CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
-
Upload
dig-it -
Category
Technology
-
view
145 -
download
0
Transcript of CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
Sécurité de l’IoT
Nice, France10 Mars 2017
Pascal Delprat – [email protected]
75 Milliards d’objets à horizon 2025
2016 Cisco and/or its affiliates. All rights reserved. Cisco confidential.
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
ENTREPRISESPARTICULIERS INDUS/SMART CITIES
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
ExemplesIOT:RéseauxdecapteursurbainsPrésentationdispositifsPlacedelaNationetbâtimentsintelligents
1.Mieux comprendre l’espace public
2.Optimisation delagestion del’énergie danslesbâtiments
CDP,MERAKIwifi,CMX,LoRaWAN,cameras,video
analytics,Energy/AssetManagement
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
PlacedelaNation–Descasd’usageorientésfluxetenvironnement
•Comptage des piétons, vélos, véhicules par zone
•ComptagedeséquipementmobilesWi-Fi/BLE
•Mesure de l’environnement sonore
•Mesure de la qualité de l’air
•Suivi des espaces verts
•Mesure du remplissage des colonnes de collecte de verres
•Analyse du stationnement gênant
•Analyse des données flux
•Indices de confort des piétons
•Arbre dépolluant connecté
Plug&Play Services
Data Producers
AnalyticsCorrelation
Trending
CMX Analytics
Place de la nation
Wifi AP Camera Powered Sensor(air, temp, humidity)
Low Power Sensor(waste, soil,, vehicle)
WifiInfrastructure VSM
Video Analytics
(flow)
Adapter Adapter Adapter Adapter
Video Streams
WirelessData
LORAWANInfrastructure
Video Streams
Video Analytics (other)
Adapter
SocialData
FinancialData
CityAsset
Open Data
GIS VisualizationFlow VisualizationFlow Dashboard
DATA Lake
App Layer / API (Normalized Data)
Real TimeAnalytics
BatchAnalytics
Time SeriesTools
ANY…
Adapter
ANYInfra
Flow CITY BOTS
ANY APP/SERVICE
…
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
ExemplesIOT:RéseauxdecapteursurbainsPrésentationdispositifsPlacedelaNationetbâtimentsintelligents
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
ExemplesIOT:RéseauxdecapteursurbainsPrésentationdispositifsPlacedelaNationetbâtimentsintelligents
DE NOUVEAUX ENJEUX DE SÉCURITÉ
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Objets démocratisés, abordables, autonomes ; et tout le monde les veut !
Non pensés autour de sécurité
Un mécanisme d’espionnage (vie privée) et une arme massive de DDoS - L’exemple Dyn, Oct 2016
493 000 objets compromis par Mirai (botnet) !!!
Particuliers & IoT déjà des enjeux forts
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Nouveaux usages : caméras connectées, bâtiment intelligent, …
BYOD avec objets (montres, …) & des employés qui se connectent. Shadow IoT.
Ex: frayeur du Romantik Hotel en Autriche, Jan 2016 (serrures & ransomware)
Entreprises & IoT de nouveaux usages
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Environnements critiques 24/7, besoin absolu de continuité d’activité (réseaux électriques, ...) & de sécurité (risque de mort)
Un nouveau paradigme : SCADAs, contrôleurs programmables, pas de sécurité spécifique !
Risques : attentat, vol de données, perturbation d’activité, …
Ex: Stuxnet (2010), aciérie allemande (2015), Ukraine …
Environnements industriels/Smart Cities
IT – Info Tech OT Oper Tech
Connected City
Connected Transportatio
n
ConnectedCar
Connected Service Provider
Connected Retail
Digital Manufacturing
Connected Utilities
Digital Healthcare
Note: IT & OT As Defined by IOT BU*OT Baseline Features
Illustrative
Level 5Enterprise Network
Level 4Site Business Planning
Level 2 Cell/Area ZoneArea Control
Level 3 Plant ZoneSite Operations & Control
Level 1 Cell/Area Zone Basic Control
Level 0 Cell/Area ZoneProcess
Level 3.5 DMZDemilitarized Zone
Purd
ue M
odel
100% IT
E.g. Virtual Patient, IP Video, Wi-Fi, RFID, Medical Inventory Trackers, Patient Media Experience
90% IT
E.g. Store-in-a-box, Digital Experience, Electronic Shelf-Edge Labels, Product Tracking Tags
70% OT
E.g. SCADA, ICS,EMS,AGC, Automation, Robots, Assets Tracking, & RFID Tag Reader
10% OTE.g. Asset Tracking
30% IT
E.g. ERP, Finance, & A/P
70% OT
E.g. Smart Gas Meter, Power Room, Distribution & Substation, Oilfield, Refinery, & Smart Grid Devices
30% IT
E.g. Backend Offices
40% OTE.g. Roadways, Trackside, Onboard, & Mobile Signature Device
60% IT
E.g. 60% IT Stations, Wi-Fi, Automated Kiosks/Console Traffic & Parking Sensor
40% OTE.g. Automotive Subsystems Interior to Safety Sensors
60% IT
E.g. Collaborative to Navigation Applications
90% IT
E.g. City Wi-Fi, Location, Traffic, Safety/ Security, Smart Trash Bins,& Smart Building
10% OTE.g. Asset Tracking
30% OTE.g. Remote Cell Towers
70% IT
E.g. Fleet, asset Management
Tous les secteurs sont concernés
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
InfrastructureConnexion initiale de l’objet, échanges avec l’infrastructure & vers l’extérieur
Sécurité – à quels niveaux ?
