INTERNET OF THINGS (IOT)

Campus Strategy FY22

18 Marzo 2022
 CHE COS’E’ L’IOT

STORIA DELL’IOT

COME PUO’ ESSERE D’AIUTO L’IOT

AGENDA INTRODUZIONE A CYBERVISION

OVERVIEW DELLE PRINCIPALI
FUNZIONALITÀ
CHI GESTIRA’ LA SOLUZIONE E COSA CI
FARA’
ACN SECURITY
CHE COS’È L’IOT
CHE COS’È L’IOT

SI BASA SULL’IDEA
DI OGGETTI “INTELLIGENTI”
L'IOT È UN ECOSISTEMA TRA LORO
DI OGGETTI FISICI INTERCONNESSI IN MODO
CONNESSI CHE SONO DA SCAMBIARE LE
ACCESSIBILI INFORMAZIONI POSSEDUTE,
ATTRAVERSO INTERNET. RACCOLTE E/O
ELABORATE.

AMBITI DI APPLICAZIONE

SMART SMART
SMART CAR SMART CITY SMART HOME INDUSTRIAL IOT
AGRICOLTURE METERING
STORIA DELL’IOT
I primi concetti alla base dell’IoT risalgono al 1982, quando alcuni ricercatori della Carnegie Mellon
University hanno applicato sensori e connessione in rete a un distributore di bibite dell’Ateneo, la Coca
Cola, per conoscerne lo stato di funzionamento.

«L'Internet delle cose è l'integrazione di persone,

processi e tecnologia con dispositivi e sensori
collegabili per consentire il monitoraggio remoto, lo
stato, la manipolazione e la valutazione delle
tendenze di tali dispositivi».
Peter T. Lewis nel settembre 1985 in un discorso
alla U.S Federation Communications Commissions
(FCC).

L'espressione Internet of Things è stata formulata per

la prima volta nel 1999, in stretta relazione con i
dispositivi RFId (Radio Frequency Identification),
dall'ingegnere inglese Kevin Ahston, cofondatore
dell'Auto-ID Center di Massachussetts.

L'IoT è nato tra il 2008 e il 2009, con il rapporto

cose/persone che è cresciuto da 0,08 nel 2003 a
1,84 nel 2010.

5
L'IOT PUÒ DIMINUIZIONE DEI COSTI:
AIUTARE LE Ridurre i costi attraverso una migliore efficienza dei
processi, l'utilizzo delle risorse e la produttività.
AZIENDE A
REAL TIME:
MIGLIORARE LE Beneficiare di insight e analisi in tempo reale, che
aiuterebbero a prendere decisioni più intelligenti.
PRESTAZIONI
ATTRAVERSO MAGGIORI OPPORTUNITÀ:
Creare più opportunità per le persone, le imprese e le
L'IOT ANALYTICS industrie.

E L'IOT SECURITY RENDERE PIÙ SEMPLICE LA COMUNICAZIONE,

SOPRATTUTTO QUELLA M2M :
PER OTTENERE La comunicazione Machine to Machine può ad
esempio permettere di controllare e gestire in modo
RISULTATI automatico differenti attività che richiedono molto
tempo se svolte dall’essere umano.
MIGLIORI
6
GESTIONE DEL RISCHIO INFORMATICO
Man mano che aumentano i device IoT connessi alla rete, cresce anche la superficie di attacco e dunque
aumenta il rischio informatico. Pertanto, è necessario di avvalersi dell’ausilio di soluzioni di Network
Security per tenerlo sotto controllo.

Molte volte accade che le aziende non hanno visibilità del proprio
asset, dei device connessi alla rete e quindi delle probabili
vulnerabilità.

L’obiettivo dell’ IoT Security consiste nell’assicurare la

disponibilità, l’integrità e l’affidabilità delle soluzioni IoT
adottate.

