CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17

Sécurité de l’IoT

Nice, France10 Mars 2017

Pascal Delprat – [email protected]

75 Milliards d’objets à horizon 2025

2016 Cisco and/or its affiliates. All rights reserved. Cisco confidential.

CYBERSECURITE

Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.

ENTREPRISESPARTICULIERS INDUS/SMART CITIES


ExemplesIOT:RéseauxdecapteursurbainsPrésentationdispositifsPlacedelaNationetbâtimentsintelligents

1.Mieux comprendre l’espace public

2.Optimisation delagestion del’énergie danslesbâtiments

CDP,MERAKIwifi,CMX,LoRaWAN,cameras,video

analytics,Energy/AssetManagement


PlacedelaNation–Descasd’usageorientésfluxetenvironnement

•Comptage des piétons, vélos, véhicules par zone

•ComptagedeséquipementmobilesWi-Fi/BLE

•Mesure de l’environnement sonore

•Mesure de la qualité de l’air

•Suivi des espaces verts

•Mesure du remplissage des colonnes de collecte de verres

•Analyse du stationnement gênant

•Analyse des données flux

•Indices de confort des piétons

•Arbre dépolluant connecté

Cisco7530PDCamera

CiscoOutdoor MR66WifiAccessPoint

PoleCabinetwithIE4000Switch

Plug&Play Services

Data Producers

AnalyticsCorrelation

Trending

CMX Analytics

Place de la nation

Wifi AP Camera Powered Sensor(air, temp, humidity)

Low Power Sensor(waste, soil,, vehicle)

WifiInfrastructure VSM

Video Analytics

(flow)

Adapter Adapter Adapter Adapter

Video Streams

WirelessData

LORAWANInfrastructure

Video Streams

Video Analytics (other)

Adapter

SocialData

FinancialData

CityAsset

Open Data

GIS VisualizationFlow VisualizationFlow Dashboard

DATA Lake

App Layer / API (Normalized Data)

Real TimeAnalytics

BatchAnalytics

Time SeriesTools

ANY…

Adapter

ANYInfra

Flow CITY BOTS

ANY APP/SERVICE

…


ExemplesIOT:RéseauxdecapteursurbainsPrésentationdispositifsPlacedelaNationetbâtimentsintelligents

DE NOUVEAUX ENJEUX DE SÉCURITÉ

CYBERSECURITE


CYBERSECURITE


Objets démocratisés, abordables, autonomes ; et tout le monde les veut !

Non pensés autour de sécurité

Un mécanisme d’espionnage (vie privée) et une arme massive de DDoS - L’exemple Dyn, Oct 2016

493 000 objets compromis par Mirai (botnet) !!!

Particuliers & IoT déjà des enjeux forts

CYBERSECURITE


Nouveaux usages : caméras connectées, bâtiment intelligent, …

BYOD avec objets (montres, …) & des employés qui se connectent. Shadow IoT.

Ex: frayeur du Romantik Hotel en Autriche, Jan 2016 (serrures & ransomware)

Entreprises & IoT de nouveaux usages

CYBERSECURITE


Environnements critiques 24/7, besoin absolu de continuité d’activité (réseaux électriques, ...) & de sécurité (risque de mort)

Un nouveau paradigme : SCADAs, contrôleurs programmables, pas de sécurité spécifique !

Risques : attentat, vol de données, perturbation d’activité, …

Ex: Stuxnet (2010), aciérie allemande (2015), Ukraine …

Environnements industriels/Smart Cities

IT – Info Tech OT Oper Tech

Connected City

Connected Transportatio

n

ConnectedCar

Connected Service Provider

Connected Retail

Digital Manufacturing

Connected Utilities

Digital Healthcare

Note: IT & OT As Defined by IOT BU*OT Baseline Features

Illustrative

Level 5Enterprise Network

Level 4Site Business Planning

Level 2 Cell/Area ZoneArea Control

Level 3 Plant ZoneSite Operations & Control

Level 1 Cell/Area Zone Basic Control

Level 0 Cell/Area ZoneProcess

Level 3.5 DMZDemilitarized Zone

Purd

ue M

odel

100% IT

E.g. Virtual Patient, IP Video, Wi-Fi, RFID, Medical Inventory Trackers, Patient Media Experience

90% IT

E.g. Store-in-a-box, Digital Experience, Electronic Shelf-Edge Labels, Product Tracking Tags

70% OT

E.g. SCADA, ICS,EMS,AGC, Automation, Robots, Assets Tracking, & RFID Tag Reader

10% OTE.g. Asset Tracking

30% IT

E.g. ERP, Finance, & A/P

70% OT

E.g. Smart Gas Meter, Power Room, Distribution & Substation, Oilfield, Refinery, & Smart Grid Devices

