SlideShare a Scribd company logo

Sicurezza nei servizi IoT

Massimiliano Brolli
Massimiliano Brolli

Descrive le metodologie e il cambio di paradigma all'approccio delle verifiche di sicurezza su infrastrutture complesse come gi servizi / ecosistemi IoT.

Internet
1 of 21
Download to read offline
Sicurezza nei servizi IoT Di Massimiliano Brolli
Sicurezza sui terminali IoT Indice del documento – Premessa – Trend e Diffusione – Evoluzione sistemi ICT – Minacce sui sistemi di terza generazione – Dai giornali – Nuovo approccio alla Cyber Security – Aumento complessità Applicativa – Cambio metodologico alla sicurezza – Cambio di Paradigma – Ecosystem Security Oriented – Metodologia di verifica – Top 10 Owasp IoT Vulnerability – Malware su IoT – Approccio alle verifiche IoT – Metodologia di verifica – Pattern Tecniche e strumenti di verifica – Processo di gestione dei Security Assessment – Allegati
Sicurezza sui terminali IoT Premessa  IoT è un neologismo riferito all'estensione di Internet al mondo degli oggetti e dei luoghi concreti. Introdotto da Kevin Ashton, cofondatore e direttore esecutivo di Auto-ID Center (consorzio di ricerca con sede al MIT), durante una presentazione presso Procter & Gamble nel 1999.  E’ stata avviata lo scorso 2016 dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN di cui fa parte anche il Garante italiano) una analisi su 300 device IoT. Più del 60 per cento non ha superato l’esame dei Garanti privacy di 26 Paesi riscontrando gravi carenze nella tutela della privacy degli utenti.  Anche se il mondo IoT ad oggi risulta in pieno fermento gli aspetti sulla sicurezza ancora non sono maturi pertanto è necessario del tempo affinchè in un mondo così complesso vengano realizzati interventi efficaci di Cyber Security.  Innumerevoli sono le applicazioni come oggetti indossabili (wearable), oggetti in casa controllati da uno smartphone (gestione automatica degli impianti di illuminazione, climatizzazione, irrigazione, gestione degli elettrodomestici o dei sistemi di videosorveglianza e sicurezza e domotica in generale), contatori intelligenti (per la gestione dei consumi o l’ottimizzazione della distribuzione).
Sicurezza sui terminali IoT Trend e Diffusione IoT L‘internet delle cose è in forte espansione e a livello di sicurezza occorre un approccio metodologico differente rispetto alle classiche infrastrutture IT che coniughi delle verifiche Software a verifiche Fisiche di sicurezza sull’hardware dei terminali messi in rete e sui protocolli di comunicazione wireless. 2020 44 Bilion 2015 2010 2012 1,2 Bilion 2,8 Bilion 8,5 Bilion In una logica di Smart City dove un ecosistema di sensori registra, processa e immagazzina dati localmente o interagendo tra loro sia in medio che a lungo raggio mediante l’utilizzo di tecnologie a radio frequenza (per es. RFID, bluetooth etc.), vede la luce la Network IoT dove (dato dalla peculiarità dell’ecosistema) i rischi informatici possono essere alti se non correttamente gestiti. IoT Trend Diffusion Smart City Trend Diffusion 0% 20% 40% 60% 80% 100% 20-40 mila abitanti 40-80 mila abitanti > 100 mila abitanti Almeno un progetto su IoT Nessun progetto Smart City
Sicurezza sui terminali IoT I sistemi nel tempo si sono evoluti passando da tecnologie Mainframe a Client-server fino ad abbracciare infrastrutture / ecosistemi distribuiti Multi- device. La Terza Piattaforma è un nuovo paradigma tecnologico, costituito da un ecosistema di risorse e applicazioni, utenti, in vario modo integrati, che includono servizi cloud, infrastrutture mobili, Big Data e social media. I Dati diventano sempre più uno snodo cruciale, così come gli Utenti. Evoluzione Sistemi ICT 2nd Platform Architetture Client Server 100M di Utenti 100k Applicazioni Aumento degli Utenti connessi, oggetti e Applicazioni che interagiscono e scambiano dati continuamente (circa 5,2 GB/g per ogni persona) 1nd Platform 1M di Utenti 1k Applicazioni Architetture Mainframe 20/25 anni 20/25 anni 3nd Platform 1B di Utenti 1M di Applicazioni Trilionidicose Mobile Cloud IoTRealtà aumentata Machine learning Big Data Architetture Distribuite
Sicurezza sui terminali IoT Cyber Warfare Tipologia di attacchi mirati a creare danni sui sistemi e reti in altri stati, ottenere informazioni privilegiate (e.g.: Spionaggio, Spegnimento Power Grids). IoT DDoS Attacco finalizzato ad utilizzare più dispositivi IOT per attacchi distribuiti di tipo DoS (e.g.: Mirai Botnets) Cyber Crimes Attacchi che prevedono guadagni «materiali» come furto di identità, furto di proprietà intellettuale, attività fraudolente Cyber Terrorism Tipologia di attacchi violenti che possono provocare, o comunque minacciare, gravi danni fisici e/o perdite di vita umana, danni finanziari, clima di paura (e.g.: Ramsonware, Phishing) Nuovi Attacchi in ambito 3rd Platform & IoT Service Network User - centered Con l’evoluzione dei sistemi, in ecosistemi complessi in cui sono presenti piattaforme miste comprensive di device IoT si cominciano ad intravedere ed aggiungere nuove forme di minacce che vedono l’utente al centro contornato da ecosistemi complessi utilizzati nella quotidianità
Sicurezza sui terminali IoT Dai Giornali Hacker Can Send Fatal Dose to Hospital Drug Pumps https://www.wired.com/2015/06/hackers-can-send- fatal-doses-hospital-drug-pumps/ Akamai Finds Longtime Security Flaw in 2 Million Devices https://www.wired.com/2016/10/akamai-finds-longtime- security-flaw-2-million-devices/ Hackers Remotely Kill a Jeep on the Highway https://www.wired.com/2015/07/hackers-remotely- kill-jeep-highway/ TalkTalk Hack Data Was Unencrypted. http://www.independent.co.uk/life-style/gadgets-and-tech/news/talktalk- hack-data-was-unencrypted-company-says-leaving-it-open-to-hackers- despite-repeated-cyber-a6705361.html DDOS Botnet Mirai https://www.incapsula.com/blog/malware-analysis-mirai-ddos- botnet.html Alcuni esempi di attacchi informatici sui terminali IoT pubblicati sui giornali.
