Automatización del cálculo del nivel de seguridad de un entorno IoT basado en el inventario y las vulnerabilidades intrínsecas del sistema

Ac asdelasXVJo nadas
deIngenie íaTelemá ica
(JITEL2021),
ACo uña(España),
27‐29deoc ub ede2021.
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
Au oma ización del cálculo del ni el de
segu idad de un en o no IoT basado en el
in en a io y las ulne abilidades in ínsecas
del sis ema
Ma c Saline o, Julia Sánchez, Guioma Co al.
Depa amen o de In
g
enie ía, G upo de In es i
g
ación en In e ne Technolo
g
ies and S o a
g
e (GRITS),
La Salle Campus Ba celona
–
Uni e sidad Ramon Llull (URL)
Qua e Camins 30, 08022, Ba celona.
ma c.saline o
@
s uden s.salle.u l.edu,
j
.sanchez
@
salle.u l.edu,
g
uioma .co al
@
salle.u l.edu.
Es e documen o p esen a la implemen ación de un bloque
enca gado de calcula el ni el de segu idad asociado a un
en o no IoT basándose en los disposi i os p esen es y en las
ulne abilidades in ínsecas del mismo. Es e bloque o ma
pa e de un sis ema más complejo enca gado de calcula el
iesgo o al del en o no IoT añadiendo el esul ado de: (1) la
ealización de cie os es s con a los disposi i os encon ados
y, (2) la co elación de los logs almacenados u o de la
moni o ización con inua de dicho en o no.
Palab as Cla e- ji el, elemá ica, IoT, cibe segu idad,
iesgos
I. I
NTRODUCCIÓN
El pa adigma IoT (In e ne o Things) ha ganado
impo ancia en los úl imos años debido a las en ajas que
p opo ciona al mejo a nues a calidad de ida. Los
disposi i os IoT ob ienen in o mación del en o no que,
a ada adecuadamen e, p opo ciona cie o g ado de
in eligencia pe mi iendo oma decisiones di íciles de
mane a más ácil y, po an o, ejecu a a eas dia ias con la
mínima in e ención humana. IoT con ie e los hoga es,
edi icios, hospi ales, ciudades, indus ias, en e o os, en
sis emas in eligen es capaces de ob ene el conocimien o
del en o no y aplica lo pa a su adap ación de acue do a las
necesidades de los habi an es.
El IoT no pa a de c ece , cada ez más odos los
disposi i os que enemos o end emos es a án conec ados
en e ellos y al cloud. Se mul iplica án las conexiones, la
in o mación ansmi ida a a és de la ed y,
desa o unadamen e, los a aques hacia es os disposi i os.
Es os disposi i os pueden ansmi i in o mación c í ica o
con idencial y, po an o, el ni el de segu idad que deben
ene es ele ado.
El g upo de in es igación en In e ne Technologies and
S o age (GRITS) de La Salle Campus BCN-URL ha
dedicado pa e de sus es ue zos, desde hace algún iempo,
a in es iga sob e IoT, conc e amen e sob e cibe segu idad
en en o nos IoT. La g an dependencia que man iene la
sociedad ac ual con es e ipo de en o nos, gene a la
necesidad de es udia cómo o ece un buen ni el de
segu idad al usua io inal y de la mane a más e icien e
posible.
En el g upo de in es igación GRITS, se han ealizado
a ias in es igaciones y se ha pa icipado en a ios
p oyec os que han apo ado in o mación su icien e pa a
plan ea un sis ema que p o eja de mane a adecuada un
en o no IoT.
Del p oyec o FINESCE [1], se ex aje on las
implicaciones de segu idad y con amedidas a
aplica en en o nos cloud, luga es donde se pueden
encon a aplicaciones IoT.
De in es igaciones ealizadas sob e ecosis emas
IoT y sis emas ICS (Indus ial Con ol Sys ems), se
ie on las endencias y necesidades de
cibe segu idad pa a es e ipo de en o nos. En el
p oyec o SPRINT 4.0 [2] queda on al descubie o
los e os de segu idad, las amenazas y la necesidad
de implemen a sis emas obus os en el sec o de la
Indus ia 4.0, así como la necesidad de aplica un
conjun o de mejo es p ác icas pa a un co ec o
diseño de un sis ema segu o.
De o as in es igaciones y p oyec os como
Sma Campus [3], u o os cen ados en hoga es
in eligen es, se ap endie on las di e encias en e las
comunicaciones de en o nos IoT en ámbi os
245
Saline o, Sánchez, Co al, 2021.
dis in os, y po an o la necesidad de adap ación del
sis ema y su segu idad según el ámbi o IoT.
Toda es a in es igación mues a que exis en p oblemas
y ulne abilidades en odos los ámbi os p incipales de la
ac ualidad, que exis e un g an inc emen o en la conexión
de disposi i os de na u aleza he e ogénea a In e ne (pa a
p ocesos c í icos de la sociedad y la indus ia), que las
ecnologías eme gen es suponen un cambio cons an e y
nue os ec o es de a aque, y que los a aques cada ez son
más so is icados y di íciles de de ec a . De mane a que el
p oceso de secu ización de en o nos IoT no es nada ácil.
