Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
Organizzazione mondiale no-profit (www.cloudsecurityalliance.org) Più di 27,000 soci individuali, 100 aziende associate, 50 capitoli Creare best practices e sistemi cloud considerati “trusted” Filosofia “Agile”: utilizzare nella pratica i risultati della ricerca applicata Bilanciare le esigenze di conformità con la gestione dei rischi Utilizzare al meglio gli standard esistenti Rappresentare il punto di riferimento nel mercato del cloud Promuovere l’innovazione Appoggiare e promuovere una politica consapevole Certificazione delle competenze sulla sicurezza nel cloud (CCSK) “promuovere l’utilizzo di “best practice” al fine di garantire la sicurezza nell’ambito del Cloud Computing, e fornire la necessaria formazione e sensibilizzazione sull’utilizzo del Cloud, al fine di consentire di rendere sicure tutte le forme di computing”
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
http://cloudsecurityalliance.org/research Governance and Enterprise Risk Management CSA Guidance: guida di best practice sulla sicurezza del cloud computing Legal and >100,000 downloads (cloudsecurityalliance.org/guidance ) Electronic Discovery wiki.cloudsecurityalliance.org/guidance Compliance and Audit
CSA GRC Stack: strumenti per la gestione della governance, risk e Information Lifecycle Management compliance in ambito cloud Portability and Interoperability Cloud Trust Protocol: open standard e API per verificare la sicurezza del Security, Bus. Cont,, and Disaster Recovery cloud Center Operations CSA STAR Registry: registro pubblico dei CloudData Service Provider che Incident Response, Notification, Remediation intendono, su base autovalutazione, qualificarsi sui requisiti di Security, Trust e Assurance Application Security Trusted Cloud Initiative: proposta di una Cloud Security Reference Encryption and Key Management Architecture Identity and Access Management Security as a Service (SecaaS): Guidance per l’adozione dei servizi Virtualization Security as a Service CloudSIRT: Consensus research for emergency response in Cloud
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
50 capitoli già esistenti ed altri costituendi nel mondo Obiettivi principali traduzione delle guide focalizzare i temi di ricerca “global” alle esigenze del mercato cloud locale creare progetti di ricerca specifici
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
promuovere e sviluppare temi di ricerca sul cloud computing security che possano contribuire al corretto e consapevole utilizzo dei servizi cloud, con particolare attenzione al mercato della Piccola e Media Impresa (PMI) Italiana; promuovere la condivisione di conoscenza del tema sia attraverso la partecipazione ad eventi/conferenze/seminari, accordi con associazioni professionali di settore e stampa specializzata; promuovere le certificazioni professionali gestite da CSA (CCSK); qualificarsi come interlocutore privilegiato nei principali tavoli di discussione sul cloud computing security.
> 470 iscritti al linkedin group CSA Italy
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
L'associazione CSA Italy Chapter è aperta a tutte le persone, aziende, associazioni che hanno interesse ad approfondire i temi del cloud computing ed in particolare sulla sicurezza del cloud. L'adesione non comporta alcun costo per soci individuali o associazioni no-profit di settore. Per le aziende è prevista una quota associativa annuale.
Per i soci individuali è necessario essere membri di CSA Global (adesione al linkedin group) per Aziende ed Associazioni contattare:
[email protected]
* la modulistica disponibile sul sito di CSA IT http://cloudsecurityalliance.it/soci-e-board/diventa-socio/ Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Vantaggi per i soci condivisione di esperienze con professionisti del settore;
possibilità di sconti per la partecipazione a eventi/conferenze; 6 meeting annuali con il board dell'associazione per avere una voce nella vita del capitolo; possibilità di partecipare alle ricerche avviate dal Capitolo.