Sicurezza sui terminali IoT Indice del documento – Premessa – Trend e Diffusione – Evoluzione sistemi ICT – Minacce sui sistemi di terza generazione – Dai giornali – Nuovo approccio alla Cyber Security – Aumento complessità Applicativa – Cambio metodologico alla sicurezza – Cambio di Paradigma – Ecosystem Security Oriented – Metodologia di verifica – Top 10 Owasp IoT Vulnerability – Malware su IoT – Approccio alle verifiche IoT – Metodologia di verifica – Pattern Tecniche e strumenti di verifica – Processo di gestione dei Security Assessment – Allegati
Sicurezza sui terminali IoT Nel corso degli ultimi anni, in Telecom Italia abbiamo assistito ad un aumento vertiginoso della complessità infrastrutturale delle applicazioni e quindi ad un conseguente aumento dell’esposizione al rischio delle piattaforme. Aumento complessità Infrastrutturale 1 2 Classic Infrastructure Application Domain Client 1 1 Hybrid Infrastructure Application Domain Client 2 3 2 Aumento della complessità dei servizi e aumento dell’esposizione al rischio 2nd Platform 3nd Platform 1 Application Domain Client 2 Smart Home Device Ecosystem Infrastructure 3 4 5 3
Sicurezza sui terminali IoT Spostamento del rischio da Data Centric a User Centric e aumento della complessità applicativa Classic Infr Business Data Centric  Health Application  SmartCity & Connected Car  Home Application  Domotic  Industry 4.0 Ecosystem Infr User Centric & Business Data Centric Hybrid Infr Business Data & User Centric Cambio metodologico alla sicurezza  E-commerce  Classic APP Mobile  HR Business Partner  Media Application  Fatturazione  Home Banking  Business Analytics  CRM Approccio Metodologico alla sicurezza Aumento complessità applicativa e cambiamento tipologia di servizi Modello Applicativo Il cambiamento dei servizi offerti ha portato ad un cambiamento della complessità applicativa spostando l’approccio metodologico alla sicurezza da Data Centric ad User Centric
Sicurezza sui terminali IoT Privacy Garantire il diritto alla riservatezza dei dati degli utiizzatori Health Garantire la salute di un individuo (e.g.: Implants, Personal Health System, ecc…) Safety Garantire la sicurezza informatica e fisica di un individuo (e.g.: Gas Detection, Fire Detection, Elevators, Smart Car, ecc…) Trust Garantire la fiducia nei dati nei sistemi di proprietà di un individuo (e.g.: Storage, APP Mobile, Cloud, ecc…) Cambio di Paradigma User Centric & Business Data Centric Da molto tempo il Cyber Risk viene calcolato come perdita del dato a livello di Business ma con l’avvento di nuovi servizi stiamo assistendo ad un cambio di paradigma spostando la visione del rischio più incentrata verso l’utente che non solo a livello di Business Data Centric. Occorre quindi rimodulare il concetto di Rischio non più basato sui concetti di Privacy e Trusted ma anche in termini di Privacy, Safety, Health, Trust, Business e Financial (di seguito PSHTF) come viene riportato in questa slide Financial & Business Garantire la sicurezza ai fini del raggiungimento e mantenimento degli standard di produzione (e.g.: Industria 4.0)
Sicurezza sui terminali IoT Come abbiamo visto, in una logica di Complex Application, viene realizzato un ecosistema complesso di apparati Hardware e software interconnessi che dialogano tra loro. Cambia di conseguenza l’approccio alle verifiche definendo il concetto di ESO (Ecosystem Security Oriented) ovvero non più guardare la sicurezza dei sistemi in ottica verticale ma di servizio. Ecosystem Security Oriented 0 2 4 6 8 10 12 Classic Application Hybrid Application Complex Application Livello di esposizione al rischio Completezza di verifica  La complessità applicativa di scenario (3) porta ad un elevato livello di esposizione al rischio dovuta alla presenza di device, APP Mobile e Client eterogenei in costante comunicazione tra loro.  Di conseguenza mentre il livello di esposizione al rischio di un ecosistema aumenta, La completezza di verifica, utilizzando il vecchio modello risulta inversamente proporzionale per complessità, pervasività e tempistica di azione. Livello di esposizione al rischio e completezza di verifica 1 Application Domain Client 2 Smart Home Device Ecosystem Infrastructure 3 4 53
Sicurezza sui terminali IoT Indice del documento – Premessa – Trend e Diffusione – Evoluzione sistemi ICT – Minacce sui sistemi di terza generazione – Dai giornali – Nuovo approccio alla Cyber Security – Aumento complessità Applicativa – Cambio metodologico alla sicurezza – Cambio di Paradigma – Ecosystem Security Oriented – Metodologia di verifica – Top 10 Owasp IoT Vulnerability – Malware su IoT – Approccio alle verifiche IoT – Metodologia di verifica – Pattern Tecniche e strumenti di verifica – Processo di gestione dei Security Assessment – Allegati
Sicurezza sui terminali IoT Top 10 Owasp IoT Vulnerability Owasp ha rilasciato dal 2014 in poi la classifica delle TOP10 vulnerabilità in ambito IoT che vengono elencate in questa slide Privacy Concerns Troppe informazioni personale collezionate, senza poter scegliere quali escludere; collezionamento dei dati non anonimi. Lack Of Transport Encryption Informazioni sensibili passate in chiaro; SSL/TLS non disponibile o non configurato correttamente; protocolli di encryption proprietari Poor Phisical Security Attacco finalizzato a rendere indisponibile il terminale, o all’accesso al firmware, . Insufficient Authentication & Authorization Password Deboli; modalità di autenticazione non a 2 fattori; meccanismi di recupero delle password insicuri. Insecure web interface Vulnerabilità legate all’interfaccia di amministrazione web del terminale, potenzialmente esposta su Internet. Insecure Cloud Interface Interfacce non progettate in ottica vulnerabilità; password deboli; modalità di autenticazione deboli Insufficient Security Configurability Non disponibili opzioni di encryption; nessuna possibilità di abilitare log di sicurezza; non configurazione password robuste Insecure Firmware/Software Aggiornamenti trasmessi senza encryption e non firmati; Server di aggiornamento non sicuri Insecure Network Services Porte non necessarie aperte; porte esposte su internet via UPnP; servizi vulnerabili ad attacchi DOS Insecure mobile interface Vulnerabilità legate all’interfaccia di amministrazione mobile del terminale, potenzialmente esposta su Internet. Smart Device