ObjetSécurité au niveau matériel, logiciel & firmware
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Infrastructure – de l’objet au dashboard
• L’objet : firmware, mot de passe, accès physique, …
• Entre l’objet et l’infrastructure : chiffrement, communication RF
• L’infrastructure : routers, commutateurs, pare-feu, détectiond’intrusion, Stealthwatch, Umbrella, Cloudlock, …
BRKIOT-2112 17
CYBERSECURITE
Sécurisation de l’IoT
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Un modèle réseau & sécurité spécifique IoT & durci pour un environnement industriel :
• Continuité d’activité 24/7
• Intelligent : vérifie la politique d’accès, protège contre les DDoS, sert de capteur
• PVLAN, DAI, DHCP snooping, IP Source guard
• Protection de l’intégrité: Secure Boot/Trusted Anchor & Image Signing
1. La fondation d’une infrastructure intelligente
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Classification de tous les appareils qui se connectent (caméra de surveillance connue, imprimante, objet étranger, …)
Politique de sécurité dynamique poussée au réseau (Trustsec/802.1X)
Accès distant sécurisé & authentifié (PKI/FlexVPN/SSH/TACAS/X509)
Une anomalie ? Mise en quarantaine automatique
2. Profilage à la connexion
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Stealthwatch - Collecte & corrèle toute l’activité du réseau, identifie les anomalies (communications anormales entre les objets, vers le reste du réseau, …)
Agit sur la politique d’accès en conséquence
Apporte cette visibilité & cette sécurité à l’IoT y compris sur couche Fog
3. Réseau comme capteur & protecteur
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
DNS : utilisé par tout objet voulant communiquer vers l’extérieur
OpenDNS/Umbrella pour empêcher toute connexion vers une destination anormale ou malveillante
Visibilité en temps réel sur 4 à 5% des requêtes DNS mondiales
4. Flux extérieurs, un filtrage au niveau DNS
IoTSystems
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
DouzeNouveaux malware/sec
600 Mds d’Emails(environ 1/3)
16 MilliardsRequêtes Web
Honeypots
CommunautésOpen Source
150M+ Sandboxes, Endpoints, …
250+ chercheurs& ingénieurs
4-5% desRequêtes DNS
20 MilliardsDe menaces bloquées/j
TALOS
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Web Apps DNS FTP
Internet
Gbps Link for Failover
Detection
Firewall(Active)
Firewall(Standby)
Factory Application
Servers
Access Switch
Network Services
Core Switches
AggregationSwitch
Patch Mgmt.Terminal ServicesApplication MirrorAV Server
Cell/Area #1(Redundant Star Topology)
DriveController
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2(Ring Topology)
Cell/Area #3(Linear Topology)
Layer 2 Access Switch
Controller
Cell/Area ZoneLevels 0–2
Manufacturing ZoneLevel 3
Demilitarized ZoneLevel 3.5
Enterprise NetworkLevels 4–5
Access ControlRuggedized Firewall and Intrusion DetectionAdvanced Malware protection and Threat IntelligenceRemote Monitoring / SurveillanceSW, Config & Asset Mgmt
VPN & Remote Access ServicesNext-Generation FirewallIntrusion Prevention (IPS)
Cloud-based Threat ProtectionNetwork-wide Policy EnforcementAccess Control (application-level)
Stateful FirewallIntrusion Protection/Detection (IPS/IDS)Physical Access Control Systems
ISE
Annexe – CVD Sécurité IT/OT CYBERSECURITE
CYBERSECURITE
Cisco confidential.
L’IoT va transformer tous les secteursL’enjeu de sécurité associé est massif – une fondation solide & sécurisée
constitue le point de départ