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Vantaggi per le aziende ruolo di Advisory nel Comitato Scientifico di CSA Italy (fornendo un project leader); presentazione del logo aziendale nel sito web CSA Italy; utilizzo della lista dei soci (via LinkedIn) per promozioni marketing;
utilizzo dell’account Twitter di CSA Italy @CSA_Italy; supporto di CSA Italy per l’organizzazione dei contenuti delle campagne marketing e di formazione in ambito cloud computing security;
priorità nella sponsorizzazione dii eventi organizzati da CSA Italy; utilizzo del logo CSA Italy nel sito web aziendale; contributi degli esperti CSA Italy per la redazione di documenti pubblici (press release, whitepaper) in ambito cloud computing security. Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Presidente: Alberto Manfredi Vice Presidente: Matteo Cavallini, Loredana Mancini Responsabile Marketing: Lucilla Mancini Segreteria: Yvette Agostini
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Eventi
Organizzati dal Comitato Direttivo e volti alla condivisione di informazioni, idee ed esperienze
Gruppi Di Lavoro
Soci
Presieduti da un membro del Comitato Direttivo, in collaborazione con enti e istituti di ricerca sui temi connessi alla sicurezza del cloud in costante allineamento con CSA global
I contributi e i temi dei WG possono essere originati da tutti i soci
Lavori del CSA Italy Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
GdL Data Breach Scopo: definire una breve guida di orientamento indirizzata alle aziende fornitrici di servizi , per mettere in evidenza i principali aspetti contrattuali e di misure tecniche –organizzative Stato Attività Id Macro
Entro inizio Aprile
A
Predisporre una survey da condurre in ambito associati CSA ITALY CHAPTER
B C
Esecuzione survey e finale Review riscontri Definizione dell’indice della linea guida e degli allegati (checklist,…)
D
Panoramica EU level obbligazioni di data breach in essere e programmate
D D
Analoga panoramica a livello normativa IT Evidenza Punti critici per il contesto Cloud Computing
D
Traccia/checklist per misure di carattere contrattuale in ambito Cloud Italy law
D
Traccia/checklist per misure di natura tecnica/organizzativa in ambito Cloud Italy law
E
Review materiale ed invio a Vertua
Entro metà Aprile
Legenda per lo Stato
Copyright © 2011 Cloud Security Alliance - Italian Chapter
Entro inizio Maggio
Entro metà Maggio
Planned
Progress
Entro inizio Giugno
Entro metà Giugno
Entro inizio Luglio
chapters.cloudsecurityalliance.org/italy
GdL BYOD (ex tablet-smartphone) Scopo: define a brief guide line addressed to small and medium-sized companies that want to allow the use of smartphone / tablet as a working support tool and at the same time permitting the personal use by individual employee / consultant. The guide will highlight the main risks and possible countermeasures, with particular reference to regulatory issues concerning remote control of workers and the general aspects of privacy and personal data protection at national level. NOTA: data la composizione internazionale del GdL, lo studio sarà preparato in inglese e successivamente poi tradotto in italiano Stato Attività Within May 15
Id Macro A A B
Survey preparation Survey execution Overview of the applicable law concerning remote monitoring of workers EU level and IT, UK, NZ
B
Overview of the applicable law concerning privacy and data protection EU level and IT, UK, NZ
C
Cloud computing and (Big data) issues affecting BYOD
D
Define a smart/useful representation of recommendations-checklist
D E
Prepare the recommendations -checklist Final review before issuing toward Project Leader
Within May 31
Legenda per lo Stato
Copyright © 2011 Cloud Security Alliance - Italian Chapter
Within June 15
Within June 30
Planned
Within July 15
Progress
chapters.cloudsecurityalliance.org/italy
GdL Data Forensics su Cloud in ambito aziendale: cosa aspettarsi Scopo: individuare una serie di raccomandazioni utili in particolare per le piccole e medie imprese, in relazione all'utilizzo dei servizi cloud. il GdL si propone di scrivere un documento di massimo 50 pagg in cui affrontare, sia dal punto di vista tecnico, sia dal punto di vista giuridico, i problemi e gli interrogativi più frequenti degli utilizzatori di servizi cloud, affinchè possano trovare delle prime risposte e delle prime indicazioni di intervento, senza che il contenuto offerto possa ritenersi risolutivo o esaustivo e, quindi, senza che il documento si sostituisca agli approfondimenti e agli studi di consulenti e professionisti. Il gruppo non esclude di preparare il testo non solo in lingua italiana ma anche in lingua inglese e si prefigge, altresì, di produrre degli schemi riassuntivi delle tematiche trattate Piano di Lavoro: 1. ENTRO 30 MAGGIO: saranno definiti i vari casi (problematiche) da affrontare e studiare sia dal punto di vista tecnico sia dal punto di vista giuridico 2. ENTRO 30 GIUGNO: verranno stese le prime due raccomandazioni a prova della correttezza dell'approccio scelto e della comprensibilità dei contenuti 3. ENTRO 30 SETTEMBRE: conclusione della stesura delle raccomandazioni 4. ENTRO 30 NOVEMEBRE: modifiche ed integrazioni al documento e predisposizione degli schemi riassuntivi
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
GdL SSDLC e SDLC in ambito Cloud Scopo: Realizzazione di un documento di indirizzo e linee guida per l’applicazione del modelli SSDLC e SDL rispetto alle attuali soluzioni Cloud ed ai relativi modelli di deployment. Questo documento costituirà un punto di riferimento per i Cloud Service Consumer per la determinazione delle responsabilità in tema di sicurezza delle applicazioni software nei vari modelli di cloud. Tale iniziativa avrà, inoltre, come obiettivo quello di delineare il campo di azione (in termini di sviluppo di applicazione sicure) dei CSC e conseguentemente proporre soluzioni per far fronte alle criticità indotte dalla tecnologia Cloud.
