Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Подход к обеспечению безопасности IoT в Enterprise

228 views

Published on

В рамках секции: (Не)безопасность интернета вещей

Published in: Technology
  • Be the first to comment

Подход к обеспечению безопасности IoT в Enterprise

  1. 1. Дмитрий Березин Ведущий системный инженер, отдел информационной безопасности г. Москва, 23 мая 2017 года ПОДХОД К ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ IOT В ENTERPRISE Александр Бутенко Системный инженер, отдел информационной безопасности
  2. 2. ЧТО ТАКОЕ IOT? /242
  3. 3. ОПРЕДЕЛЕНИЕ IOT Концепция IoT компании IBM Instrumented Измерять в точке возникновения события Interconnected Все компоненты объединены в одну сеть Intelligent Имеется интеллектуальная обработка данных /243
  4. 4. ОПРЕДЕЛЕНИЕ IOE Концепция IoE компании Cisco People Process Data Things /244
  5. 5. ПРИМЕР IOT: УМНЫЙ ДОМ /245
  6. 6. ПРИМЕР IOT: INDUSTRIAL INTERNET OF THINGS (IIoT) Индустрия 1.0 - 4.0 /246
  7. 7. ПРИМЕР IOT: INDUSTRIAL INTERNET OF THINGS (IIoT) АСУ ТП IIoT /247 • обмен информацией с датчиков • облачные сервисы
  8. 8. ПРИМЕР IOT: ENTERPRISE IOT Industrial Home Enterprise /248
  9. 9. ВЗАИМОДЕЙСТВИЕ МЕЖДУ ЭЛЕМЕНТАМИ IOT До 2005 Наше время После 2025 Закрытые централизованные системы Открытые сети, централизованное облако Открытые сети, распределенное облако /249
  10. 10. СЕТЕВОЕ ВЗАИМОДЕЙСТВИЕ IoT Сравнительный анализ каналов связи IoT /2410
  11. 11. СОТОВЫЕ СЕТИ 2G/3G/4G SMS, CSD, GPRS, EDGE • 60% устройств на технологиях 2G • Низкая скорость, высокие задержки (до 300 мс) HSPDA, UMTS Высокоскоростной доступ, сообщения IMS LTE Узкополосная передача данных Narrowband-LTE /2411
  12. 12. BLUETOOTH Протокол Bluetooth Bluetooth 1.0, 1.1, 2.0 Голосовые технологии и PAN Bluetooth 2.1 Технология энергосбережения Sniff Subrating Bluetooth 3.0 Стандарт 802.11 (технологии Wi-Fi) Bluetooth 4.0 Снижение энергопотребления Bluetooth 4.1 Совместимость и координация BT и LTE /2412
  13. 13. СПЕЦИАЛЬНЫЕ IoT-ПРОТОКОЛЫ Типовая архитектура • Беспроводные персональные вычислительные сети (WPAN) • Гарантированная безопасная передача данных • Небольшие скорости • Возможности длительной работы сетевых устройств от батарей • Самоорганизующаяся и самовосстанавливающаяся ячеистая топология • Ретрансляция и маршрутизация сообщений IEEE 802.15.4 • 10-100 м • 20 - 250 кбит/с • 100 - 1000 дней /2413
  14. 14. СПЕЦИАЛЬНЫЕ IoT-ПРОТОКОЛЫ • 10 - 30 м • до 100 кбит/с • 1 - 2 года • Низкое энергопотребление • Высокая отказоустойчивость • Частоты ниже 1ГГц Управляющие узлы Контроллеры, маршрутизация и взаимодействие Исполнительные узлы Принимают и исполняют команды, дополнительно ретрансляция сигналов /2414
  15. 15. СПЕЦИАЛЬНЫЕ IoT-ПРОТОКОЛЫ LPWAN Low-power Wide-area Network Long Range WAN • Большая дальность передачи • Низкое энергопотребление • Нелицензируемые частоты ниже 1ГГц • Базовая станция и оконечные устройства • 2,5 - 15 км • 250 бит/с - 50 кбит/с • до 10 лет /2415
  16. 16. ПРИКЛАДНЫЕ ПРОТОКОЛЫ IoT MQTT (Message Queue Telemetry Transport) • Лёгкий сетевой протокол работающий поверх TCP/IP • Используется для обмена сообщения между устройствами по принципу издатель-подписчик (publish–subscribe) Constrained Application Protocol (CoAP) • Асинхронный обмен сообщениями поверх UDP • Лучше остальных совместим с HTTP Advanced Message Queuing Protocol (AMQP) • Открытый протокол для передачи сообщений между компонентами системы • Обмен сообщениями через AMQP-брокер с маршрутизацией, гарантированной доставкой, подписка на нужные типы сообщений /2416
  17. 17. Gateway Collector Data Controlling Device 1 - - IoT-device Application 1 Application 2 Application 3 Controlling Device 2 Controlling Device 3 IoT-device IoT-device IoT-device IoT-device IoT-device /2417 АРХИТЕКТУРА IOT OS Integrity Authentication Data Security Anomaly Detection Secure Design / Development Authentication Data Security Anomaly Detection Secure Design / Development OS Integrity Authentication Data Security Anomaly Detection Secure Design / Development Data Security Authentication Data Security Anomaly Detection Secure Design / Development
  18. 18. /2418 • SDLC • Аудит кода • IoT-hardening ЭТАПЫ ЗАЩИТЫ Hardware design Software design Enterprise deployment • Настройка аппаратных интерфейсов • Настройка загрузчика ОС • Ball Grid Array • System on Chip • Удаление маркировок • Модули защиты • Обновление • Управление IoT vendor IT-solutions provider
  19. 19. Gateway IoT /2419 ТИПОВЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ Firewall / IPS BruteforceLocal firewall / IPS + Temporary account block CVEexploit Patch & Update
  20. 20. < S I E M > . . . < C L O U D > /2420 ТИПОВЫЕ ТЕХНОЛОГИИ ЗАЩИТЫ Updates spoofing Command injection Firmware modification VPN / SSL / TLS Isolating device
  21. 21. /2421 • VPN • Encrypt update • Device + Encryption key • Разнесение обновлений во времени БЕЗОПАСНОЕ ОБНОВЛЕНИЕ IOT < Update Servers > IoT Updates OS Updates 3rd Party Apps Updates
  22. 22. /2422 • PKI • Атрибуты и роли устройств в сертификатах безопасности • Единая консоль управления устройствами БЕЗОПАСНОЕ УПРАВЛЕНИЕ IOT management servers< > PKI
  23. 23. /2423 • 152-ФЗ «О персональных данных» и подзаконные нормативные акты • 98-ФЗ «О коммерческой тайне» • 116-ФЗ «О промышленной безопасности опасных производственных объектов», 16-ФЗ «О транспортной безопасности», 256-ФЗ «О безопасности объектов топливно-энергетического комплекса» и подзаконные нормативные акты IOT И ЗАКОН Казалось бы, «Ubi jus incertum, ibi nullum» («Если закон не определен, то закона нет»)
  24. 24. Дмитрий Березин E-mail: DBerezin@croc.ru 111033, Москва, ул. Волочаевская, д.5, к.1 Т: (495) 974 2274 | Ф: (495) 974 2277 croc.ru СПАСИБО ЗА ВНИМАНИЕ! Александр Бутенко E-mail: AButenko@croc.ru

×