El p oblema no es sólo la inmensa can idad de
disposi i os conec ados a la ed, sino que ambién se debe
ene en cuen a que exis en disposi i os con sis emas o
so wa e de segu idad más a anzado y disposi i os
simples, como bombillas o senso es, que no ienen
de ección de a aques y son más ulne ables. También es
impo an e conside a la segu idad de la ed y con ola los
accesos, así como la segu idad de los p o eedo es de
se icios que dan acceso a los disposi i os IoT de mane a
emo a y p o eedo es cloud, que albe gan las aplicaciones
que el en o no IoT pueda u iliza pa a su ges ión y
man enimien o.
Además, el hecho de que haya múl iples ab ican es
ambién di icul a el p oceso. Cada ab ican e diseña sus
p oduc os con sus p opios p o ocolos de segu idad y
p o ocolos de comunicación, lo que hace que sea muy
complicado c ea un es ánda a segui pa a aplica
segu idad [4][5]. A pesa de es a di icul ad, gobie nos e
ins i uciones, en e ellas Es ados Unidos y la undación
OWASP, han comenzado a desa olla p oyec os pa a
conciencia sob e es os iesgos. El p oyec o lle ado a cabo
en Es ados Unidos busca conciencia a los ciudadanos
p oponiendo unos pasos a segui pa a p e eni posibles
b echas de segu idad en los disposi i os. Po o o lado, la
undación OWASP [6] ale a sob e las 10 ulne abilidades
más comunes en en o nos IoT de mane a anual, y
p opo ciona in o mación y guías pa a diseña , desa olla
con igu a y es ea disposi i os IoT.
Se pueden encon a múl iples soluciones a los
di e en es e os de segu idad y p oblemas que plan ea un
en o no IoT, pe o has a hace pocos meses, ningún es ánda
ap obado. Ac ualmen e, exis en es ánda es como el
eu opeo ETSI EN 303 645 [7] con el obje i o de
p opo ciona unas mejo es p ác icas a aplica en en o nos
IoT. A con inuación, se lis an ejemplos de mejo es
p ác icas o ecomendaciones ex aídas de [7] y [8] que, a
pesa de pa ece ob ias, son impo an es y buscan
conciencia y ayuda a asegu a una ed con a posibles
a aques:
U iliza c edenciales obus as y cambia las con
ecuencia; no usa con aseñas po de ec o.
Ci a los da os ansmi idos a a és de la ed.
Tene los disposi i os al día de ac ualizaciones de
so wa e/ i mwa e o an i i us.
Almacena de o ma segu a los pa áme os c í icos
de segu idad.
Asegu a la in eg idad del so wa e.
Re isa los pe misos de las aplicaciones (como las
de los wea ables y sma phones).
Segmen a la ed pa a ene mayo con ol de lo que
sucede y aisla las zonas más sensibles.
Asegu a se de que los da os pe sonales sean
segu os.
Hace que el sis ema sea esilien e a los co es.
U iliza Fi ewalls que obs aculicen el á ico
sospechoso y hagan seguimien o de e en os.
Con ola el acceso a disposi i os.
Hace que los usua ios puedan elimina sus da os
ácilmen e.
Hace que la ins alación y man enimien o de los
disposi i os sea sencilla.
Implemen a mé odos de análisis de iesgos pa a
es ima la segu idad del en o no IoT.
Tene medios pa a gene a epo s de las
ulne abilidades.
Hace audi o ías de segu idad pe iódicamen e pa a
sabe el es ado de odos los disposi i os en é minos
de p o ección, con ol y medidas de segu idad.
Apa e del es ánda mencionado an e io men e, exis e
el NISTIR 8259 (del depa amen o de come cio de los
es ados unidos) [9] el cual se cen a más en da
ecomendaciones a los ab ican es pa a secu iza sus
disposi i os. El es ánda o ece seis consejos pa a mejo a
la segu idad de los disposi i os, cua o de ellos se deben
ealiza an es de lanza el p oduc o al me cado, y los dos
es an es se aplican una ez ya se ha pues o el p oduc o en
en a.
El abajo p esen ado en es e documen o u iliza las
ecomendaciones de “Implemen a mé odos de análisis de
iesgos” y “Hace audi o ías de segu idad
pe iódicamen e” y p opone un sis ema que calcula el
iesgo de segu idad de un en o no IoT de mane a
au omá ica. En la Sección II, se p esen a el sis ema y se
de inen los di e en es bloques uncionales que lo
con o man. En la Sección III, se explica la implemen ación
del p ime o de los bloques uncionales, “In en a io del
sis ema y ni el de segu idad in ínseco”, de allando su
diseño, los cálculos, la implemen ación de código y los
esul ados ob enidos sob e el en o no de es eo. En la
Sección IV se mues an las conclusiones del abajo
ealizado y, inalmen e, la Sección V de alla las líneas
u u as que se han obse ado una ez ealizada la
implemen ación del p ime bloque uncional del sis ema.
II. C
ÁLCULO DE RIESGOS EN ENTORNOS
I
O
T
El obje i o del sis ema que se p opone es p opo ciona
el cálculo de iesgo de un en o no IoT. El sis ema es á
compues o po los bloques mos ados en la Fig. 1.