30% IT

E.g. Backend Offices

40% OTE.g. Roadways, Trackside, Onboard, & Mobile Signature Device

60% IT

E.g. 60% IT Stations, Wi-Fi, Automated Kiosks/Console Traffic & Parking Sensor

40% OTE.g. Automotive Subsystems Interior to Safety Sensors

60% IT

E.g. Collaborative to Navigation Applications

90% IT

E.g. City Wi-Fi, Location, Traffic, Safety/ Security, Smart Trash Bins,& Smart Building

10% OTE.g. Asset Tracking

30% OTE.g. Remote Cell Towers

70% IT

E.g. Fleet, asset Management

Tous les secteurs sont concernés

CYBERSECURITE


InfrastructureConnexion initiale de l’objet, échanges avec l’infrastructure & vers l’extérieur

Sécurité – à quels niveaux ?

ObjetSécurité au niveau matériel, logiciel & firmware

CYBERSECURITE


Infrastructure – de l’objet au dashboard

• L’objet : firmware, mot de passe, accès physique, …

• Entre l’objet et l’infrastructure : chiffrement, communication RF

• L’infrastructure : routers, commutateurs, pare-feu, détectiond’intrusion, Stealthwatch, Umbrella, Cloudlock, …

BRKIOT-2112 17

CYBERSECURITE

Sécurisation de l’IoT

CYBERSECURITE


Un modèle réseau & sécurité spécifique IoT & durci pour un environnement industriel :

• Continuité d’activité 24/7

• Intelligent : vérifie la politique d’accès, protège contre les DDoS, sert de capteur

• PVLAN, DAI, DHCP snooping, IP Source guard

• Protection de l’intégrité: Secure Boot/Trusted Anchor & Image Signing

1. La fondation d’une infrastructure intelligente

CYBERSECURITE


Classification de tous les appareils qui se connectent (caméra de surveillance connue, imprimante, objet étranger, …)

Politique de sécurité dynamique poussée au réseau (Trustsec/802.1X)

Accès distant sécurisé & authentifié (PKI/FlexVPN/SSH/TACAS/X509)

Une anomalie ? Mise en quarantaine automatique

2. Profilage à la connexion

CYBERSECURITE


Stealthwatch - Collecte & corrèle toute l’activité du réseau, identifie les anomalies (communications anormales entre les objets, vers le reste du réseau, …)

Agit sur la politique d’accès en conséquence

Apporte cette visibilité & cette sécurité à l’IoT y compris sur couche Fog

3. Réseau comme capteur & protecteur

CYBERSECURITE


DNS : utilisé par tout objet voulant communiquer vers l’extérieur

OpenDNS/Umbrella pour empêcher toute connexion vers une destination anormale ou malveillante

Visibilité en temps réel sur 4 à 5% des requêtes DNS mondiales

4. Flux extérieurs, un filtrage au niveau DNS

IoTSystems

CYBERSECURITE


DouzeNouveaux malware/sec

600 Mds d’Emails(environ 1/3)

16 MilliardsRequêtes Web

Honeypots

CommunautésOpen Source

150M+ Sandboxes, Endpoints, …

250+ chercheurs& ingénieurs

4-5% desRequêtes DNS

20 MilliardsDe menaces bloquées/j

TALOS

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public

Web Apps DNS FTP

Internet

Gbps Link for Failover

Detection

Firewall(Active)

Firewall(Standby)

Factory Application

Servers

Access Switch

Network Services

Core Switches

AggregationSwitch

Patch Mgmt.Terminal ServicesApplication MirrorAV Server

Cell/Area #1(Redundant Star Topology)

DriveController

HMI Distributed I/O

Controller

DriveDrive

HMI

Distributed I/O

HMI

Cell/Area #2(Ring Topology)

Cell/Area #3(Linear Topology)

Layer 2 Access Switch

Controller

Cell/Area ZoneLevels 0–2

Manufacturing ZoneLevel 3

Demilitarized ZoneLevel 3.5

Enterprise NetworkLevels 4–5

Access ControlRuggedized Firewall and Intrusion DetectionAdvanced Malware protection and Threat IntelligenceRemote Monitoring / SurveillanceSW, Config & Asset Mgmt

VPN & Remote Access ServicesNext-Generation FirewallIntrusion Prevention (IPS)

Cloud-based Threat ProtectionNetwork-wide Policy EnforcementAccess Control (application-level)

Stateful FirewallIntrusion Protection/Detection (IPS/IDS)Physical Access Control Systems

ISE

Annexe – CVD Sécurité IT/OT CYBERSECURITE

CYBERSECURITE

Cisco confidential.

L’IoT va transformer tous les secteursL’enjeu de sécurité associé est massif – une fondation solide & sécurisée

constitue le point de départ

CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17

Technology

Transcript of CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17