Sicurezza sui terminali IoT Smart Device Malware su IoT Di seguito vengono riportati i principali Maleware che affliggono gli Smart Device che di fatto non si differenziano da un sistema Classic IT. Vista la diffusione del Fenomento IoT, questo aspetto denota una importanza strategica che deve essere presa in considerazione nella gestione della sicurezza delle infrastrutture ICT. Worms Diffusione di Worms automaticamente dai device connessi alle Network. Virus Diffusione con un’azione utente Remote Access Accesso diretto ai device tramite software di remotizzazione delle funzionalità Blended Threat Multiple Malware in unico attacco Trojan Diffusione di software apparentemente utili che possono compromettere lo smart device Spyware Diffusione di software di controllo delle attività utente nello smart Device
Sicurezza sui terminali IoT Nel corso degli ultimi anni, abbiamo assistito ad un aumento vertiginoso della complessità applicativa e quindi ad un conseguente aumento dell’esposizione al rischio delle piattaforme. Approccio alle verifiche IoT 1 2 Classic Application Application Domain Client 1 Hybrid Application Application Domain Client 2 3 1 2 1 Application Domain Client 2 Smart Home Device Ecosystem Infrastructure 3 4 5 3 Lo scenario IoT si manifesta tramite «Ecosystem Infrastructure» in quanto i device vengono controllati da APP Mobile e comunicano con infrastrutture di backend, che sempre più spesso sono on Cloud, come mostra lo schema di dettaglio
Sicurezza sui terminali IoT Communication Analisi dei protocolli di comunicazione utilizzati dall’ecosistema (standard e non standard) in particolare utilizzati dai device IoT interconnessi 410% OaM Analisi sui processi di Orchestration dell’ecosistema (Operation, Administration e Maintenance) per valutarne l’esposizione al rischio 3 20% Metodologia di verifica In una logica ESO, l’approccio metodologico all’Assessment cambia in relazione al sistema stesso, ai device interconnessi anche se permangono le 4 direttrici di verifica, modulari, che possono essere sintetizzate come riportato in questa slide Device Analisi dei device utilizzati dell’ecosistema e quindi IoT (Sicurezza Applicativa e Hardware), analisi sulle App Mobile utilizzate dall’ecosistema 230% Infrastructure Analisi dei servizi informativi di erogazione come back end on-premise e Cloud utilizzati dall’ecosistema (Saas, PaaS, ecc…) 1 40% Sulla base dell’ecosistema in analisi, le quattro direttrici possono essere prioritizzate in modo diverso anche in funzione dell’infrastruttura in analisi e dei device interconnessi.
Sicurezza sui terminali IoT Category Device Attività di Analisi Tecniche di analisi Tool di analisi On Premise  Application Security  Scansioni del codice  Vulnerability Assessment  Penetration test Black Box  Assessment White Box On Cloud  Application Security su IaaS  Certificated Security Other Cloud  Su IaaS come «On premise»  Verifiche documentali sugli altri Cloud APP Mobile  App Mobile Security  Scansioni dinamiche del codice  Scansioni statiche del codice  Assessment Backend IoT  Firmware/Software Security  Wireless Security  Hardware Security  Scansioni del codice del device  Vulnerability Assessment  Penetration test Black/White Box OaM  Security Assessment  Log Analysis  Patch Assessment  Assessment White Box SSO EsO PHST B • Privacy • Health • Safety • Trust • Business Pattern Tecniche e strumenti di verifica 1 2 4 3 Di seguito vengono mostrati gli strumenti utilizzabili per una verifica EsO sulla base dell’approccio metodologico dettagliato all’interno della slide precedente
Sicurezza sui terminali IoT IoT Hardware & Device Assessment In ambito IoT oltre alle classiche direttrici di Assessment (Application Security) si introduce una nuova branca di verifica che prende il nome come Hardware Security (Physical Security in letteratura). Tale Assessment permette di valutare la propensione al rischio di un determinato device dal punto di vista fisico anziché logico. Vengono quindi illustrate le principali tecniche di verifica. Surface Assessment Type Attività Firmware Extraction  Attività finalizzata a misurare il grado di difficoltà, per un aggressore con accesso fisico alla tecnologia oggetto di analisi, ad estrarre il firmware del dispositivo ed accedere ai componenti software e dati interni Firmware Component Analysis  Analisi e dissezione dei componenti firmware hardware-related (e.g., kernel driver custom)  Reverse engineering, code review o ulteriori tecniche di tipo black e white-box, allo scopo di identificare vulnerabilità di sicurezza tecniche e logiche di tipo applicativo che interessano le componenti hardware Firmware Tampering  Verifica della possibilità di installazione di Firmware modificato e malevolo sul device Communication Interfaces Assessment  Analisi del traffico di rete su componenti wired  Analisi di protocolli wireless - e.g. Wi-Fi, LoRa, 6lowPAN, Li-Fi  Attacchi Proximity-Based - e.g. NFC, Zigbee, Bluetooth (IEEE 802.15.4) DoS attacks  Attività di verifica sulla negazione del servizio (ad esempio utilizzando Jammer Wi-Fi, abbagliamento telecamere, ecc.) Side-Channel Attacks  Verifica di possibilità di acquisizione di informazioni private o sensibili attraverso l’analisi di fattori fisici dovuti alla computazione - e.g., Power- Consumption, Timing, utilizzo di risorse Device ROM/RAM exfiltration  Attività di verifica della possibilità di estrazione dati privati e sensibili da componenti fisiche del dispositivo Device debugging interfaces  Verifica dell’esistenza ed invio di vettori d’attacco verso le interfacce preposte alle operazioni di debug del dispositivo
Sicurezza sui terminali IoT Sempre di rilevanza strategica rimane la «Security By Design» ovvero quella fase nella quale identificare i requisiti di sicurezza da implementare in maniera nativa e quindi scegliere il giusto device prima della messa in catena. Tale verifica consentirà di scegliere e di sviluppare il servizio sugli apparati a rischio più gestito. Progettazione e rilascio di un nuovo servizio Risk Monitoring & Assessment Service Creation Avvio Progettazione 1 Sviluppo Delivery Operaton 3 4 5 Assessment SSO Remediation 6 7 Verifica SSO di pre esercizio Assessment pre avvio in catena 2 Consente una scelta tra più device prima della messa in catena Processo di gestione dei Security Assessment Service Creation 8
Grazie! 21