Fig. 1. Sis ema pa a el cálculo de iesgo de un en o no IoT
246
Ac asdelasXVJo nadas
deIngenie íaTelemá ica
(JITEL2021),
ACo uña(España),
27‐29deoc ub ede2021.
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
In en a io del Sis ema y Ni el de segu idad
in ínseco. In en a io de disposi i os (HW), SW,
ecnologías de comunicaciones u ilizadas, e c. P opo ciona
un alo que da á una idea del ni el de segu idad in ínseco
del sis ema según las ulne abilidades que engan los
disposi i os. Debe ac ualiza se au omá icamen e al añadi
un disposi i o pa a pe mi i ac ualiza el cálculo del iesgo
o al.
Ba e ía de p uebas. Conjun o de es s ealizados al
en o no IoT pa a de e mina la exis encia de cie as
amenazas y pode a ina el cálculo de iesgo. Las
ulne abilidades encon adas en el bloque an e io
alimen an es e segundo bloque.
Co elación de Logs. De disposi i os IoT, Ga eway
IoT, PCs, Sma phone/Table , disposi i os de ed,
disposi i os de segu idad de ed, e c. P opo ciona
in o mación del es ado del sis ema y pe mi e de ec a
posibles amenazas y comp oba las.
Riesgo del sis ema. Median e la in o mación ecogida
de los es bloques an e io es, se gene a un cálculo de
iesgo del sis ema.
Finalmen e, y como se ap ecia en la Fig. 1, del bloque
“Riesgo del sis ema” salen Ale as y Acciones de
P o ección. Es a uncionalidad se p opone como
implemen ación a la go plazo con el obje i o de consegui
un sis ema de p edicción emp ana, que sea capaz de
ap ende del en o no de mane a au omá ica y au o-
p o ege se, gene ando e ins alando au omá icamen e
eglas en los i ewalls o ejecu ando las acciones necesa ias
de e minadas p e iamen e con odo el p oceso de análisis
y cálculo del iesgo.
Pa a pode hace en e a es e g an e o, es necesa io i
esol iendo cada uno de los bloques po sepa ado,
con i iendo el sis ema en pequeños subsis emas que
pos e io men e se enlaza án. Y, además, se á necesa ia la
au oma ización de las a eas pa a que odo el conjun o sea
iable.
Es e documen o de alla una p ime a ap oximación de
la implemen ación del bloque “In en a io del Sis ema y
Ni el de segu idad in ínseco”.
III. I
MPLEMENTACIÓN DEL BLOQUE
“I
NVENTARIO DEL
S
IS-
TEMA Y
N
IVEL DE
S
EGURIDAD
I
NTRÍNSECO
”.
El obje i o de au oma iza las a eas que se ealizan en
un análisis de iesgos es el de mejo a y op imiza es os
p ocesos. Es ob io que es e p oceso au oma izado siemp e
debe es a supe isado po una pe sona po si se da el caso
de que el esul ado no es del odo iable o algún
p ocedimien o no se ha hecho co ec amen e. Pe o el
hecho de que es é au oma izado pe mi e un aho o
signi ica i o de los ecu sos de una emp esa, y, además,
consigue el esul ado inal con mucho menos iempo que
si se hicie a manualmen e.
La di e enciación que p esen a es e p oyec o espec o
a los análisis de iesgos con encionales, apa e de la
au oma ización, es que se ealiza sob e un en o no IoT y
no sob e una ed con encional.
Hay que deci que el p ocedimien o a segui es bas an e
pa ecido al de un análisis de iesgos con encional, pe o se
deben ene en cuen a cie os pa áme os y p ocedimien os
que, po el simple hecho de se un en o no IoT, pueden
cambia conside ablemen e. Un ejemplo de ello pod ía se
el núme o de disposi i os que o man la ed, el cual se
puede dispa a conside ablemen e en un en o no IoT y,
consecuen emen e, ambién se puede dispa a el olumen
de á ico que ci cula po la ed. Además, se debe ene en
cuen a que muchos de es os disposi i os pueden se
senso es o pequeños mic op ocesado es, los cuales no
end án sis emas de segu idad a anzados como los que
puede ene un o denado o los se ido es.
A. Fo ma o y es ilo
El abajo se ha di idido en cua o g andes bloques.
Con el in de au oma iza es os cua o bloques y que
uncionen conjun amen e, se ha esc i o un sc ip en
Py hon, el cual sólo hay que ejecu a y él solo se enca ga á
de ejecu a los cua o bloques y mos a los esul ados
ob enidos.
El esul ado que se quie e consegui median e es e
sc ip es ob ene un alo cuan i icado de la segu idad de
la ed. Es e alo se á mos ado en una escala del 1 al 10,
donde 10 es el más c í ico, y se i á pa a hace nos una idea
del iesgo exis en e en nues a ed o en o no IoT.
Pos e io men e, es e alo se ía u ilizado en el sis ema
p esen ado en la Fig. 1 pa a ob ene el alo de iesgo del
sis ema.
En la Fig. 2, se mues a un diag ama de bloques que
ep esen a el uncionamien o del sc ip que implemen a el
bloque “In en a io del Sis ema y Ni el de Segu idad
In ínseco”.
