Seguridad armonizada entre diferentes dispositivos
El rápido aumento de los dispositivos móviles ha traído consigo muchas lagunas de seguridad que son motivo de preocupación y que incluyen, por ejemplo, sistemas operativos con deficiencias, problemas de configuración, redes públicas y aplicaciones vulnerables. En conjunto, se estima que al menos un 75 % de las aplicaciones móviles no superaría las pruebas de seguridad básicas. Por otro lado, las vulnerabilidades de los sistemas operativos se multiplican por más de dos cada año. Ante estas alarmantes estadísticas, los consumidores tienen que recurrir a herramientas de protección que tal vez no estén disponibles para todos los sistemas, que ofrecen funciones que varían considerablemente de un dispositivo a otro y que, muchas veces, absorben una cantidad excesiva de recursos. Todos estos problemas podrían solucionarse con un único cambio tecnológico: descargar la ejecución de las aplicaciones de seguridad a un dispositivo programable situado en la periferia de la red, por ejemplo una pasarela doméstica o un enrutador de empresa. El proyecto SECURED (SECURity at the network EDge) ha estado trabajando en el diseño de esta tecnología desde octubre de 2013. A pocos meses de la finalización del proyecto, su coordinador, el Prof. Antonio Lioy de la Universidad Politécnica de Turín explica los resultados obtenidos hasta la fecha, cómo estos encajan en el panorama tecnológico actual, así como sus posibles campos de aplicación. ¿Cuáles son en la actualidad los problemas principales de los sistemas de seguridad de los dispositivos móviles? Actualmente, la seguridad de los dispositivos móviles se basa principalmente en dispositivos: los usuarios necesitan instalar localmente la solución adecuada en cada uno de sus dispositivos, por ejemplo un antivirus para protegerse frente a códigos maliciosos o un cortafuegos para bloquear conexiones indeseadas. Esto resulta complejo, ya que el usuario medio suele tener más de un dispositivo, y difícil, puesto que algunas aplicaciones de seguridad no están disponibles para todos los tipos de dispositivos o no tienen las mismas prestaciones o características. Las empresas grandes tienden a abordar este problema restringiendo el tipo de dispositivos móviles utilizados por sus empleados y adoptando un sistema de gestión de dispositivos móviles (MDM). Sin embargo, esta solución no es viable para los usuarios comunes, por lo que estos quedan más expuestos a riesgos. En resumen, la seguridad de los dispositivos móviles varía y resulta casi siempre insuficiente, ya que depende de la disponibilidad de los productos y de los dispositivos empleados. ¿De qué manera la arquitectura de SECURED ayuda a superar estos problemas? El proyecto SECURED propone delegar la protección, total o parcialmente, a un nodo de red seguro y fiable diseñado específicamente para ejecutar las aplicaciones de seguridad seleccionadas por el usuario y configurado de acuerdo con una política de protección especificada por el propio usuario. Este dispositivo lo conocemos como dispositivo periférico de red (NED), cuyo funcionamiento se optimiza cuanto más cerca se coloque del dispositivo móvil en la red. Dicho esto, también es factible la utilización de un NED remoto o alojado en la nube. Cuando el usuario conecta su dispositivo móvil al NED, se proporciona una prueba de identidad y el estado en cuanto a integridad del NED para que el usuario pueda confiar en que este estará disponible para su uso. Además, se crea un dominio específico de ejecución virtual para el usuario. Tras este paso, el NED descargará los controles de seguridad seleccionados desde los repositorios especificados por el usuario y los configurará de acuerdo con su perfil de protección, extraído de un repositorio de políticas de uso. ¿Puede utilizarse en las redes actuales? ¿De qué manera? Sí, puede usarse en las redes actuales mediante la inserción del NED en una red y solicitando a los usuarios que se conecten al NED seleccionado por medio de una red privada virtual (VPN). Obviamente, si el punto de acceso a la red del usuario (pasarela doméstica, punto de acceso inalámbrico o nodo de acceso 3G/4G) ya constituye un NED, entonces la VPN no será necesaria y el rendimiento será superior. En cualquier caso, la opción de disponer del NED directamente como primer paso en la red o como una entidad remota, proporciona mucha flexibilidad al plan de implantación, lo que a su vez posibilita una adopción gradual de la tecnología y permite que también esté disponible en entornos que no adoptan directamente la tecnología SECURED. En otras palabras, el usuario controla