Recommended

Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017uninfoit
 
CeM-3 12
CeM-3 12CeM-3 12
CeM-3 12Giuseppe Ieva
 
Cybersecurity nell'industria 4.0
Cybersecurity nell'industria 4.0 Cybersecurity nell'industria 4.0
Cybersecurity nell'industria 4.0 LudovicaCaccaro
 
Cybersecurity 4.0
Cybersecurity 4.0Cybersecurity 4.0
Cybersecurity 4.0Giuseppe Ieva
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
00_IPP_LIGHCYBER OA 09
00_IPP_LIGHCYBER OA 0900_IPP_LIGHCYBER OA 09
00_IPP_LIGHCYBER OA 09Antonio Iannuzzi
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 

Recommended

Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017uninfoit
 
CeM-3 12
CeM-3 12CeM-3 12
CeM-3 12Giuseppe Ieva
 
Cybersecurity nell'industria 4.0
Cybersecurity nell'industria 4.0 Cybersecurity nell'industria 4.0
Cybersecurity nell'industria 4.0 LudovicaCaccaro
 
Cybersecurity 4.0
Cybersecurity 4.0Cybersecurity 4.0
Cybersecurity 4.0Giuseppe Ieva
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
00_IPP_LIGHCYBER OA 09
00_IPP_LIGHCYBER OA 0900_IPP_LIGHCYBER OA 09
00_IPP_LIGHCYBER OA 09Antonio Iannuzzi
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianzaIBM Italia Web Team
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiEmerasoft, solutions to collaborate
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoCSI Piemonte
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...Data Driven Innovation
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Codemotion
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013Elena Vaciago
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Social Media Security
Social Media SecuritySocial Media Security
Social Media SecurityStefano Maria De' Rossi
 
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Andrea Mennillo
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint OverviewLeonardo Antichi
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retivittoriomz
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo BordoniData Driven Innovation
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Enzo M. Tieghi
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 

More Related Content

What's hot

04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianzaIBM Italia Web Team
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoCSI Piemonte
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...Data Driven Innovation
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Codemotion
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013Elena Vaciago
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Andrea Mennillo
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retivittoriomz
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 

What's hot (17)

04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
 
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
Social Media Security
Social Media SecuritySocial Media Security
Social Media Security
 
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle reti
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1
 

Similar to Sicurezza nei servizi IoT

5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo BordoniData Driven Innovation
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Enzo M. Tieghi
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdfCentoOff
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSMAU
 
Offering - Vulnerability assessment & ethical hacking
Offering - Vulnerability assessment & ethical hackingOffering - Vulnerability assessment & ethical hacking
Offering - Vulnerability assessment & ethical hackingXenesys
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for HealthcareSWASCAN
 
