Post on 26-Jul-2020
transcript
Com implantar solucions IoT amb èxit
[IoT i ciberseguretat]
ÍNDEX
1
01
02
04
03
UN MÓN IoT
RISCOS
DISSENY SEGUR
BONES PRÀCTIQUES
INICIATIVES I REGULACIONS INSTITUCIONALS 05
UN MÓN IoT
2
UN MÓN IoT
2
Font: http://www.ticbeat.com/seguridad/iot-y-ciberseguridad-aliados-o-enemigos// F
ont:
F5
Labs
20.000 M d’IoT el
2020 (Gartner)
1 Bilió d’IoT...
(F5 Labs)
Font: http://www.ticbeat.com/seguridad/iot-y-ciberseguridad-aliados-o-enemigos//
UN MÓN IoT
2
Font: ENISA
Font: http://www.ticbeat.com/seguridad/iot-y-ciberseguridad-aliados-o-enemigos//
UN MÓN IoT
2
RISCOS 02
3
RISCOS 02
3
Font: https://www.cyren.com/blog/articles/interview-with-a-botnet-hunter-2937
׀ Ciberdelinqüència i IoT.
׀ Botnets.
׀ Risc per la vida humana.
Font: Vectra
RISCOS 02
3
Font: https://www.cyren.com/blog/articles/interview-with-a-botnet-hunter-2937
Font: F5 Labs
׀ A prop...
Font: CenturyLink
DISSENY SEGUR 03
4
CATEGORY SECURITY CHALLENGES SECURITY TAKEAWAYS
CONNECTIVITY Heterogeneous protocols for
communication.
Device virtualization to bring
homogeneity.
Restrict remote administration to
admin networks.
Allow for IP tables and/or block lists.
ANALYSIS
Real-time processing at the edge
overshadows security.
Impact of Cloud decentralisation on
security.
Physical and cyber security in edge
devices.
Do not allow brute force attacks.
INTEGRATION
Security depends on the vertical
that Cloud is serving.
Security relies much on the
implementation from IoT developers.
Outdated devices.
Do not use basic admin credentials
for remote management, and do not
hard-code the admin credentials.
Require admin password resets
upon deployment.
Automated, secure software
updates
End-to-end security.
DISSENY SEGUR 03
4
Font: https://sourceable.net/designs-meet-safe-design-requirements/
Implement a
SECURE
Software
Development
Lifecycle
(SDLC) process
BONES PRÀCTIQUES 04
5
BONES PRÀCTIQUES 04
5
׀ Compra selectiva amb criteris de seguretat.
׀ No utilitzar les contrasenyes per defecte.
׀ Xifrar xarxa wifi.
׀ Evitar configuració amb IPs públiques.
׀ Formar, conscienciar i difondre.
׀ IPS/IDS.
׀ VPN.
׀ Auditar.
׀ Proves prèvies.
INICIATIVES I REGULACIONS INSTITUCIONALS 05
6
INICIATIVES I REGULACIONS INSTITUCIONALS 05
6
׀ Necessitat de regular (1 bilió d’IoTs... ).
׀ Regne Unit: codi de bones pràctiques.
׀ Unió Europea (ENISA): treballs previs.
׀ Califòrnia: llei.
Font: https://tech.economictimes.indiatimes.com/news/internet/how-indian-police-is-being-trained-to-tackle-cybercrime/63652035
Tomàs Roy
Director d‘Estratègia de la Ciberseguretat del CESICAT