Fig. 2. Diag ama de bloques del sc ip
In en a io de la ed. El p ime bloque consis e en
hace un escaneo de oda la ed, con el in de sabe qué
disposi i os es án conec ados y sus ca ac e ís icas.
Además, a la ez que se descub en los disposi i os,
ambién se escanean las posibles ulne abilidades que
puedan ene .
Consul as a la API de ulne abilidades. Aho a que
ya enemos la in o mación imp escindible pa a cada
disposi i o, oca busca más in o mación sob e cada
ulne abilidad, haciendo consul as a una API. Buscamos
el ec o asociado a cada ulne abilidad con el que amos
a calcula el iesgo que p esen a.
Aplica pa áme os IoT. Es e bloque es de los más
impo an es ya que es el que se enca ga de ene en cuen a
el hecho de que es una ed IoT y no una con encional. Se
modi ica el ec o ob enido en el bloque an e io , y se
añaden cie os pa áme os que en una ed con encional no
se end ían en cuen a, pe o en un en o no IoT es
imp escindible con a con ellos.
247
Saline o, Sánchez, Co al, 2021.
Cálculo del a ing inal. Po úl imo, una ez enemos
los ec o es nue os adap ados al en o no IoT, oca hace
los cálculos pe inen es pa a pasa de ec o a un alo
comp endido en e el 1 y el 10. De es a o ma, después de
ealiza odos los cálculos pa a odas las ulne abilidades,
sólo se end á que hace la media de es os alo es y se
ob end á el Sco e o Ra ing inal del en o no IoT.
B. In en a io de la ed
El sc ip implemen ado es á pensado pa a ejecu a se en
un en o no Linux, que con enga el so wa e Nmap [10], ya
que el sc ip lo usa. En es e abajo se ha usado Kali Linux
que ya lle a inco po adas odas las he amien as
necesa ias.
Se usa Nmap po qué es una he amien a muy po en e
cuando se a a de escanea edes, además cuen a con la
en aja de que es Open Sou ce.
G acias a que pe mi e el uso de sc ip s, se pueden
inc emen a en g an medida las capacidades de es a
he amien a, y podemos consegui que, apa e de escanea
los pue os abie os de un disposi i o y a e igua su
sis ema ope a i o, con el uso de los sc ip s podemos llega
a escanea las ulne abilidades. Pa a ello se ha hecho uso
de un sc ip llamado nmap- ulne s [11].
Exis en o as he amien as más po en es pa a de ec a
ulne abilidades como iene siendo el caso de Nessus
[12], pe o el incon enien e que p esen a es que sólo se
puede usa con una in e az de usua io y no po CLI
(Command Line In e ace), apa e de que es una
he amien a de pago.
En onces, si el obje i o del p oyec o es au oma iza
odo es e p oceso, una he amien a que se con ola po CLI
es mucho más ácil de sc ip a que una he amien a basada
en una GUI (G aphical Use In e ace).
La ins ucción u ilizada pa a gene a el in en a io y
encon a las ulne abilidades de odos los disposi i os es
la siguien e:
nmap −−sc ip nmap− ulne s −sV −O −oX
ou pu .xml 10.14.1.0/24
Como se puede e an e io men e, la ins ucción hace
uso de cua o modi icado es di e en es. El p ime o es el --
sc ip que indica al Nmap que se quie e u iliza el sc ip
nmap- ulne s, el cual se á el enca gado de mos a nos oda
la in o mación elacionada con las ulne abilidades de
cada disposi i o.
El segundo modi icado es el -sV que se u iliza pa a
de e mina la e sión y el se icio de cada pue o. Po
ejemplo, si el pue o se a a de un Apache o cualquie o o
se icio, indicando en la mayo ía de los casos su e sión.
El e ce modi icado es el -O que si e pa a habili a
el escaneo de Sis ema Ope a i o, es deci , nos di á si el
disposi i o en cues ión se a a de un Windows, un Linux,
e c.
Finalmen e, el cua o modi icado , el -oX, simplemen e
si e pa a acili a el a amien o de los da os en el
siguien e bloque. Lo que hace es pa sea la salida del
Nmap en o ma o XML y gua da es a salida en un iche o
especí ico.
Y pa a e mina enemos que in oduci la ed dónde
que emos lanza el escaneo del Nmap.
Pa a p ocesa la in o mación que nos de uel e la
ins ucción en o ma o XML, p ime o se ha cogido el
a chi o y median e el uso de una lib e ía que pe mi e
con e i el o ma o XML del iche o a dicciona io, se ha
con e ido el con enido a o ma o dicciona io. Es a lib e ía
se llama xml odic . T abaja con in o mación en o ma o
dicciona io en Py hon es mucho más sencillo que a a de
lee y accede a los da os de un a chi o XML.
La salida del Nmap en o ma o XML ha di icul ado el
a amien o de la in o mación ya que, dependiendo del hos
no siemp e se accede de la misma mane a al CVE de una
ulne abilidad.
Pa a almacena oda la in o mación ob enida median e
el escaneo, se han c eado dos es uc u as de da os en
Py hon.