Mobile Strategy in Digital Environment: the Mindset Shift
Mobile Strategy in Digital Environment: the Mindset ShiftMobile Strategy in Digital Environment: the Mindset Shift
Mobile Strategy in Digital Environment: the Mindset ShiftIDC Italy
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITCisco Case Studies
 
La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4Gianmarco Beato
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
SISTEMI AVANZATI PER L'ANALISI E LA GESTIONE DEL RISCHIO PER LA CYBERSICUREZZ...
SISTEMI AVANZATI PER L'ANALISI E LA GESTIONE DEL RISCHIO PER LA CYBERSICUREZZ...SISTEMI AVANZATI PER L'ANALISI E LA GESTIONE DEL RISCHIO PER LA CYBERSICUREZZ...
SISTEMI AVANZATI PER L'ANALISI E LA GESTIONE DEL RISCHIO PER LA CYBERSICUREZZ...convegnonazionaleaiic
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house managementPierluigi Sartori
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...TheBCI
 
Smau Milano 2014 - Giulio Salvadori
Smau Milano 2014 - Giulio SalvadoriSmau Milano 2014 - Giulio Salvadori
Smau Milano 2014 - Giulio SalvadoriSMAU
 

Similar to Sicurezza nei servizi IoT (20)

5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
5G Privacy e sicurezza. Daniele Perucchini, Fondazione Ugo Bordoni
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
 
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdf
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzetti
 
Offering - Vulnerability assessment & ethical hacking
Offering - Vulnerability assessment & ethical hackingOffering - Vulnerability assessment & ethical hacking
Offering - Vulnerability assessment & ethical hacking
 
Cyber Security Threats for Healthcare
Cyber Security Threats for HealthcareCyber Security Threats for Healthcare
Cyber Security Threats for Healthcare
 
Mobile Strategy in Digital Environment: the Mindset Shift
Mobile Strategy in Digital Environment: the Mindset ShiftMobile Strategy in Digital Environment: the Mindset Shift
Mobile Strategy in Digital Environment: the Mindset Shift
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_IT
 
La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
SISTEMI AVANZATI PER L'ANALISI E LA GESTIONE DEL RISCHIO PER LA CYBERSICUREZZ...
SISTEMI AVANZATI PER L'ANALISI E LA GESTIONE DEL RISCHIO PER LA CYBERSICUREZZ...SISTEMI AVANZATI PER L'ANALISI E LA GESTIONE DEL RISCHIO PER LA CYBERSICUREZZ...
SISTEMI AVANZATI PER L'ANALISI E LA GESTIONE DEL RISCHIO PER LA CYBERSICUREZZ...
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
 
Smau Milano 2014 - Giulio Salvadori
Smau Milano 2014 - Giulio SalvadoriSmau Milano 2014 - Giulio Salvadori
Smau Milano 2014 - Giulio Salvadori
 

