Miles de millones de dispositivos conectados han provocado que los participantes en Internet de las cosas (IoT) vuelvan a evaluar su enfoque de seguridad. Jim Douglas, el director ejecutivo de Wind River, le dice a Robin Duke-Woolley, director ejecutivo de Beecham Research, que los desarrolladores de aplicaciones y dispositivos de IoT reconocen que ya no pueden confiar en los enfoques de patchwork y en su lugar deben tener una visión integral de la seguridad.

Robin Duke-Woolley: ¿En qué punto de la historia de Wind River la seguridad se convirtió en un área clave para la empresa?

Jim Douglas: La seguridad está integrada en todo lo que hacemos. Esto se remonta a la fundación de la compañía en 1981. Los primeros clientes de la compañía fueron principalmente organizaciones aeroespaciales, de defensa e industriales que estaban muy orientadas a la seguridad. Entonces, desde el primer día, los pilares fundamentales de la empresa fueron la seguridad, la seguridad y la fiabilidad. La línea de productos y la doctrina operativa de la compañía han surgido de eso. Wind River adopta un enfoque holístico de la seguridad, que incluye los siguientes elementos clave:
• Ciclo de vida seguro de desarrollo de software
• Funciones de seguridad incorporadas en nuestro portafolio
• Servicios y soporte de seguridad.
• Respuesta a incidentes de seguridad prudente

Nuestros productos, servicios y experiencia brindan a nuestros clientes una solución de seguridad integral con una protección a medida que surgen nuevas amenazas. Además, nuestros procesos de desarrollo y capacidades de seguridad cumplen con los rigurosos requisitos de las industrias y agencias gubernamentales en las geografías que servimos.

RD-W: ¿A qué mercados sirve Wind River?

JD: El software Wind River se puede encontrar en todos los principales sectores de infraestructura crítica donde la seguridad es primordial. Desde el sector aeroespacial hasta el industrial, desde la defensa hasta la medicina y desde la creación de redes hasta la automotriz, nuestros clientes incluyen los principales fabricantes, empresas y gobiernos del mundo.

RD-W: Desde una perspectiva de seguridad, ¿qué cambios del mercado están teniendo el mayor impacto en sus clientes?

JD: Desde el punto de vista comercial y tecnológico, la conectividad en los mercados de infraestructura críticos a los que servimos ha cambiado drásticamente el juego de seguridad. Históricamente, la mayoría de los sistemas embebidos no estaban conectados o estaban conectados a redes propietarias que no estaban expuestas a redes empresariales o Internet. Las preocupaciones de seguridad siempre prevalecieron, pero dado que los sistemas integrados no tenían exposición externa, la seguridad se centró más en la intrusión física. Con IoT, los clientes han comenzado a conectar dispositivos utilizando soluciones de red basadas en IP para extraer datos de manera más eficiente y usarlos para mejorar el funcionamiento de los sistemas, mejorar su tiempo de actividad y extender los ciclos de vida de sus productos. La disponibilidad de 5G acelerará la proliferación de dispositivos conectados, creando una superficie de ataque mucho más grande que necesitará ser monitoreada y defendida, lo que representa un aumento significativo en los riesgos de seguridad. Esto requerirá que los clientes tengan estrategias de seguridad rigurosas y completas de nivel de sistema. Además, veremos soluciones de seguridad basadas en inteligencia artificial (IA) que ganan fuerza para ayudar a encontrar y prevenir actividades maliciosas que amenacen los sistemas integrados.

RD-W: los usuarios empresariales a menudo ven la seguridad como compleja. ¿Cómo deberían ver esto?

JD: Creo que la gente lo percibe como complejo y, además, tiende a haber una visión más bien miope con respecto a la seguridad. Específicamente, existe una tendencia a enfocarse en piezas individuales del sistema y garantizar que esas piezas individuales sean seguras, en lugar de tener una visión integral del sistema.

Con una variedad tan amplia de tipos de amenazas de seguridad conocidos y nuevos que surgen todo el tiempo, los desarrolladores de aplicaciones y dispositivos de IoT ya no pueden confiar en enfoques de parches para mitigar el riesgo. No pueden seguir utilizando un enfoque gradual de la seguridad en el que un eslabón débil de la cadena puede derribar todo el sistema. Deben estar pensando de punta a punta en lugar de uno por uno. Un enfoque integral de la seguridad debe tener en cuenta no solo todo el sistema IoT, desde los dispositivos periféricos hasta la red y la nube, sino también todo el ciclo de vida del sistema, desde el desarrollo hasta la implementación, la operación e incluso el final de la vida útil.

RD-W: ¿Cuáles considera que son los principales desafíos para sus clientes con respecto a la seguridad en los próximos años?