El p ime ipo es el que se ha llamado Hos que, como
se puede e a con inuación (Código 1), iene es campos:
el de la di ección IP, el del sis ema ope a i o y el de las
ulne abilidades.
Código 1: Clase Hos
En cuan o a la segunda clase o es uc u a de da os
(Código 2), és a iene la unción de almacena oda la
in o mación elacionada con las ulne abilidades y que es
necesa ia pa a hace los cálculos del alo en e 1 y 10 del
pelig o de la ulne abilidad. A con inuación, se puede e
la clase c eada pa a almacena las ulne abilidades.
Código 2: Clase Vuln
En es e bloque del sc ip sólo se llena án los dos
p ime os campos de las ulne abilidades, ya que los demás
se llena án en los p óximos bloques. P ime o encon amos
el campo del CVE, y después enemos el Sco e que es el
alo en e 1 y 10 de la ulne abilidad.
Una ez enemos gua dada oda la in o mación
necesa ia, mi amos ulne abilidad po ulne abilidad si
hay alguna donde no haya gua dado el CVE po que el
escaneo no lo ha podido encon a , y si se da el caso,
bo amos esa ulne abilidad.
C. Consul as a la API de ulne abilidades
Pa a ob ene más in o mación ace ca de una
ulne abilidad, lo que se ha hecho ha sido u iliza una API
que p opo cionaba la o ganización NIST [13].
Con el in de ob ene in o mación a a és de la
pe ición, sólo debe hace se un simple GET. Po lo an o,
po cada pe ición se o ma una URL, se hace un GET sob e
és a, y una ez nos hemos asegu ado de que no ha de uel o
ningún e o median e el S a us Code, se ans o ma el
esul ado del GET en o ma o JSON. Un ejemplo de una
pe ición es el siguien e:
248
Ac asdelasXVJo nadas
deIngenie íaTelemá ica
(JITEL2021),
ACo uña(España),
27‐29deoc ub ede2021.
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
h ps://se ices.n d.nis .go / es /json/c e/1.0/CVE-2020-
15778
Pa a medi el ni el de pelig osidad que iene una
ulne abilidad, se u iliza un sis ema de pun uación que
mide di e en es aspec os de és a llamados mé icas. La
en idad esponsable de lle a a cabo es e sis ema de
pun uación se llama FIRST (Fo um o Inciden Response
and Secu i y Teams) [14]. Y el sis ema que ienen pa a
pun ua las ulne abilidades se llama CVSS (Common
Vulne abili y Sco ing Sys em) [15].
En es e p oyec o se calcula á el a ing inal y se
aplica án los pa áme os IoT sob e la e sión CVSS 2.0.
Desa o unadamen e, la API que se u iliza pa a ob ene el
ec o de cada ulne abilidad siemp e de uel e el ec o
de es a e sión y, en muy pocos casos, de uel e el ec o
de la e sión CVSS 3.0.
De odos modos, el código se ha adap ado pa a que,
cambiando sólo un pa áme o, pueda abaja con la
e sión CVSS 3.0 (o su ac ualización 3.1). Po que si en un
u u o es a API de uel e ambién los ec o es de ambas
e siones, el a ing inal se pueda ob ene a pa i de la
e sión CVSS 3.0 (o 3.1).
D. Aplica pa áme os IoT
An es de aplica los pa áme os IoT, es necesa io
en ende en qué consis e un ec o CVSS.
El CVSS se compone de es g upos de mé icas
di e en es; la Base, la Tempo al y la Medioambien al
(siendo las dos úl imas opcionales pa a el cálculo mien as
que la p ime a siemp e es obliga o ia).
Base Me ic G oup. Rep esen a las ca ac e ís icas
in ínsecas y undamen ales de una ulne abilidad, que son
cons an es a lo la go del iempo e independien es de los
en o nos y usua ios. En la Tabla 1 se mues a un esumen
con las mé icas del ec o Base y sus co espondien es
alo es.
Tabla 1: Mé icas CVSS 2.0
Tempo al Me ic G oup. Rep esen a las
ca ac e ís icas de una ulne abilidad que cambia a lo la go
del iempo, pe o que no depende de los usua ios.
En i onmen al Me ic G oup. Rep esen a las
ca ac e ís icas de una ulne abilidad que cambia
dependiendo de los usua ios.
Como el g upo empo al y medioambien al no son
obliga o ios pa a calcula el esul ado inal, no se han
enido en cuen a. Pe o no sólo po es e mo i o, sino po que
la API que se u iliza pa a ob ene es a in o mación, sólo
de uel e los ec o es del g upo Base.
A con inuación, se mues an las ó mulas pa a calcula
el a ing de una ulne abilidad. Es as ó mulas es án
sacadas di ec amen e de la web de FIRST.