Sicurezza nei servizi IoT

  • 1. Sicurezza nei servizi IoT Di Massimiliano Brolli
  • 2. Sicurezza sui terminali IoT Indice del documento – Premessa – Trend e Diffusione – Evoluzione sistemi ICT – Minacce sui sistemi di terza generazione – Dai giornali – Nuovo approccio alla Cyber Security – Aumento complessità Applicativa – Cambio metodologico alla sicurezza – Cambio di Paradigma – Ecosystem Security Oriented – Metodologia di verifica – Top 10 Owasp IoT Vulnerability – Malware su IoT – Approccio alle verifiche IoT – Metodologia di verifica – Pattern Tecniche e strumenti di verifica – Processo di gestione dei Security Assessment – Allegati
  • 3. Sicurezza sui terminali IoT Premessa  IoT è un neologismo riferito all'estensione di Internet al mondo degli oggetti e dei luoghi concreti. Introdotto da Kevin Ashton, cofondatore e direttore esecutivo di Auto-ID Center (consorzio di ricerca con sede al MIT), durante una presentazione presso Procter & Gamble nel 1999.  E’ stata avviata lo scorso 2016 dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN di cui fa parte anche il Garante italiano) una analisi su 300 device IoT. Più del 60 per cento non ha superato l’esame dei Garanti privacy di 26 Paesi riscontrando gravi carenze nella tutela della privacy degli utenti.  Anche se il mondo IoT ad oggi risulta in pieno fermento gli aspetti sulla sicurezza ancora non sono maturi pertanto è necessario del tempo affinchè in un mondo così complesso vengano realizzati interventi efficaci di Cyber Security.  Innumerevoli sono le applicazioni come oggetti indossabili (wearable), oggetti in casa controllati da uno smartphone (gestione automatica degli impianti di illuminazione, climatizzazione, irrigazione, gestione degli elettrodomestici o dei sistemi di videosorveglianza e sicurezza e domotica in generale), contatori intelligenti (per la gestione dei consumi o l’ottimizzazione della distribuzione).
  • 4. Sicurezza sui terminali IoT Trend e Diffusione IoT L‘internet delle cose è in forte espansione e a livello di sicurezza occorre un approccio metodologico differente rispetto alle classiche infrastrutture IT che coniughi delle verifiche Software a verifiche Fisiche di sicurezza sull’hardware dei terminali messi in rete e sui protocolli di comunicazione wireless. 2020 44 Bilion 2015 2010 2012 1,2 Bilion 2,8 Bilion 8,5 Bilion In una logica di Smart City dove un ecosistema di sensori registra, processa e immagazzina dati localmente o interagendo tra loro sia in medio che a lungo raggio mediante l’utilizzo di tecnologie a radio frequenza (per es. RFID, bluetooth etc.), vede la luce la Network IoT dove (dato dalla peculiarità dell’ecosistema) i rischi informatici possono essere alti se non correttamente gestiti. IoT Trend Diffusion Smart City Trend Diffusion 0% 20% 40% 60% 80% 100% 20-40 mila abitanti 40-80 mila abitanti > 100 mila abitanti Almeno un progetto su IoT Nessun progetto Smart City
  • 5. Sicurezza sui terminali IoT I sistemi nel tempo si sono evoluti passando da tecnologie Mainframe a Client-server fino ad abbracciare infrastrutture / ecosistemi distribuiti Multi- device. La Terza Piattaforma è un nuovo paradigma tecnologico, costituito da un ecosistema di risorse e applicazioni, utenti, in vario modo integrati, che includono servizi cloud, infrastrutture mobili, Big Data e social media. I Dati diventano sempre più uno snodo cruciale, così come gli Utenti. Evoluzione Sistemi ICT 2nd Platform Architetture Client Server 100M di Utenti 100k Applicazioni Aumento degli Utenti connessi, oggetti e Applicazioni che interagiscono e scambiano dati continuamente (circa 5,2 GB/g per ogni persona) 1nd Platform 1M di Utenti 1k Applicazioni Architetture Mainframe 20/25 anni 20/25 anni 3nd Platform 1B di Utenti 1M di Applicazioni Trilionidicose Mobile Cloud IoTRealtà aumentata Machine learning Big Data Architetture Distribuite
  • 6. Sicurezza sui terminali IoT Cyber Warfare Tipologia di attacchi mirati a creare danni sui sistemi e reti in altri stati, ottenere informazioni privilegiate (e.g.: Spionaggio, Spegnimento Power Grids). IoT DDoS Attacco finalizzato ad utilizzare più dispositivi IOT per attacchi distribuiti di tipo DoS (e.g.: Mirai Botnets) Cyber Crimes Attacchi che prevedono guadagni «materiali» come furto di identità, furto di proprietà intellettuale, attività fraudolente Cyber Terrorism Tipologia di attacchi violenti che possono provocare, o comunque minacciare, gravi danni fisici e/o perdite di vita umana, danni finanziari, clima di paura (e.g.: Ramsonware, Phishing) Nuovi Attacchi in ambito 3rd Platform & IoT Service Network User - centered Con l’evoluzione dei sistemi, in ecosistemi complessi in cui sono presenti piattaforme miste comprensive di device IoT si cominciano ad intravedere ed aggiungere nuove forme di minacce che vedono l’utente al centro contornato da ecosistemi complessi utilizzati nella quotidianità
  • 7. Sicurezza sui terminali IoT Dai Giornali Hacker Can Send Fatal Dose to Hospital Drug Pumps https://www.wired.com/2015/06/hackers-can-send- fatal-doses-hospital-drug-pumps/ Akamai Finds Longtime Security Flaw in 2 Million Devices https://www.wired.com/2016/10/akamai-finds-longtime- security-flaw-2-million-devices/ Hackers Remotely Kill a Jeep on the Highway https://www.wired.com/2015/07/hackers-remotely- kill-jeep-highway/ TalkTalk Hack Data Was Unencrypted. http://www.independent.co.uk/life-style/gadgets-and-tech/news/talktalk- hack-data-was-unencrypted-company-says-leaving-it-open-to-hackers- despite-repeated-cyber-a6705361.html DDOS Botnet Mirai https://www.incapsula.com/blog/malware-analysis-mirai-ddos- botnet.html Alcuni esempi di attacchi informatici sui terminali IoT pubblicati sui giornali.
  • 8. Sicurezza sui terminali IoT Indice del documento – Premessa – Trend e Diffusione – Evoluzione sistemi ICT – Minacce sui sistemi di terza generazione – Dai giornali – Nuovo approccio alla Cyber Security – Aumento complessità Applicativa – Cambio metodologico alla sicurezza – Cambio di Paradigma – Ecosystem Security Oriented – Metodologia di verifica – Top 10 Owasp IoT Vulnerability – Malware su IoT – Approccio alle verifiche IoT – Metodologia di verifica – Pattern Tecniche e strumenti di verifica – Processo di gestione dei Security Assessment – Allegati
