Guía de pruebas de seguridad de OWASP IoT
La Guía de pruebas de seguridad de OWASP IoT (ISTG) de OWASP proporciona una metodología integral para las pruebas de penetración en el campo de IoT, ofreciendo flexibilidad para adaptar innovaciones y desarrollos en el mercado de IoT, al tiempo que garantiza la comparabilidad de los resultados de las pruebas. Esta guía proporciona una comprensión de la comunicación entre fabricantes y operadores de dispositivos IoT, facilitada por el establecimiento de una terminología común. Su metodología, los modelos subyacentes y el catálogo de casos de prueba presentan herramientas que se pueden utilizar por separado y en conjunto entre sí.
Guía de pruebas de seguridad de OWASP IoT
- Unidades de Procesamiento (ISTG-PROC): Evaluación de la seguridad en los componentes de procesamiento.
- Memoria (ISTG-MEM): Revisión de la seguridad en la gestión y almacenamiento de datos.
- Firmware (ISTG-FW): Incluye la instalación y actualización segura del firmware.
- Servicios de Intercambio de Datos (ISTG-DES): Seguridad en la transmisión de datos entre dispositivos.
- Interfaces Internas y Físicas (ISTG-INT, ISTG-PHY): Evaluación de las conexiones internas y externas.
- Interfaces Inalámbricas (ISTG-WRLS): Seguridad en las conexiones inalámbricas.
- Interfaces de Usuario (ISTG-UI): Protección de las interfaces de usuario contra accesos no autorizados.
- Acceso y Autorización: El acceso a la unidad de procesamiento está restringido a ciertos niveles de autorización (AA-2, AA-3, AA-4). Es crucial implementar verificaciones de autorización adecuadas para evitar accesos no autorizados.
- Lógica de Negocios: Se deben manejar correctamente las excepciones y detectar anomalías en el flujo de trabajo para evitar que el dispositivo termine en un estado inseguro.
- Ataques de Canal Lateral: Estos ataques, como los de temporización y glitching, pueden comprometer la seguridad del dispositivo. Es necesario ajustar el diseño del hardware para ser resistente a estos ataques y aplicar los últimos parches de seguridad.
- Referencias: La página contiene múltiples referencias a casos de prueba y fuentes de datos consolidadas.
Introducción – Guía de pruebas de seguridad de IoT de OWASP
Si bien los sistemas informáticos en red convencionales pueden protegerse con métodos establecidos, por ejemplo, restringiendo el acceso físico y de autorización a redes y sistemas importantes, estos métodos pueden ser difíciles de aplicar a los dispositivos y ecosistemas de IoT debido a la heterogeneidad mencionada anteriormente y a los nuevos diseños de red.
En comparación con las redes informáticas convencionales, las infraestructuras de IoT pueden estar muy extendidas. A pesar de que la infraestructura de back-end puede ser similar a las redes informáticas convencionales, los dispositivos IoT pueden estar ubicados en una ubicación arbitraria, posiblemente incluso fuera de una zona segura del operador.
En algunos casos, los dispositivos son incluso físicamente accesibles para terceros y posibles atacantes, por ejemplo, automóviles conectados, dispositivos domésticos inteligentes o estaciones de paquetes. Por lo tanto, cada dispositivo IoT representa una amenaza potencial para los datos del usuario y toda la infraestructura, ya que un solo dispositivo manipulado es suficiente para poner en peligro todo el ecosistema.
Con el fin de reducir el riesgo de ataques exitosos, los fabricantes y operadores deben evaluar periódicamente el nivel de seguridad de sus soluciones de IoT en todos los dispositivos. Un instrumento para este propósito son las pruebas de penetración. El objetivo de una prueba de penetración es identificar las vulnerabilidades de seguridad dentro de las soluciones de IoT. Los resultados se pueden utilizar para abordar las vulnerabilidades detectadas y así fortalecer el nivel de seguridad.
Table of Contents
En comparación con otros marcos de pruebas de penetración de IoT, esta metodología sigue un enfoque más genérico pero completo. Define casos de prueba para ciertos problemas de seguridad que son relevantes en el contexto de IoT (aspectos clave de las pruebas) sin estar restringido por los detalles de tecnologías o estándares específicos. Por lo tanto, esta metodología es más flexible que otros marcos, lo cual es un beneficio importante dada la volatilidad del campo de IoT. No obstante, la metodología es aplicable a diversas tecnologías y ofrece posibilidades para nuevas particularizaciones.