BaseSco e  oundToOneDecimal󰇛󰇛󰇛0.6
∗Impac 󰇜󰇛0.4
∗Exploi abili
y
󰇜1.5󰇜
∗ 󰇛Impac 󰇜󰇜
(1)
Impac  10.41 ∗ 󰇛1  󰇛1  Con Impac 󰇜 ∗ 󰇛1
In egImpac 󰇜∗󰇛1
 A ailImpac 󰇜󰇜
(2)
Exploi abili
y
20 ∗ AccessVec o
∗AccessComplexi
y
∗Au hen ica ion
(3)
󰇛impac 󰇜 0 si Impac  0,
sino 󰇛impac 󰇜1.176
(4)
Pa a hace los cálculos con el CVSS 3.1, nos basamos
en la Tabla 2, la cual mues a di e encias con la abla de la
e sión CVSS 2.0 (Tabla 1).
Tabla 2: Mé icas CVSS 3.1
249

Saline o, Sánchez, Co al, 2021.
Las ó mulas que se usan pa a calcula el a ing de una
ulne abilidad en la e sión CVSS 3.0 son las siguien es:
Si Impac  0 ,B aseSco e  0 (5)
Si Scope no cambia (Unchanged):
BaseSco e
 RoundToOneDecimal󰇛Minim󰇟󰇛Impac
Exploi abili
y
󰇜,10󰇠 (6)
Si cambia:
BaseSco e
RoundToOneDecimal󰇛Minim󰇟1.08
∗󰇛Impac Exploi abili
y
󰇜,10󰇠 (7)
Pa a calcula la Exploi abili y:
Exploi abili
y
8.22 ∗ A ackVec o
∗A ackComplexi
y
∗ P i ilegesRequi ed
∗Use In e ac ion
(8)
Finalmen e, pa a el Impac , si Scope no cambia
(Unchanged):
Impac 6.42 ∗ISS (9)
Si cambia:
Impac 7.52 ∗ 󰇛ISS0.029󰇜3.25
∗󰇛ISS  0.02󰇜
dónde
ISS 1󰇟󰇛1Con iden iali y󰇜∗󰇛1
In eg i
y
󰇜∗󰇛1
A ailabili
y
󰇜󰇠
(10)
Pa a adap a es os cálculos a un en o no IoT, se u iliza
la in o mación de [16] dónde se explica qué cambios son
necesa ios pa a que el esul ado es é adap ado a un en o no
IoT. Se puede in eg a muy ácilmen e al p oyec o ya que
sólo se modi ican pesos de las mé icas y se añade un
pa áme o llamado Human Sa e y Index. A con inuación,
se explican con de alle es os cambios.
Cambio en los alo es del ec o AV. Se p opone
añadi dos alo es nue os en ocados a un en o no IoT, es
deci , se man end á el alo L y se añadi á el alo Li con
una mé ica de 0.6. Y pa a el alo P, se añadi á el alo Pi
con una mé ica de 0.44. Es as mé icas son lige amen e
más al as ya que es más ácil accede ísicamen e a los
disposi i os IoT.
Cambio en los alo es del ec o AC. En es e caso se
añade un alo nue o M con una mé ica de 0.44 y de la
misma mane a que en el caso an e io , apa e del alo H,
se añade un alo Hi con una mé ica de 0.2. Como se
equie e más complejidad pa a lle a a cabo un a aque a
los disposi i os IoT, se les asigna unas mé icas
lige amen e in e io es en compa ación a las mé icas
de inidas pa a disposi i os con encionales.
Human Sa e y Index. Se añade al g upo Base y
En i onmen al y mide el ni el de segu idad pa a los
humanos, ya que si, po ejemplo, enemos maquina ia
conec ada a In e ne en una áb ica, un a aque a es as
máquinas pod ía p o oca daños humanos que se deben
ene en cuen a de ca a al esul ado inal.
Las ó mulas siguen siendo las mismas que an es, pe o
con los nue os alo es de las mé icas y añadiendo el
Human Sa e y Index al cálculo del Impac . Es impo an e
ema ca que el alo del Human Sa e y Index en caso de
se 0 no a ec a a los cálculos, ya que como se puede e en
la siguien e ó mula, el alo sólo es á pa a da le más
p ecisión a los cálculos en caso de se di e en e a 0.
ISS 1󰇟󰇛1Con iden iali
y
󰇜∗󰇛1
In eg i
y
󰇜
∗󰇛1A ailabili
y
󰇜∗󰇛1
HSI󰇜󰇠
(11)
Pa a que odo el p oceso se en ienda mejo , se mues a
el cálculo pa a un en o no con encional y un en o no IoT
eniendo en cuen a una misma ulne abilidad.
Se u iliza como ejemplo la ulne abilidad CVE-2020-
15778. Empezamos lis ando el ec o en un en o no
con encional y en un en o no IoT.
Vec o : AV:N/AC:M/Au:N/C:P/I:P/A:P
Vec o IoT: AV:N/AC:Mi/Au:N/C:P/I:P/A:P/Hi:Ni
El cálculo en un en o no con encional se ía:
Impac  10.41 ∗1  󰇛10.275󰇜∗󰇛1
0.275󰇜∗󰇛10.275󰇜6.44 (12)
Exploi abili
y
 20∗1 ∗ 0.61 ∗ 0.7048.58
(13)
󰇛impac 󰇜 0 si Impac  0,
sino
󰇛impac 󰇜 1.176 (14)
BaseSco e  oundToOneDecimal󰇡󰇛0.6
∗6.44󰇜󰇛0.4∗8.58󰇜1.5
∗1.176󰇢 𝟔.𝟖 (15)
En cambio, pa a un en o no IoT end íamos:
Impac  10.41 ∗1  󰇛10.275󰇜
∗󰇛10.275󰇜∗󰇛10.275󰇜
∗󰇛10󰇜 6.44 (16)
Exploi abili
y
 20∗0.85 ∗ 0.44 ∗0.704
5.27 (17)
󰇛impac 󰇜 0 si Impac  0,
sino
󰇛impac 󰇜 1.176 (18)
250
Ac asdelasXVJo nadas
deIngenie íaTelemá ica
(JITEL2021),
ACo uña(España),
27‐29deoc ub ede2021.