Id Macro
Entro inizio Aprile
A
Consolidamento componenti del gruppo di lavoro
B
C
Predisposizione pianificazione iniziale Individuazione documenti di riferimento e di supporto
D
Predisposizione indice dei contenuti
E
Redazione del documento in bozza (prosegue nel secondo semestre) Revisione ed approvazione del documento dal GdL (inizia nel secondo semestre al termine dell’attività «E»)
F
Entro metà Aprile
Legenda per lo Stato
Copyright © 2011 Cloud Security Alliance - Italian Chapter
Entro inizio Maggio
Entro metà Maggio
Planned
Progress
Entro inizio Giugno
Entro metà Giugno
Entro inizio Luglio
chapters.cloudsecurityalliance.org/italy
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
GdL Traduzioni Scopo: Diffusione del materiale CSA in lingua italiana; diffusione del materiale CSA Italy in lingua inglese
Partecipanti: Stato Attività Id Macro
Entro inizio Maggio
A
Traduzione Rapporto Clusit 2013
A A
Consegna Rapporto Clusit 2013 per review Editing Rapporto Clusit 2013
B
Traduzione GuidanceV3
B B
Review GuidanceV3 Editing GuidanceV3
C
Traduzione CCSK3
D
Traduzione Mobile Guide
Entro metà Maggio
Entro inizio Giugno
Entro metà Giugno
Planned
Progress
Entro inizio Luglio
Entro metà Luglio
Entro inizio Agosto
E Legenda per lo Stato
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Collaborazioni: ASSINTEL Gruppo di Lavoro “Sicurezza Informatica” • Sono stati attivati 3 sottogruppi: Mobile, Cloud e GRC • entro giugno Assintel raccogliera’ le adesioni, per sottogruppo, delle aziende interessate
• CSA Italy sara’ responsabile del sottogruppo “Cloud Security”
Ulteriori informazioni su http://www.assintel.it/soci/gruppi-di-lavoro/gruppo-sicurezzainformatica-assintel/
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Collaborazioni: AIIC Gruppo di Lavoro su Infrastrutture Critiche e Cloud Computing Obiettivi: 1. Esplorare le strategie nazionali, le pratiche correntemente adottate, gli orientamenti, le aspettative, le iniziative e le organizzazioni dei principali attori coinvolti nello sviluppo di servizi erogati attraverso le Infrastrutture Critiche mediante l’adozione di tecnologie Cloud. 2. Identificare le Infrastrutture Critiche che utilizzano il Cloud, che sono operative, o che sono nella fase di pianificazione e/o implementazione 3. Esplorare le politiche, le metodologie e le tecnologie adottate nella fase di migrazione e nella fase di produzione/operazione di Infrastrutture Critiche 4. Definire l’area di interesse di una strategia/framework e i principali problemi relative alla sicurezza delle Infrastrutture Critiche quando vengono adottate tecnologie Cloud. I principali problemi da investigare dovrebbero essere: • I principali aspetti che devono essere considerati per una IC nel Cloud con particolare attenzione alla sicurezza e alla resilienza • Le misure di risk assessment, preparedness, response and recovery già sviluppate o che possono essere adottate per proteggere le infrastrutture ed i servizi di una Infrastrutture critiche