  • 9. Sicurezza sui terminali IoT Nel corso degli ultimi anni, in Telecom Italia abbiamo assistito ad un aumento vertiginoso della complessità infrastrutturale delle applicazioni e quindi ad un conseguente aumento dell’esposizione al rischio delle piattaforme. Aumento complessità Infrastrutturale 1 2 Classic Infrastructure Application Domain Client 1 1 Hybrid Infrastructure Application Domain Client 2 3 2 Aumento della complessità dei servizi e aumento dell’esposizione al rischio 2nd Platform 3nd Platform 1 Application Domain Client 2 Smart Home Device Ecosystem Infrastructure 3 4 5 3
  • 10. Sicurezza sui terminali IoT Spostamento del rischio da Data Centric a User Centric e aumento della complessità applicativa Classic Infr Business Data Centric  Health Application  SmartCity & Connected Car  Home Application  Domotic  Industry 4.0 Ecosystem Infr User Centric & Business Data Centric Hybrid Infr Business Data & User Centric Cambio metodologico alla sicurezza  E-commerce  Classic APP Mobile  HR Business Partner  Media Application  Fatturazione  Home Banking  Business Analytics  CRM Approccio Metodologico alla sicurezza Aumento complessità applicativa e cambiamento tipologia di servizi Modello Applicativo Il cambiamento dei servizi offerti ha portato ad un cambiamento della complessità applicativa spostando l’approccio metodologico alla sicurezza da Data Centric ad User Centric
  • 11. Sicurezza sui terminali IoT Privacy Garantire il diritto alla riservatezza dei dati degli utiizzatori Health Garantire la salute di un individuo (e.g.: Implants, Personal Health System, ecc…) Safety Garantire la sicurezza informatica e fisica di un individuo (e.g.: Gas Detection, Fire Detection, Elevators, Smart Car, ecc…) Trust Garantire la fiducia nei dati nei sistemi di proprietà di un individuo (e.g.: Storage, APP Mobile, Cloud, ecc…) Cambio di Paradigma User Centric & Business Data Centric Da molto tempo il Cyber Risk viene calcolato come perdita del dato a livello di Business ma con l’avvento di nuovi servizi stiamo assistendo ad un cambio di paradigma spostando la visione del rischio più incentrata verso l’utente che non solo a livello di Business Data Centric. Occorre quindi rimodulare il concetto di Rischio non più basato sui concetti di Privacy e Trusted ma anche in termini di Privacy, Safety, Health, Trust, Business e Financial (di seguito PSHTF) come viene riportato in questa slide Financial & Business Garantire la sicurezza ai fini del raggiungimento e mantenimento degli standard di produzione (e.g.: Industria 4.0)
  • 12. Sicurezza sui terminali IoT Come abbiamo visto, in una logica di Complex Application, viene realizzato un ecosistema complesso di apparati Hardware e software interconnessi che dialogano tra loro. Cambia di conseguenza l’approccio alle verifiche definendo il concetto di ESO (Ecosystem Security Oriented) ovvero non più guardare la sicurezza dei sistemi in ottica verticale ma di servizio. Ecosystem Security Oriented 0 2 4 6 8 10 12 Classic Application Hybrid Application Complex Application Livello di esposizione al rischio Completezza di verifica  La complessità applicativa di scenario (3) porta ad un elevato livello di esposizione al rischio dovuta alla presenza di device, APP Mobile e Client eterogenei in costante comunicazione tra loro.  Di conseguenza mentre il livello di esposizione al rischio di un ecosistema aumenta, La completezza di verifica, utilizzando il vecchio modello risulta inversamente proporzionale per complessità, pervasività e tempistica di azione. Livello di esposizione al rischio e completezza di verifica 1 Application Domain Client 2 Smart Home Device Ecosystem Infrastructure 3 4 53
  • 13. Sicurezza sui terminali IoT Indice del documento – Premessa – Trend e Diffusione – Evoluzione sistemi ICT – Minacce sui sistemi di terza generazione – Dai giornali – Nuovo approccio alla Cyber Security – Aumento complessità Applicativa – Cambio metodologico alla sicurezza – Cambio di Paradigma – Ecosystem Security Oriented – Metodologia di verifica – Top 10 Owasp IoT Vulnerability – Malware su IoT – Approccio alle verifiche IoT – Metodologia di verifica – Pattern Tecniche e strumenti di verifica – Processo di gestione dei Security Assessment – Allegati
  • 14. Sicurezza sui terminali IoT Top 10 Owasp IoT Vulnerability Owasp ha rilasciato dal 2014 in poi la classifica delle TOP10 vulnerabilità in ambito IoT che vengono elencate in questa slide Privacy Concerns Troppe informazioni personale collezionate, senza poter scegliere quali escludere; collezionamento dei dati non anonimi. Lack Of Transport Encryption Informazioni sensibili passate in chiaro; SSL/TLS non disponibile o non configurato correttamente; protocolli di encryption proprietari Poor Phisical Security Attacco finalizzato a rendere indisponibile il terminale, o all’accesso al firmware, . Insufficient Authentication & Authorization Password Deboli; modalità di autenticazione non a 2 fattori; meccanismi di recupero delle password insicuri. Insecure web interface Vulnerabilità legate all’interfaccia di amministrazione web del terminale, potenzialmente esposta su Internet. Insecure Cloud Interface Interfacce non progettate in ottica vulnerabilità; password deboli; modalità di autenticazione deboli Insufficient Security Configurability Non disponibili opzioni di encryption; nessuna possibilità di abilitare log di sicurezza; non configurazione password robuste Insecure Firmware/Software Aggiornamenti trasmessi senza encryption e non firmati; Server di aggiornamento non sicuri Insecure Network Services Porte non necessarie aperte; porte esposte su internet via UPnP; servizi vulnerabili ad attacchi DOS Insecure mobile interface Vulnerabilità legate all’interfaccia di amministrazione mobile del terminale, potenzialmente esposta su Internet. Smart Device