This wo k is licensed unde a C ea i e Commons 4.0 In e na ional License (CC BY-NC-ND 4.0)
BaseSco e  oundToOneDecimal󰇡󰇛0.6
∗6.44󰇜󰇛0.4∗5.27󰇜1.5
∗1.176󰇢 𝟓.𝟐 (19)
E. Cálculo del a ing inal
Pa a calcula el a ing inal de la ed, se hace la media
a i mé ica de los sco es de odas las ulne abilidades de
odos los disposi i os.
Además, el sc ip hace la media an o en un en o no IoT
como en uno con encional pa a pode compa a los
esul ados. La ó mula u ilizada en es e caso es la
siguien e:
Sco eRoundToOneDecimal󰇛  𝑛𝑢𝑚𝑉𝑢𝑙𝑛

𝑖


󰇜
(20)
Es e mé odo no es del odo p eciso ya que no odos los
disposi i os de la ed ienen la misma impo ancia. Po
ejemplo, no es lo mismo una ulne abilidad en el ou e
que es á en e In e ne y la ed in e na, que una
ulne abilidad en una bombilla in eligen e.
En es e p oyec o se ha hecho una ap oximación de es e
iesgo inal, ya que no se ha implemen ado ningún sis ema
de pesos que pueda da más impo ancia a cie as
ulne abilidades dependiendo de en qué disposi i o se
encuen en.
F. Resul ados
El sc ip se ha lanzado en una ed de labo a o io
disponible en la p opia uni e sidad con di e en es
disposi i os los cuales ienen a ias ulne abilidades. Los
esul ados se esumen en la Tabla 3 y Tabla 4.
Tabla 3: Resul ados ob enidos po hos
Tabla 4: Resul ados o ales
Pa a ene una ep esen ación más isual, se han
gene ado unas g á icas del esul ado ob enido. En la Fig.
3 se mues a la compa a i a del alo medio del sco e an o
en un en o no con encional como en uno IoT pa a las
di e en es ulne abilidades de cada hos . Se puede ap ecia
que, excep uando el hos 9, 10 y 14, el sc ip ha de ec ado
ulne abilidades. En colo azul el sco e medio que end ían
las ulne abilidades si el hos es u ie a en un en o no
con encional, y en colo e de si es u ie a en un en o no
IoT.
Fig. 3. Compa a i a de las ulne abilidades en ambos en o nos
La siguien e g á ica, Fig. 4, mues a la media del sco e
de odas las ulne abilidades de odos los hos s, es deci , a
pa i del alo medio de cada hos se ha ob enido un sco e
inal, el cual en colo azul se ía de un en o no con encional
y en colo e de de un en o no IoT.
Fig. 4. Sco e inal de la ed
Además de es as g á icas, el p opio sc ip gene a un
epo con in o mación más de allada de cada
ulne abilidad y de cada disposi i o.
IV. C
ONCLUSIONES
Después de habe desa ollado la au oma ización de un
análisis de iesgos en un en o no IoT, se ha is o la u ilidad
de los mé odos que se u ilizan pa a calcula la se e idad de
251
Saline o, Sánchez, Co al, 2021.
las ulne abilidades con elación a o as, ya que g acias a
es os cálculos uno se puede hace una idea del iesgo ac ual
de su ed o disposi i o. En es e p oyec o se acabó
u ilizando la me odología CVSS ya que es la más conocida
y es anda izada ac ualmen e.
Los esul ados han so p endido un poco, ya que el
esul ado ob enido de la misma ulne abilidad en un
en o no IoT, gene almen e ha sido más bajo que el
esul ado ob enido en una ed con encional. Es o se debe
a que después de aplica los pa áme os especí icos pa a
en o nos IoT, se ob enía un ec o mucho más p eciso en
cuan o a la se e idad de la ulne abilidad, haciendo que,
con es e aumen o de p ecisión, el esul ado a ia á
espec o al alo inicial.
Es os pa áme os son el A ack Vec o (AV), el A ack
Complexi y (AC) y el Human Sa e y Index. Se han
modi icado especí icamen e pa a sa is ace equisi os del
IoT que en el CVSS o iginal no se ienen en cuen a.
Al analiza los esul ados ob enidos emos que ienen
su lógica. Es o se debe a cómo se han aplicado los pesos
de cada ec o , es deci , el hecho de habe los aplicado de
mane a es á ica, hace que se a en odas las
ulne abilidades po igual, po lo an o, no se di e encia
en e si una ulne abilidad puede a ec a más po el simple
hecho de se un en o no IoT o no.