su propia seguridad y el único parámetro variable es el rendimiento de la red, el cual se optimiza con un NED local y empeora con uno remoto. En ambos casos, la seguridad y la fiabilidad quedan garantizadas. ¿Cómo ve el futuro de Internet, más concretamente, el del Internet de las cosas? El paradigma desarrollado por SECURED también es apto para el Internet de las cosas. Normalmente, los nodos de estos entornos tienen una potencia y capacidades limitadas, por lo que su protección es baja o inexistente puesto que no pueden ejecutar controles de seguridad complejos. Hemos conseguido un grado adecuado de protección para los nodos del Internet de las cosas (IoT) mediante su conexión a una red externa a través de un NED, el cual se encarga de su protección. Este sistema también permite reforzar las políticas de seguridad entre redes. ¿Cómo lo lograron? El NED es en realidad un componente en el que, dependiendo de quién sea su propietario, intervienen muchas partes. Por ejemplo, los NED ofrecidos por un proveedor de servicio de Internet (ISP) o por un operador de redes de comunicaciones móviles (MNO) aplicarán tanto la política de seguridad del usuario como la del operador. SECURED ha desarrollado algoritmos para combinar estas distintas políticas y aplicar la resultante. Por supuesto, en los casos en que la política del operador sea más restrictiva que la del usuario, el NED informa al usuario de las restricciones adicionales y ofrece la opción de desconectar. Considerando que las políticas y los controles de seguridad se descargan al NED a voluntad cuando un usuario se conecta a una red, el sistema funciona automáticamente en las distintas redes. Además, la tecnología proporciona un soporte sin trabas para la movilidad: si un usuario se mueve de un punto de acceso a otro, su dominio de ejecución virtual se conecta automáticamente al nuevo punto de acceso. ¿Puede hablarnos acerca del mercado que han creado? Nos hemos centrado en los usuarios normales, quienes no son necesariamente expertos en cuestiones técnicas de seguridad, por lo que hemos intentado simplificar la utilización de SECURED en la medida de lo posible. En primer lugar, creamos una interfaz de alto nivel para redactar la política de seguridad en un lenguaje bastante natural, o mejor dicho, un lenguaje restringido, es decir, permitiendo únicamente la utilización de verbos relacionados con la protección, como «permitir», «rechazar» o «grabar». El usuario puede así acceder a un mercado en el que están disponibles varias aplicaciones de seguridad, algo muy parecido a lo que ocurre en el mercado disponible típicamente a través de los smartphones. Los usuarios con conocimientos técnicos avanzados pueden seleccionar directamente las aplicaciones deseadas, mientras que los neófitos se beneficiarán de una selección automática basada en las políticas que ellos mismos han determinado. Por ejemplo, si el usuario pide bloquear el acceso a páginas web con contenidos inadecuados para niños y estar protegido frente a códigos maliciosos, el sistema sugerirá la adquisición de una aplicación de control parental y otra antivirus. Si para una categoría determinada hay más de una aplicación disponible, el usuario tiene acceso a las características que las distinguen, entre ellas el precio, el rendimiento y las recomendaciones de otros usuarios. El proyecto finalizará próximamente. ¿Qué acogida cree que tendrá en el mercado? Cuando lanzamos el proyecto en 2013, nuestro objetivo primordial eran los suministradores de redes/servicios y los puntos de conexión inalámbrica. Aunque seguimos creyendo que, por lógica, estos serán un tipo de cliente, también hemos descubierto que han surgido nuevos campos de aplicaciones interesantes. Además del paradigma IoT que ya hemos comentado, las redes actuales basadas en software son un objetivo importante: los paradigmas de la red definida por software (SDN) y la virtualización de la función de red (NFV) están cambiando rápidamente el escenario de las redes, cuyo pilar fundamental no es tanto el hardware sino el software, lo que implica que la propia red es un cliente potencial de la tecnología SECURED, ya que ofrece funciones de seguridad bajo demanda configuradas de acuerdo con políticas específicas y ejecutadas en un entorno fiable. Durante el encuentro del grupo de trabajo ETSI NFV en febrero de 2016, hicimos una presentación que despertó un gran interés por la tecnología SECURED, la cual, en mi opinión, desempeñará un papel importante en varios mercados en el futuro. SECURED Financiado con arreglo a FP7-ICT Página web del proyecto Página web del proyecto en CORDIS
Países
Italia