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
In informatica, l'acronimo SCADA (dall'inglese "Supervisory Control And Data Acquisition", cioè "controllo di supervisione e acquisizione dati") indica un sistema informatico distribuito per il monitoraggio elettronico di sistemi fisici. Tipicamente, i sistemi di tipo SCADA sono utilizzati come sistemi di controllo in ambito industriale per il monitoraggio e controllo infrastrutturale o di processi industriali e sono composti da: - uno o più sensori, che effettuano misurazioni di grandezze fisiche; - uno o più microcontrollori, che possono essere PLC o microcomputer, che, continuativamente o a intervalli di tempo, effettuano misurazioni tramite i sensori a cui sono collegati e memorizzano i valori misurati in una memoria locale; - un sistema di telecomunicazione tra i microcontrollori e il supervisore. Può essere una rete di computer, oppure un insieme di linee seriali; può essere basato su cavo o su radio. Nei casi tipici sono cavi seriali digitali per brevi distanze, doppini di tipo telefonico a cui sono collegati o dei modem a bassa velocità, per medie distanze, oppure ponti radio o telefoni cellulari, per grandi distanze; - un computer supervisore, che periodicamente raccoglie i dati dai microcontrollori, li elabora per estrarne informazioni utili, memorizza su disco i dati o le informazioni riassuntive, eventualmente fa scattare un allarme, permette di selezionare e di visualizzare su schermo i dati correnti e passati, eventualmente in formato grafico, ed eventualmente invia informazioni selezionate al sistema informativo aziendale.
Fonte: http://it.wikipedia.org/wiki/SCADA Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Anni ‘70 L’Era Del Mito
Fabulous ’80 I Pioneri
Anni ‘90 Gli esibizionisti
Anni 2000 Le applicazioni
1995
1981
Industria (e servizio)
2009-2012
A San Francisco viene arrestato Kevin Mitnick
Il PC IBM l’architettura x86
inaugura
Una gang di cyber criminali Russi coordinata da Vladimir Levin, tenta di sottrarre 10 milioni di dollari da Citibank.
Si diffondono le bot, nuova forma di Cyber Crime Organizzato. L’FBI scende in campo per constrastare il fenomeno.
Ian Murphy, aka. "Captain Zap“ è il primo hacker condannato: accede ai computer AT&T e cambia il clock di fatturazione.
1971
1986
Allo stadio Azteca di Città del Messico si gioca Italia Germania.
Incidente al reattore 4 della Centrale Nucleare di Chernobyl
John Draper aka “Captain Crunch” costruisce la Blu Box e ripdroduce il segnale a 2600 Hz utilizzato dalle centraline telefoniche
Si diffonde in tutto il mondo l’“Influenza Pakistana”: il virus (innoquo) Brain scritto dai fratelli Basit e Amjad Farooq Alvi.