Todas las ulne abilidades se compo an di e en e, y
sob e odo si el en o no cambia, de modo que aplica
alo es es á icos no es del odo p eciso. Según la
in o mación ex aída de [16], al alo de Human Sa e y
como no iene ninguna e e encia p e ia en el ec o
o iginal y es un campo que se añade nue o, se le asigna el
alo de 0 pa a odas las ulne abilidades (pa a que no
a ec e al cálculo inal). En cambio, al a ia el alo del
AV y AC, emos como el esul ado inal es dis in o,
haciendo que sea más bajo.
V. LÍNEAS DE FUTURO
A con inuación, se lis a án las líneas de u u o o
mejo as que se pueden aplica a es a p ime a ap oximación
del bloque desc i o.
Usa CVSS 3.0 en ez de CVSS 2.0.
Asigna los pesos de o ma dinámica. Realiza la
asignación de más o menos peso dependiendo de la
ulne abilidad.
Asigna el Human Sa e y Index de mane a
dinámica, asignando un alo dis in o dependiendo
del ipo de disposi i o y su c i icidad. Pa a ello se
pod ía gene a una abla de alo es dónde se
clasi ica ían los disposi i os IoT po ipo,
uncionalidad o c i icidad.
Calcula la media inal eniendo en cuen a la
c i icidad de un disposi i o en una ed, po ejemplo,
da más impo ancia a las ulne abilidades de un
ou e que las ulne abilidades de un senso
cualquie a.
Pa a e mina , se pod ía gene a un in o me con
más de alles de cada ulne abilidad y disposi i o.
Po o o lado, eco da que los p óximos pasos
deben con empla la implemen ación de los o os
bloques que componen el sis ema desc i o en la Fig. 1.
REFERENCIAS
[1] Sánchez, J., Co al, G., de Pozuelo, R. M., & Zaballos, A. (2016).
Secu i y issues and h ea s ha may a ec he hyb id cloud o
FINESCE. Ne w. P o oc. Algo i hms, 8(1), 26-57.
[2] SPRINT 4.0 P ojec , 2020, [Online] “h ps://www.sp in 40.eu/
[3] Zaballos, A., B iones, A., Massa, A., Cen elles, P., & Caballe o,
V. (2020). A sma campus’ digi al win o sus ainable com o
moni o ing. Sus ainabili y, 12(21), 9196.
[4] PublicaTIC, “Con oles y audi o ía del IoO,” 2019, [Online]
h ps://blogs.deus o.es/mas e -in o ma ica/con oles-y-audi o ia-
del-io /
[5] INCIBE, “La impo ancia de la segu idad en io . p incipales
amenazas,” 2019, [Online] h ps://www.incibe-
ce .es/blog/impo ancia-segu idad-io -p incipales-amenazas
[6] OWASP, “Top 10 web applica ion secu i y isks,” 2019, [Online]
h ps://owasp.o g/www-p ojec - op- en/
[7] ETSI, “ETSI EN 303 645: Cybe Secu i y o Cunsome In e ne
o Things: Baseline Requie emen s,” 2020, [Online]
h ps://www.e si.o g/deli e /e si_en/303600_303699/303645/02.0
1.01_60/en_303645 020101p.pd
[8] C. O e o, “Cómo con igu a con más segu idad us disposi i os
IoT y ed case a,” 2019, [Online]
h ps://as.com/me is a ion/2019/09/06/be ech/1567723080_55008
7.h ml
[9] NIST, “NISTIR 8259: Founda ional Cybe secu i y Ac i i ies o
IoT De ice Manu ac u e s” 2021, [Online]
h ps://n lpubs.nis .go /nis pubs/i /2020/NIST.IR.8259.pd
[10] G. Lyon, “Nmap.o g,” 2020, [Online] h ps://insecu e.o g/ yodo /
[11] TOKYONEON, “Easily de ec c es wi h nmap sc ip s,” 2019,
[Online] h ps://null-by e.wonde how o.com/how- o/ easily-
de ec -c es-wi h-nmap-sc ip s-0181925/
[12] Tenable, “Nessus es la solución n.° 1 pa a e aluaciones de
ulne abilidades,” 2020, [Online] h ps://es-la. enable.com/
p oduc s/Nessus
[13] B. Bye s and H. Owen, “Au oma ion suppo o c e e ie al,”
2019, [Online] h ps://cs c.nis .go /CSRC/media/P ojec s/
Na ional-Vulne abili y-
Da abase/documen s/web%20se ice%20documen a ion/
Au oma ion%20Suppo %20 o %20CVE%20Re ie al.pd
[14] FIRST, “Fi s is he global o um o inciden esponse and
secu i y eams,” 2020, [Online] h ps://www. i s .o g/
[15] FIRST., “Common ulne abili y sco ing sys em e sion 3.1:
Speci ica ion documen ,” 2019, [Online]
h ps://www. i s .o g/c ss/speci ica ion-documen 
[16] A. U -Rehman, I. Gondal, J. Kam uzzaman, and A. Jol aei,
“Vulne abili y modelling o hyb id i sys ems.” in ICIT, 2019,
pp. 1186–1191.
252