red doméstica y luego realizar movimientos laterales para infectar otros dispositivos, robar información, abusar de recursos o causar otros daños. Después de pasar la puerta de enlace residencial, que en muchos casos es el único firewall en una red doméstica, el atacante puede conectarse a cualquier otro recurso de la red doméstica sin restricciones.

Un segmento de red, o microsegmento, es una partición de la red que aloja un conjunto de dispositivos. Una función crea un inventario de todos los dispositivos y sus vulnerabilidades, mientras que la segunda utiliza esa información para asignar dinámicamente dispositivos IoT a microsegmentos y los aísla entre sí mediante directivas de seguridad de nivel de red entre e intrasegmentos. En el mejor de los casos, descubrimos que la microsegmentación reduce la superficie de ataque expuesta a una cámara web IoT infectada por Mirai hasta en un 65,85% a costa de prevenir el 2,16% de los flujos de red válidos entre dispositivos.

Hasta ahora, la segmentación de red se ha aplicado con éxito a las redes empresariales. Sin embargo, todavía no se ha aplicado a las redes domésticas porque hasta ahora, las redes domésticas nunca tenían la escala y porque la carga administrativa es demasiado alta para el usuario promedio. El 5G permite nuevos conjuntos de tecnologías de red, siendo la virtualización de red una de ellas. La combinación de redes definidas por software (SDN) y virtualización de funciones de red (NFV) transforma el borde de la red en un centro de datos en la nube. Las redes domésticas son uno de los primeros objetivos de estos esfuerzos de virtualización en curso. La capacidad de definir redes virtuales sobre la infraestructura física permite toda una nueva ola de innovación en redes.

La microsegmentación se habilita a través de redes definidas por software (SDN) y el ciclo de vida de los microsegmentos se maneja automáticamente, por lo que requiere una interacción (y conocimiento) mínimos del usuario. Los dispositivos se colocan en microsegmentos en función de su categoría identificando dinámicamente cada dispositivo de la red y evaluando su seguridad. Esto crea un inventario completo de dispositivos y posteriormente coloca los dispositivos en grupos de seguridad funcionales que se desacoplan de la infraestructura subyacente, evitando así ataques internos que impliquen movimientos laterales.

Para probar nuestro enfoque en una configuración adversa real, emulamos una topología de red que incluía más de 28 dispositivos IoT y no IoT pertenecientes a seis grupos funcionales diferentes (administración de energía, controlador/hubs, cámaras, dispositivos, monitores de salud y no IoT).

La proporción de dispositivos infectados se puede medir escaneando la red de forma similar a como lo haría la botnet Mirai. Probamos tres configuraciones, una sin microsegmentación, una segunda con microsegmentación basada en los grupos funcionales, y una tercera con aislamiento total de cada dispositivo. Para la segunda configuración, asumimos que un atacante tiene el control de la cámara Belkin, la impresora HP Envy o la Amazon Echo y comienza a escanear la red local, buscando más dispositivos IoT vulnerables. Observamos que el uso de la cámara Belkin para el movimiento lateral daría a un atacante la mayor ventaja y visibilidad de la red. El grupo funcional de una cámara contiene el mayor número de dispositivos IoT.

En comparación con la configuración de línea de base, la microsegmentación basada en grupos funcionales nos permitió reducir la superficie de ataque en un 65,85% si el atacante hubiera utilizado la cámara Belkin para el movimiento lateral. Esta sencilla configuración de microsegmentación es capaz de identificar y bloquear flujos que podrían ser maliciosos o violar la privacidad cruzando los límites funcionales. Restringir el acceso de un dispositivo a la red puede tener un impacto en su capacidad para entregar su servicio al usuario. También probamos esto para comprobar cuán perjudicial podría ser la microsegmentación a la funcionalidad de un hogar inteligente y descubrimos que la microsegmentación basada en grupos funcionales sólo se desvía de la línea de base en un 2,16%. Esta desviación proviene de flujos que podrían cruzar los microsegmentos funcionales.

Utilizando una novedosa arquitectura de sistema de nube edge, implementamos microsegmentación para proteger las redes de IoT domésticas inteligentes de ataques internos que implican movimientos laterales. Nuestro trabajo identificó y puso en cuarentena de forma transparente los dispositivos maliciosos para acceder a la LAN y WAN. Los dispositivos no maliciosos se clasificaron automáticamente de acuerdo a la funcionalidad y en consecuencia, se asignan a microsegmentos de red confinados. Demostramos la eficacia y transparencia de nuestro enfoque mejorando las métricas clave de explotación de la red de IoT en múltiples topologías de hogares inteligentes que se microsegmentaron.

Mientras que el 5G hará que los dispositivos IoT sean más rápidos, también podría ayudar a que las infecciones se expandan de manera más veloz dentro de las redes si no están adecuadamente protegidas. Puede llevar años hasta que el 5G y hogares inteligentes enteros se adopten universalmente, pero los operadores deben comenzar a implementar soluciones preparadas para 5G directamente en puertas de enlace perimetrales a medida que implementan redes 5G, para ofrecer a sus clientes ecosistemas domésticos inteligentes conectados sin problemas y seguros.

La microsegmentación transparente aplicada a los hogares inteligentes 5G podría ser una de esas soluciones, protegiendo a un sólo dispositivo de permitir tomar toda una red doméstica inteligente bajo asedio.

Autor