Identificando e monitorando i device connessi alla rete, l’IoT

Security protegge dalle differenti tipologie di minacce di
cybersecurity.
I COSTI DI UN INCIDENTE DI CYBER SECURITY
Dunque, per prevenire i cyber attacchi, è doveroso adottare delle soluzioni di Network Security
Il sistema consiste nell’inserire, come nei social, un sistema di faccette espressive che consentano
Monitoring, poiché oggi un incidente di sicurezza informatica per un azienda ha un impatto
valutazioni rapide ma significative
pesantissimo a livello di costi. Di seguito quanto costa in media un incidente:

COSTO
$ 1.7M COSTO MEDIO ORGANIZZAZIONE ATTACCO
LockerGoga
STIMATO PER Norsk Hydro
Ransomware
$70m
2019
UN CYBER
Duke Energy Compliance Violation $10m
ATTACCO
Saudi Petrochem Triton Sconosciuto
2018
UK NHS WannaCry $92m GBP
« I cyber attacchi alle
Merck NotPetya $870m
infrastrutture critiche e agli
FedEx (TNT Express) NotPetya $400m
asset industriali strategici sono 2017
Maersk NotPetya $300m
uno dei primi cinque rischi Mondelez NotPetya $188m
globali »
2016 Ukrenergo Industroyer/Crashoverride Blackout

World Economic Forum 2012 Saudi Aramco Shamoon $1 Billion

Global Risk Report, 2019
Source: Wired, Wall Street Journal, UK Telegraph, Threatpost
 Legenda
RISCHI DI SICUREZZA Malware
Attacchi mirati
INFORMATICA Attività Nefasta /
Abuso
DDoS
Contraffazione da parte di
dispositivi malevoli
Attacco alla privacy
Modifica delle informazioni
MitM
Hijackingt del protocollo di
comunicazione IoT
Eavesdropping /
Intercettazione di informazioni
Intercettazione /
Riconoscimento della rete
Hijacking
Sessione Hijack
Raccolta di informazioni
Replay di messaggi
Interruzione della rete
Guasti di dispositivi
Interruzioni
Guasto del sistema
Perdita di servizi di supporto

Danni / Perdite Perdita di dati / informazioni

(IT Assets) sensibili

Guasti / Vulnerabilità del software

Malfunzionamenti Guasti di terze parti

Disastro naturale
Disastro Disastro ambientale

Modifica del dispositivo

Attacchi Fisici Distruzione del dispositivo
(sabotaggio)
MEDIA DEGLI ATTACCHI INFORMATICI NEL 2021

NEL 2021 GLI

ATTACCHI
INFORMATICI
GLOBALI CONTRO LE
RETI AZIENDALI
SONO AUMENTATI
DEL 50% RISPETTO
AL 2020.

Fonte: Check Point – Cyber Security Report – 2022

PROTEZIONE DELLE DETECTIVE
•
ORGANIZZAZIONI •
Accesso Log e Transazione
Store Access Log
CORRECTIVE
• SN/MP
• IDS • Isolare, Terminare, Collegare
CON LE ORGANIZZAZIONI CHE DEVONO • Modificare e aggiornare i
TENERE CONTO DELLA CRESCITA privilegi di accesso
ESPONENZIALE DEI DISPOSITIVI CHE
ACCEDONO ALLE LORO RETI E DEI RISCHI
PER LA SICUREZZA CHE COMPORTANO, È
FONDAMENTALE DISPORRE DEGLI
STRUMENTI CHE FORNISCONO LA
VISIBILITÀ, IL CONTROLLO DEGLI PREVENTIVE
ACCESSI E LE CAPACITÀ DI CONFORMITÀ • User Authentication
NECESSARIE PER RAFFORZARE • Multi Factor Authentication
L'INFRASTRUTTURA DI SICUREZZA DELLA • ACLs
• Firewall
RETE.
• IPS
A TAL PROPOSITO VENGONO UTILIZZATE • Encryption
DELLE SOLUZIONI PER IL CONTROLLO • NAC
DEGLI ACCESSI, NEL SEGUITO NE
VEDREMO DUE APPARTENENTI ALLE
CATEGORIE PREVENTIVE E DETECTIVE: DIRECTIVE RECOVERY
• Standards • Backup
 CISCO IDENTITY SERVICES ENGINE (ISE) • Recovery System Function
 CISCO CYBER VISION • Rebuild
PRINCIPALI FUNZIONALITÀ DI UNA SOLUZIONE
NAC
Le soluzioni NAC aiutano le organizzazioni a controllare l'accesso alle loro reti attraverso le seguenti
funzionalità:

GESTIONE DEL CICLO DI VITA DELLE POLICY

1
Applica le policy per tutti gli scenari operativi senza richiedere prodotti separati o moduli aggiuntivi.

PROFILAZIONE E VISIBILITÀ
2
Riconosce e profila gli utenti e i loro dispositivi prima che il codice possa causare danni.
GUEST NETWORKING ACCESS
3 Gestisci gli ospiti attraverso un portale personalizzabile e self-service che include la registrazione,
l'autenticazione, la sponsorizzazione e un portale di gestione.
SECURITY POSTURE CHECK
4
Valuta la conformità delle politiche di sicurezza per tipo di utente, tipo di dispositivo e sistema operativo.
INCIDENT RESPONSE
5 Mitiga le minacce alla rete applicando politiche di sicurezza che bloccano, isolano e riparano le macchine non
conformi senza l'attenzione dell'amministratore.
INTEGRAZIONE BIDIREZIONALE
6
Integrazione con altre soluzioni di sicurezza e di rete attraverso le RESTful API.
CISCO ISE Visibilità
Restituisce informazioni su
chiunque entri nella rete
Cisco Identity Services
Engine (ISE) è una
piattaforma di Network Access
Control e di Policy
Enforcement.
Un sistema NAC può negare
l'accesso alla rete ai
dispositivi non conformi,
collocarli in un'area in
quarantena o concedere loro
solo un accesso limitato alle
risorse informatiche,
impedendo così ai nodi non Controllo
sicuri di infettare la rete. Controllo su accesso alla
rete e segmentazione
Compliance
Aiuta a rinforzare le policy
aziendale
INTRODUZIONE A
CYBER VISION
 CYBER VISION

Cisco Cyber Vision è una soluzione di Network

Security Monitoring in grado di garantire visibilità e
monitoraggio del traffico di rete generato dai dispositivi
IoT.

Nel dettaglio fornisce :

 Visibilità del mondo IoT, incluso l'inventario dinamico delle

risorse;
 Il monitoring in tempo reale della rete e dei dati;
 Una intelligence completa sulle minacce, in modo da rendere
l’infrastruttura sicura.

Inoltre, l’integrazione con Cisco ISE consente di applicare policy di

sicurezza per controllare eventuali accessi anomali.
COMPONENTI DELLA SOLUZIONE CYBER VISION

Cisco Cyber Vision sfrutta il Deep Packet Inspection per decodificare protocolli
industriali al fine di fornire un inventario degli assets, riconoscere i flussi applicativi e
mediante l’uso delle baseline è in grado di identificare anomalie e cambiamenti
operativi. La soluzione è composta dai seguenti componenti:

1 Cyber Vision Global Center: Componente centrale del

CYBERVISION GLOBAL CENTER

sistema che aggrega i dati provenienti da tutti i Cyber

Vision Center

2 Cyber Vision Center: Componente centrale del sistema CV CENTER CV CENTER CV CENTER
che riceve i dati dai sensori e fornisce la GUI per
consultarli
SENSORI SENSORI SENSORI

3 Cyber Vision Sensor: Componente software installata sui

dispositivi network del campo per ricevere i dati
provenienti dai device IoT ed inviarli al Cyber Vision
Center
OVERVIEW DELLE
PRINCIPALI FUNZONALITÀ
CYBERVISION - DASHBOARD
Le informazioni raccolte si riferiscono a:
Components: sono i dispositivi IoT individuati da Cyber Vision
Una volta effettuato il login, l’utente si troverà di fronte ad
una dashboard che riepiloga le informazioni relative
all’attività del sistema e una barra di menù sul lato sinistro.
Groups: un modo per raggrupparli, tipicamente per la loro
posizione fisica

Activities: si tratta di un insieme di flussi o comunicazioni tra i

vari dispositivi.