  • 15. Sicurezza sui terminali IoT Smart Device Malware su IoT Di seguito vengono riportati i principali Maleware che affliggono gli Smart Device che di fatto non si differenziano da un sistema Classic IT. Vista la diffusione del Fenomento IoT, questo aspetto denota una importanza strategica che deve essere presa in considerazione nella gestione della sicurezza delle infrastrutture ICT. Worms Diffusione di Worms automaticamente dai device connessi alle Network. Virus Diffusione con un’azione utente Remote Access Accesso diretto ai device tramite software di remotizzazione delle funzionalità Blended Threat Multiple Malware in unico attacco Trojan Diffusione di software apparentemente utili che possono compromettere lo smart device Spyware Diffusione di software di controllo delle attività utente nello smart Device
  • 16. Sicurezza sui terminali IoT Nel corso degli ultimi anni, abbiamo assistito ad un aumento vertiginoso della complessità applicativa e quindi ad un conseguente aumento dell’esposizione al rischio delle piattaforme. Approccio alle verifiche IoT 1 2 Classic Application Application Domain Client 1 Hybrid Application Application Domain Client 2 3 1 2 1 Application Domain Client 2 Smart Home Device Ecosystem Infrastructure 3 4 5 3 Lo scenario IoT si manifesta tramite «Ecosystem Infrastructure» in quanto i device vengono controllati da APP Mobile e comunicano con infrastrutture di backend, che sempre più spesso sono on Cloud, come mostra lo schema di dettaglio
  • 17. Sicurezza sui terminali IoT Communication Analisi dei protocolli di comunicazione utilizzati dall’ecosistema (standard e non standard) in particolare utilizzati dai device IoT interconnessi 410% OaM Analisi sui processi di Orchestration dell’ecosistema (Operation, Administration e Maintenance) per valutarne l’esposizione al rischio 3 20% Metodologia di verifica In una logica ESO, l’approccio metodologico all’Assessment cambia in relazione al sistema stesso, ai device interconnessi anche se permangono le 4 direttrici di verifica, modulari, che possono essere sintetizzate come riportato in questa slide Device Analisi dei device utilizzati dell’ecosistema e quindi IoT (Sicurezza Applicativa e Hardware), analisi sulle App Mobile utilizzate dall’ecosistema 230% Infrastructure Analisi dei servizi informativi di erogazione come back end on-premise e Cloud utilizzati dall’ecosistema (Saas, PaaS, ecc…) 1 40% Sulla base dell’ecosistema in analisi, le quattro direttrici possono essere prioritizzate in modo diverso anche in funzione dell’infrastruttura in analisi e dei device interconnessi.
  • 18. Sicurezza sui terminali IoT Category Device Attività di Analisi Tecniche di analisi Tool di analisi On Premise  Application Security  Scansioni del codice  Vulnerability Assessment  Penetration test Black Box  Assessment White Box On Cloud  Application Security su IaaS  Certificated Security Other Cloud  Su IaaS come «On premise»  Verifiche documentali sugli altri Cloud APP Mobile  App Mobile Security  Scansioni dinamiche del codice  Scansioni statiche del codice  Assessment Backend IoT  Firmware/Software Security  Wireless Security  Hardware Security  Scansioni del codice del device  Vulnerability Assessment  Penetration test Black/White Box OaM  Security Assessment  Log Analysis  Patch Assessment  Assessment White Box SSO EsO PHST B • Privacy • Health • Safety • Trust • Business Pattern Tecniche e strumenti di verifica 1 2 4 3 Di seguito vengono mostrati gli strumenti utilizzabili per una verifica EsO sulla base dell’approccio metodologico dettagliato all’interno della slide precedente
  • 19. Sicurezza sui terminali IoT IoT Hardware & Device Assessment In ambito IoT oltre alle classiche direttrici di Assessment (Application Security) si introduce una nuova branca di verifica che prende il nome come Hardware Security (Physical Security in letteratura). Tale Assessment permette di valutare la propensione al rischio di un determinato device dal punto di vista fisico anziché logico. Vengono quindi illustrate le principali tecniche di verifica. Surface Assessment Type Attività Firmware Extraction  Attività finalizzata a misurare il grado di difficoltà, per un aggressore con accesso fisico alla tecnologia oggetto di analisi, ad estrarre il firmware del dispositivo ed accedere ai componenti software e dati interni Firmware Component Analysis  Analisi e dissezione dei componenti firmware hardware-related (e.g., kernel driver custom)  Reverse engineering, code review o ulteriori tecniche di tipo black e white-box, allo scopo di identificare vulnerabilità di sicurezza tecniche e logiche di tipo applicativo che interessano le componenti hardware Firmware Tampering  Verifica della possibilità di installazione di Firmware modificato e malevolo sul device Communication Interfaces Assessment  Analisi del traffico di rete su componenti wired  Analisi di protocolli wireless - e.g. Wi-Fi, LoRa, 6lowPAN, Li-Fi  Attacchi Proximity-Based - e.g. NFC, Zigbee, Bluetooth (IEEE 802.15.4) DoS attacks  Attività di verifica sulla negazione del servizio (ad esempio utilizzando Jammer Wi-Fi, abbagliamento telecamere, ecc.) Side-Channel Attacks  Verifica di possibilità di acquisizione di informazioni private o sensibili attraverso l’analisi di fattori fisici dovuti alla computazione - e.g., Power- Consumption, Timing, utilizzo di risorse Device ROM/RAM exfiltration  Attività di verifica della possibilità di estrazione dati privati e sensibili da componenti fisiche del dispositivo Device debugging interfaces  Verifica dell’esistenza ed invio di vettori d’attacco verso le interfacce preposte alle operazioni di debug del dispositivo
  • 20. Sicurezza sui terminali IoT Sempre di rilevanza strategica rimane la «Security By Design» ovvero quella fase nella quale identificare i requisiti di sicurezza da implementare in maniera nativa e quindi scegliere il giusto device prima della messa in catena. Tale verifica consentirà di scegliere e di sviluppare il servizio sugli apparati a rischio più gestito. Progettazione e rilascio di un nuovo servizio Risk Monitoring & Assessment Service Creation Avvio Progettazione 1 Sviluppo Delivery Operaton 3 4 5 Assessment SSO Remediation 6 7 Verifica SSO di pre esercizio Assessment pre avvio in catena 2 Consente una scelta tra più device prima della messa in catena Processo di gestione dei Security Assessment Service Creation 8