JD: Las violaciones de seguridad de IoT han revelado el imperativo urgente de proteger los dispositivos y sistemas de amenazas externas. La seguridad de los dispositivos debe ser una de las principales preocupaciones de los desarrolladores de sistemas de IoT y los fabricantes de dispositivos, y debe abordarse en la etapa de diseño.

Incorporar seguridad en los dispositivos plantea desafíos técnicos y comerciales. ¿Cuánta seguridad es suficiente? Puedes sobre-diseñar cualquier cosa para estar más seguro, pero ¿a qué precio? ¿Está dispuesto a comprometer el rendimiento del dispositivo, aumentar significativamente el costo de la lista de materiales (BOM) o alargar su ciclo de desarrollo, todo para implementar medidas de seguridad que no podrá monetizar. Este dilema plantea el mayor desafío que enfrentan los clientes cuando se trata de seguridad. Paralelamente, la experiencia muestra que los ataques a dispositivos suelen explotar múltiples puntos de vulnerabilidad. Cerrar incluso algunas de estas brechas puede mitigar el daño. La tecnología, como las funciones de seguridad en VxWorks, permite a los clientes adoptar un enfoque escalable de seguridad, agregando tanto o tan poco como el dispositivo lo requiera para sus propósitos, lo que permite controlar los costos y entregar los dispositivos a tiempo, al tiempo que reduce los riesgos de violaciones de seguridad .

Sin embargo, no podemos olvidarnos de proteger el software heredado, que también seguirá siendo un desafío para nuestros clientes. Para abordar este desafío, permitimos que los clientes particionen software heredado con capacidades como virtualización y procesos en tiempo real que se encuentran en VxWorks y Wind River Helix Virtualization Platform. Esto ayuda a limitar la superficie de ataque del dispositivo cuando se ven afectadas las principales funciones externas. Particionar es una gran implementación de seguridad para
mitigar todo el sistema de ser atacado.

RD-W: ¿Cómo resumiría cómo Wind River está ayudando a los clientes a abordar la seguridad?

JD: La seguridad es tan fundamental para el desarrollo del sistema de IoT que requiere una estrategia bien pensada de principio a fin que abarque todos los aspectos del ciclo operativo de un sistema de destino, incluido el encendido, el arranque, el tiempo de ejecución, la conexión de red, la suspensión, el apagado y todas las etapas del ciclo de vida de los sistemas, desde el desarrollo hasta el desmantelamiento. Es por eso que nuestros clientes recurren a nosotros.

Primero, seguimos un estricto proceso de desarrollo de seguridad desde el diseño hasta la codificación, las pruebas y la construcción para garantizar que ofrezcamos soluciones altamente seguras y confiables para los sistemas de IoT de infraestructura crítica.

En segundo lugar, con capacidades de seguridad integradas, nuestros productos permiten a los clientes implementar una seguridad integral que minimiza las superficies de ataque de extremo a extremo, desde dispositivos a través de redes de comunicaciones y puertas de enlace a la nube.

En tercer lugar, nuestro equipo de servicios profesionales ofrece evaluaciones de seguridad para ayudar a los clientes a comprender las consideraciones de confidencialidad, integridad y disponibilidad de la arquitectura de su sistema, así como establece políticas de seguridad y guía sus inversiones en seguridad. Además, brindamos un proceso de consulta para determinar el tipo y el nivel de seguridad apropiados para cualquier proyecto y ayudar a construir la seguridad desde el primer paso y para cada etapa del proceso.

Por último, sabiendo que tenemos miles de millones de dispositivos implementados con nuestra tecnología y que los atacantes inteligentes podrían encontrar vulnerabilidades incluso en los sistemas más seguros, Wind River ha implementado el mejor proceso de respuesta a incidentes de seguridad en el que nuestros clientes confían en nosotros. Nuestro estricto proceso de lanzamiento incluye pruebas agresivas, y nuestro equipo trabaja activamente con la comunidad de investigación y monitorea una variedad de fuentes de seguridad. Luego de una divulgación responsable, notificamos de manera proactiva a los clientes sobre posibles vulnerabilidades, ofreciendo medidas de resolución antes de la divulgación de vulnerabilidades. Nuestro proceso de respuesta ayuda a proteger los dispositivos de los ataques cibernéticos incluso después de la implementación del producto.

En resumen, lo que es importante para nuestros clientes es tener proveedores como Wind River con un largo historial de desarrollo, entrega y soporte de procesos de desarrollo seguros para garantizar que nuestros productos se desarrollen de la manera más segura posible, incorporando capacidades de seguridad en toda nuestra cartera de productos, brindando seguridad servicios y soporte, y responder de inmediato cuando se descubren nuevas vulnerabilidades.

https://www.windriver.com/

Dejar respuesta

Please enter your comment!
Please enter your name here