Vulnerabilities: rappresentano le vulnerabilità che sono

state identificate durante l’attività di discovery dei
componenti

Variables: puntatori di memoria relativi a

device/protocolli che sono stati inviati attraverso la
rete

PLC Program Download: attività specifica che si traduce

nella modifica del codice in un PLC.

System Events: sono tutti gli eventi che si verificano al

trascorrere del tempo, ad esempio, l’accesso alla
dashboard di sistema, il discovery di un nuovo
componente o la sua modifica.
CYBER VISION – ASSET INVENTORY
DESCRIZIONE
La vista ad elenco permette una visualizzazione dei componenti e delle informazioni, ad esempio, i gruppi ai
Il sistema consiste nell’inserire, come nei social, un sistema di faccette espressive che
quali appartengono le risorse, informazioni temporali rispetto alla prima e all’ultima attività rilevata,
consentano valutazioni rapide ma significative
l’indirizzo IP e l’indirizzo MAC ed eventuali tag basati sul tipo di comunicazione.

ELENCO

MAP -
SIMPLE

MAP -
EXPERT

PURDUE
MODEL IEC 62443
C YB E R VIS ION – NUOVO DIS POS ITIVO IOT
DESCRIZIONE E AZIONE INTRAPRESA
Una volta che la soluzione Cyber Vision sarà a regime, l’ambiente IoT risulterà essere prevalentemente statico. Quando un
nuovo dispositivo viene rilevato, Cyber Vision segnalerà un evento con criticità High.

FUNZIONALITÀ

All’interno della
das hboard di C yber
Vision passando il
mouse sugli anelli degli
eventi è possibile
vedere le
c ategorizzazioni degli
eventi, cliccando è
possibile ottenere tutte
le informazioni riguardo
alla categoria
selezionata.

All’interno di Cyber Vision le associazioni tra eventi e

criticità degli stessi può essere personalizzata a
piacimento dalla sezione Admin
 CYBER VISION - REPORTISTICA
Continuando nella navigazione del menù laterale, la seconda voce è Reports.
Da questa schermata sarà possibile creare quattro tipologie di report differenti:

INVENTORY REPORT ACTIVITY REPORT VULNERABILITY PLC REPORT

REPORT

Contiene tutte le Contiene le informazioni È costituito da una

informazioni in merito ai
dispositivi IoT, ad esempio,
il MAC address, l’indirizzo
IP, il nome di rete, la data
della prima attività, quella
dell’ultima, etc, etc.
relative alle Fornisce una lista di
lista di tutte le
comunicazioni tra tutti i programmi o
vulnerabilità associate
dispositivi, ovvero, si blocchi di programmi
ai dispositivi IoT,
tratta di una lista di flussi trovati. (Fortemente
eventuali remediation
con sorgenti, utilizzato nel mondo
e un link al vendor
destinazioni, porte, etc OT)
etc
CYBER VISION – EVENTS
La voce di menu Events consente di accedere ad una schermata
riepilogativa che mostra i vari eventi suddivisi per criticità.
Passando il puntatore del mouse su ciascun arco dei cerchi
comparirà un pop-up riepilogativo.
È possibile visualizzare rapidamente gli eventi relativi al giorno,
settimana, mese e anno. Inoltre, è possibile selezionare la finestra
temporale desiderata.
CYBER VISION – BASELINE E PRESETS

! Quando viene rilevata una deviazione da quello

che è stato definito come comportamento
normale, allora Cyber Vision scatena un alert. È
possibile creare una baseline per ciascun Preset
selezionando la voce Explore dal menù sul lato
sinistro, selezionare i tre puntini verticali e
scegliere l’ultima voce del menù (Create
baseline).

Partendo dal presupposto che tipicamente

l’architettura di una rete industriale è statica,
Cyber Vision avverte gli operatori quando rileva
una qualsiasi variazione, però, per farlo è
necessario creare una baseline di riferimento
per il sistema. Sostanzialmente una baseline è
uno snapshot che definisce quelli che sono i
comportamenti “normali”.
CYBER VISION
INDIVIDUARE LE VULNERABILITÀ
Tra i device presenti nell’asset, è possibile che ve ne siano alcuni che presentano vulnerabilità. Cisco
Cyber Vision è in grado di rilevarle, segnalarle e gestirle.