2003 Kevin Mitnick è nuovamente autorizzato ad usare il computer SQL Slammer, grazie a vulnerabilità di MS SQL Server, si guadagna il titolo di Worm con la maggiore velocità di diffusione
Copyright © 2011 Cloud Security Alliance - Italian Chapter Fonte: Sparrow
L’infezione di Stuxnet rallenta il programma Nucleare Israeliano
chapters.cloudsecurityalliance.org/italy
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
Alla fine del 2010 il panorama della sicurezza mondiale è scosso da un fulmine a ciel sereno…
Un virus informatico che infetta i Sistemi di Controllo Siemens utilizzati per l’arricchimento dell’Uranio… Fonte: Sparrow
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
Il Virus altera il normale ciclo di funzionamento per i convertitori di frequenza utilizzati nei SIstemi di Controllo Industriale. Stuxnet agisce per convertitori di frequenze operanti a cicli elevati (tra 807 Hz e 1210 Hz), variando la frequenza (e quindi la velocità di funzionamento del motore) per brevi periodi su scale di mesi, alterandone il comportamento e di fatto sabotando l’infrastruttura. Le caratteristiche rendono il virus di fatto invisibile e i suoi effetti sono assimilabili a quelli di un normale malfunzionamento! Fonte: Sparrow
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
2 3 4
- Control System - Sensors, Switches - Valves, Pumps, Transformers - Resource 4
1
2
3
Fonte: Saunders FISSEA
Courtesy NIST Manufacturing Engineering Lab, Intelligent Systems
1
Control System – brains of a electronic and/or electromechanical system with sensors used to monitor & change levels or Copyright direct: air, water/fluid, electricity, traffic, fuel, etc. chapters.cloudsecurityalliance.org/italy © 2011 Cloud Security Alliance - Italian Chapter
Electrical distribution, & UPS
Fire alarms & suppression
Natural gas distribution
Elevators & escalators
Fuel Oil storage & flow
Gates & doors, alarms
Water storage & flow
Video security cameras
Lighting
Traffic signals
Heating, cooling, ventilation
Process Line Control
Fonte: Saunders FISSEA
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
IMPIANTI
INFRASTRUTTURE Focus
Focus Safety
Security
100% Availability
99.5% Availability
Electro-mechanical
Electronic
No updating, Aged equipment
Continuous Updating, New products and systems
The Language
The Language
RTUs, PLCs, IEDs
Routers, Switches, Servers
DNP, Modbus
IP, Ethernet
Low Bandwidth
High Bandwidth
Analog & Digital
All Digital
Fonte: Saunders FISSEA
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
Access Airport Lighting Controls From your PDA
SOURCE: Vendor’s web site
Security by obscurity
SOURCE: Vendor’s presentation
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
MERLONI In vendita gli elettrodomestici intelligenti che sanno risparmiare energia elettrica, sono capaci di diagnosticare da soli i possibili guasti, prelevano da Internet l'aggiornamento dei programmi e persino le ricette di cucina, comunicano via telefonino Gsm col padrone di casa Basta attaccare la spina, e il gioco è fatto. Perché gli elettrodomestici hanno un sistema di regolazione perfezionato, fondato su un nuovo hardware (microcontrollori specifici, piccoli computer che controllano gli elettrodomestici), un software innovativo (basato sulla tecnologia fuzzy logic) e nuovi sensori, sviluppati ad hoc dalla Merloni, che forniscono al microcontrollore le informazioni necessarie per garantire le migliori prestazioni con il più basso consumo possibile. La più grande novità, quella che rappresenta il primo elettrodomestico che usa la tecnologia Wrap, è rappresentata da margherita2000.com, la nuova lavatrice Ariston Digital che può essere attivata con un telefono cellulare o tramite Internet. Così, grazie al display fluorescente presente sulla macchina, si potranno anche ricevere SMS e addirittura messaggi di posta elettronica grazie al modem interno. Ma non solo: la nuova lavatrice è dotata di un apparato elettronico (WRAP inside) che permette non solo di comunicare con il mondo esterno, ma anche l'upgrading di nuovi programmi attraverso la rete. Così, dal sito www.margherita2000.com sarà possibile scaricare nuovi cicli di lavaggio che aggiorneranno la lavatrice, creando, di fatto, ogni volta un nuovo modello
Grazie al concept sperimentale di Technogym (a Rimini Wellness nell' Area FORUM - Ingresso SUD) l’energia prodotta dalle pedalate viene convogliata in rete e contribuisce al fabbisogno elettrico della palestra, permettendo alla struttura di utilizzare meno energia esterna prodotta in maniera convenzionale ed inquinante. La palestra del futuro diventa una piccola centrale elettrica e va nella direzione della autosufficienza energetica, grazie all’utilizzo dell’energia prodotta dal movimento dei propri utenti. A RiminiWellness Technogym installerà all’ingresso della fiera uno spazio educational in cui 3 cyclette saranno collegate ad un calcolatore in grado di raccogliere e misurare l’energia prodotta dalle pedalate e fornirà stime sulle possibilità di concreto utilizzo di questa nuova fonte di green Energy. Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
