Los dispositivos conectados necesitan seguridad estándar de comercio electrónico, dicen los expertos en seguridad cibernética
Miles de millones de dispositivos conectados están potencialmente en riesgo a menos que el software sensible a la seguridad se pueda administrar según un estándar de comercio electrónico, según un grupo de expertos líderes en seguridad tecnológica.
Las empresas, incluidas BRAZO, Interceder, Solacia y Symantec trabajaron juntos para evaluar los desafíos de seguridad de conectar miles de millones de dispositivos en múltiples sectores; incluidos los servicios industriales, domiciliarios, sanitarios y de transporte. Su conclusión fue que cualquier sistema podría verse comprometido a menos que se estableciera una raíz de confianza a nivel de sistema.
Para hacer frente al riesgo, las empresas colaboraron en el Protocolo de Confianza Abierta (OTrP) para combinar una arquitectura segura con una gestión de código confiable, utilizando tecnologías probadas en aplicaciones bancarias a gran escala y de datos confidenciales en dispositivos de mercado masivo como teléfonos inteligentes y tabletas.
“En un mundo conectado a Internet, es imperativo establecer la confianza entre todos los dispositivos y proveedores de servicios”, dijo Marc Canel, vicepresidente de sistemas de seguridad de ARM. “Los operadores deben confiar en los dispositivos con los que interactúan sus sistemas y OTrP lo logra de una manera sencilla. Reúne arquitecturas de confianza de comercio electrónico junto con un protocolo de alto nivel que se puede integrar fácilmente con cualquier plataforma existente «.
Otros miembros del Acuerdo Conjunto de Partes Interesadas OTrP son: Beanpod, Sequitur Labs, Sprint, Thundersoft, Trustkernel y Verimatrix.
La amenaza
Symantec estima que se llevaron a cabo un millón de ataques a Internet todos los días durante 2015. Internet de las cosas (IoT) expande la superficie de ataque y, según Gartner, la firma analista, la seguridad es ahora la prioridad número uno al construir cualquier producto conectado.
OTrP con más detalle
OTrP es un protocolo de gestión de alto nivel que funciona con soluciones de seguridad como ARM® TrustZone®-entornos de ejecución de confianza basados en que están diseñados para proteger los dispositivos informáticos móviles de ataques malintencionados. El protocolo está disponible para su descarga desde el sitio web de IETF hoy para la creación de prototipos y pruebas.
El protocolo allana el camino para un estándar interoperable abierto que permita la administración de software confiable sin la necesidad de una base de datos centralizada al reutilizar la arquitectura de seguridad establecida del comercio electrónico. El protocolo de administración se usa con la infraestructura de clave pública (PKI) y las arquitecturas de confianza basadas en la autoridad de certificación, lo que permite a los proveedores de servicios, desarrolladores de aplicaciones y fabricantes de equipos originales usar sus propias claves para autenticar y administrar software y activos confiables. OTrP es un protocolo simple y de alto nivel que se puede agregar fácilmente a entornos de ejecución de confianza existentes oa plataformas basadas en microcontroladores capaces de criptografía RSA.
OTrP está disponible como informativo IETF y está previsto que sea desarrollado por una organización que defina estándares que pueda fomentar su adopción masiva como estándar interoperable.
“La cadena de confianza para los servicios conectados debe basarse en identidades digitales sólidas para las personas y los dispositivos a fin de garantizar la integridad de los datos y las aplicaciones de una manera abierta e interoperable”, dijo Lubna Dajani, secretaria y futurista de OTPA. «El lanzamiento de OTrP es un paso adelante significativo y permitirá a la industria operar de manera más eficiente al colaborar en los aspectos básicos y competir solo donde se pueda agregar valor individual».
“Publicar OTrP como información de IETF para revisión pública es un paso importante para brindar confianza digital universal desde el silicio a los servicios para dispositivos móviles y conectados a IoT, dijo Richard Parris, director ejecutivo de especialistas en confianza digital, Intercede. «Proporciona a los operadores de red y desarrolladores de aplicaciones el control que necesitan sobre su selección de módulo de seguridad de hardware y proveedor de claves criptográficas por razones de interoperabilidad, políticas y costos, mientras se mantiene una plataforma de administración común en flotas mixtas de dispositivos».
“Permitir la creación de un ecosistema OTrP para aplicaciones confiables es crucial para garantizar la flexibilidad comercial en todos los mercados, dijo SangJin Park, CEO de Solacia. «Estamos comprometidos con la adopción de estándares abiertos en toda la industria de la seguridad y la provisión de SecuriTEE ayudará a lograrlo mediante la implementación de la tecnología ARM TrustZone para garantizar la adopción universal de la movilidad segura».
«Como operador inalámbrico, proporcionar un ecosistema de datos y comunicaciones que sea seguro y protegido es una misión primordial», dijo el Dr. Ron Marquardt, vicepresidente de tecnología de Sprint. “A medida que el ecosistema global de dispositivos conectados y aplicaciones móviles continúa creciendo, la seguridad se volverá más desafiante. OTrP ofrece una receta sólida para este desafío cada vez mayor con su flexibilidad para proporcionar y mantener una raíz de confianza a nivel del sistema dentro del ecosistema de servicios «.
“Las nuevas tecnologías conllevan mayores riesgos de seguridad”, dijo Brian Witten, director senior de seguridad de Internet de las cosas (IoT) de Symantec. «El Internet de las cosas y las tecnologías móviles inteligentes se están moviendo hacia una gama de aplicaciones diversas y es importante crear un protocolo abierto para facilitar y acelerar la adopción de seguridad respaldada por hardware que está diseñada para proteger las claves de cifrado integradas».