Cyber Vision è in grado di rilevare la vulnerabilità di un componente sia in fase di inziale discovery dello
DESCRIZIONE stesso, sia successivamente, quando una vulnerabilità di un determinato componente viene pubblicata.
Una volta rilevata la vulnerabilità Cisco Cyber Vision genera un alert con severity High.

Selezionando uno dei componenti presenti nell'asset è possibile accedere al registro tecnico dove
vengono riportate molte informazioni tra cui le vulnerabilità conosciute.

Per ciascuna vulnerabilità che impatta il componente viene fornita:

 una descrizione
 la soluzione (se esiste)
 il numero di Common Vulnerability and Exposure (CVE)
FUNZIONALITA’  link al sito del produttore sull’argomento
 dei link per l'approfondimento esterni (se disponibili)
 il Common Vulnerability Scoring System (CVSS)
 la possibilità di riconoscere e archiviare la vulnerabilità specificando il motivo di questa azione
CYBER VISION – RECONNAISSANCE ATTACK
DETECTION

1 2 3

DESCRIZIONE AZIONE INTRAPRESA FUNZIONALITÀ

Avendo una catalogazione
Cisco Cyber Vision Se un dispositivo di rete connesso
accurata degli asset aziendali
perme tte di rilevare alla rete monitorata da Cyber
all’interno della dashboard di
attività di tipo Vision effettua attività classificabili
Cyber Vision è possibile
reconnaissance all’interno come reconnaissance, come ad
individuare la zona o il sito
del traffico monitorato esempio un’attività di port
coinvolto nell’evento.
scanning, Cyber Vision lo rileva e
Per l’operatore che utilizza la
genera immediatamente un evento
soluzione è possibile sfruttare
di sicurezza Critical
l’integrazione con Cisco ISE per
mettere in quarantena il
dispositivo sorgente .
CHI GESTIRÀ LA SOLUZIONE E COSA CI FARÀ ?
La soluzione, una volta a regime, verrà data in
gestione al personale del SOC per monitorare i
dispositivi IoT presenti in azienda.
Il SOC potrà customizzare la soluzione in base
a quelle che sono le esigenze aziendali e
inviare al SIEM (Security Information Event
Management) solo gli eventi che ritiene
opportuni, ad esempio quelli con severity
Critical e High
Il personale del SOC avrà anche la possibilità di
controllare i flussi di traffico da e verso i dispositivi IoT in
modo tale da rilevare eventuali flussi illeciti.
Grazie al supporto del modello Role Based
Access Control (RBAC), la soluzione consente
di definire dei privilegi di accesso in funzione
al ruolo ricoperto dal personale del SOC.
ACCENTURE SECURITY
ACCENTURE SECURITY SERVICE OFFERINGS
COMMUNICATIONS, FINANCIAL SERVICES HEALTH & PUBLIC PRODUCTS RESOURCES
MEDIA, TECHNOLOGY SERVICE

INDUSTRY IX.0 SECURITY IX.0 SECURITY

SECURITY
SOLUTIONS SECURITY STRATEGY & RISK

• Advanced Attack & Readiness Operations

SERVICES & CYBER DEFENSE
• Application Security Advisory Services
• Cyber Operations & Resilience
• Cyber Threat Intelligence
OFFERINGS SERVICES • Cyber Investigation, Forensics & Response

• Cloud & Infrastructure Security • Integrated Risk Management (GRC)

APPLIED CYBERSECURITY • Platform Security
• Data Protection
SERVICES • Digital Identity

• Managed Application Security • Managed Security Risk

MANAGED SECURITY • Managed Cloud Security • Managed Threat Operations
SERVICES • Managed Digital Identity
EVENTUALI DOMANDE
 Flavio Cioppa
Security Delivery
Associate Manager

GRAZIE PER
L’ATTENZIONE

Giulia Esposito
Security Consulting
Analyst