Abstract— Cyber security of Supervisory Control And Data Acquisition (SCADA) systems has become very important. SCADA systems are vital for operation and control of critical infrastructures, such as the electrical power system. Therefore, a number of standards and guidelines have been developed to support electric power utilities in their cyber security efforts. This paper compares different SCADA cyber security standards and guidelines with respect to threats and countermeasures they describe. Also, a comparison with the international standard ISO/IEC 17799 (now ISO/IEC 27002) is made. The method used is based on a comparison of use of certain key issues in the standards, after being grouped into different categories. The occurrences of the key issues are counted and comparisons are made. It is concluded that SCADA specific standards are more focused on technical countermeasures, such as firewalls and intrusion detection, whereas ISO/IEC 17799 is more focused on organizational countermeasures. <…….> The comparison made here is quantitative and compares the focus of SCADA standards and ISO/IEC 17799. The focus is defined as the normalized value for the number of occurrences of certain keywords in the compared texts. This method is similar the one presented in [30], where it is used to define the enterprise information security field. To compare texts based on the frequency of different words has weaknesses compared to more qualitative methods, where the semantics of a text would be fully interpreted SCADA System Cyber Security – A Comparison of Standards Teodor Sommestad, Göran N. Ericsson, Senior Member, IEEE, Jakob Nordlander
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
Focus on countermeasures for ISO/IEC 17799 and SCADA standard, normalized.
Copyright © 2011 Cloud Security Alliance - Italian Chapter
ISO standard Scada standard
chapters.cloudsecurityalliance.org/italy
1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21.
Identify all connections to SCADA networks. Disconnect unnecessary connections to the SCADA network. Evaluate and strengthen the security of any remaining connections to the SCADA network. Harden SCADA networks by removing or disabling unnecessary services. Do not rely on proprietary protocols to protect your system. Implement the security features provided by device and system vendors. Establish strong controls over any medium that is used as a backdoor into the SCADA network. Implement internal and external intrusion detection systems and establish 24-hour-a-day incident monitoring. Perform technical audits of SCADA devices and networks, and any other connected networks, to identify security concerns. Conduct physical security surveys and assess all remote sites connected to the SCADA network to evaluate their security. Establish SCADA “Red Teams” to identify and evaluate possible attack scenarios. Clearly define cyber security roles, responsibilities, and authorities for managers, system administrators, and users. Document network architecture and identify systems that serve critical functions or contain sensitive information that require additional levels of protection. Establish a rigorous, ongoing risk management process. Establish a network protection strategy based on the principle of defense-in-depth. Clearly identify cyber security requirements. Establish effective configuration management processes. Conduct routine self-assessments. Establish system backups and disaster recovery plans. Senior organizational leadership should establish expectations for cyber security performance and hold individuals accountable for their performance. Establish policies and conduct training to minimize the likelihood that organizational personnel will inadvertently disclose sensitive information regarding SCADA system design, operations, or security controls. SOURCE: Office of Energy Assurance, U.S. Department of Energy. chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
SOURCE: Vendor’s presentation
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
Hacktivism
• Nel 2012 un vero e proprio catalizzatore per l’impennata del Cybercrime
Availability
• Diversi strumenti disponibili che si adattano rapidamente a trend tecnologici e culturali
Cloud/Mobile
• Le barriere “classiche” dei dati stanno svanendo…
Know-How
• Gli strumenti sono sempre più accessibili e richiedono skill inferiori al passato…
Fonte: Sparrow
Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Informazioni raccoglibili tramite social network Accessi tramite sistemi mobili a tutti i dati e sistemi di controllo Informazioni condivise Open Data e in grandi quantità Big Data Servizi offerti in Cloud
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011 Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org
SITO http://chapters.cloudsecurityalliance.org/italy/ CONTATTI: E-mail:
[email protected] LinkedIn: Cloud Security Alliance, Italy Chapter (http://www.linkedin.com/groups?gid=2932531&trk=hb_side_g)
Twitter: @CSA_Italy
[email protected] Copyright © 2011 Cloud Security Alliance - Italian Chapter
chapters.cloudsecurityalliance.org/italy
Copyright © 2011 Cloud Security - ItalianAlliance Chapter Copyright © 2011Alliance Cloud Security
chapters.cloudsecurityalliance.org/italy www.cloudsecurityalliance.org