desafios à deteção de intrusões nas cidades inteligentes · quais são as ameaças? ... •...
TRANSCRIPT
Sumário
• Introdução– Smart Cities e as TIC
• SegInfo e sua evolução– Principais ameaças no âmbito das SCs
• Sistemas de Deteção de Intrusões– Perspetiva evolutiva– Novos desafios à implementação
• Conclusões
2
Introdução
3
Ubiquitous Computing
Wireless Sensor Networks (WSN)Ambient Intelligence (AmI)
Pervasive Computing
RFID → Smart ObjectsMachine-to-Machine communication (M2M)
Web of Things (WoT)Social Web of Things (SWT)
Internet (IPv4) … Internet of Things (IPv6)
Future Internet
Smart Cities e as TIC
4
Fonte: http://www.smartcity.center/en/
Fatores críticos:‐ Gestão e organização‐ Tecnologia‐ Governação‐ Contexto político‐ Pessoas e comunicações‐ Economia‐ Infraestruturas‐ Ambiente natural
Segurança da Informação
• Proteger a informação e os Sistemas de Informação do que não é (deve ser) autorizado quanto a:– Acesso– Utilização – Divulgação– Modificação– Destruição– Interrupção– … Fonte: http://en.wikipedia.org/wiki/Information_security, 2010
Tende a permanecer ao longo do tempo
7
Quais são as ameaças?
• Terrorismo e Crime organizado• Erros e falhas humanas• Erros e falhas técnicas• Atentados contra a Propriedade Intelectual• Várias formas de
ludibriação• Roubo• Fraude• Degradação da QoS• Coação física e
psicológica• Acidentes naturais• Privacidade• …
Alteram‐se com frequência
8
Origem das vulnerabilidades
• Sistemas informáticos, terminais de comunicação e componentes de redes– Complexidade, flexibilidade, grau de autonomia,
miniaturização, desmaterialização, ubiquidade, interconetividade (…)
– Requisitos não funcionais incompletos (o que o sistema não deve fazer?)
• Comportamentos inadequados dos utilizadores
10
Complexidade nas Smart Cities
• Novas interconexões (sensor networks)– “Things” ↔ Pessoas– “Things” ↔ Servidores– “Things” ↔ “Things”
• Dispositivos com recursos limitados (computação e energia)
• Exigências regulamentares (e.g., veículos, nos EUA)
11
Principais ameaças
• Ataques ao nível das WSN– DoS– Sinkhole/Blackhole– Reencaminhamento seletivo– Replicação de nós– HELLO flood– Wormhole– Sybil– Manipulação de reprogramação– Homing– Alteração de prioridades (neglet and greed)– Atraso forçado– …
13
(Abduvaliyev, 2013)
Principais ameaças
• Privacidade e confidencialidade– Smart meters, videovigilância, monitorização de
“atividade”,…• Integridade e disponibilidade
– Os dispositivos e tecnologias de interligação (IoT, 6LoWPAN, WSN, CoAP, RPL, Contiki OS…) apresentam níveis de segurança “aceitáveis” para aplicações “críticas”? (e.g., edifícios inteligentes, monitorização de transportes, monitorização de sinais críticos de saúde)
14
Controlos de Segurança
ISO/IEC 27002:2013 (Code of Practice for InfoSec Management)
14 classes (Cláusulas) –secção 5 a secção 1835 objetivos de controlo114 Controlos de segurançaCerca de metade de natureza tecnológicaOs restantes de natureza organizacional e de gestão
http://www.iso27001security.com/html/27002.html
15
Evolução das competências
17
Fonte: Paul Braxton, In-depth: Security Data Science, securitydatascince.org (2012)
Intrusion Detection Systems (IDS)
• Maioria dos controlos operacionais (e.g., Firewalls, Controlo de Acessos) previnem a utilização indevida
• E a má utilização “legítima”? Deve ser detectada… ⇒ IDS– Tipicamente algum SI que procura identificar atividade maliciosa ou
suspeitaArquitectura básica de um IDS • Propriedades relevantes
- Eficiência- Problema da deteção: falsos positivos- Extensibilidade- Adaptabilidade
18
hds14
Diapositivo 18
hds14 Não existem IDSs que executem todas as tarefas acima listadashsantos; 16-12-2011
Intrusion Detection Systems (IDS)
• Tipos de IDS (função característica)– Baseados em Redes
• Componente isolado que monitoriza o tráfego de uma rede
– Baseados em Computadores• Correm num computador, observando o seu
comportamento(log analyzers; file integrity checkers;…)
• Tipos de IDS (arquitectura)– Centralizada– Descentralizada (árvore; cluster; hierárquica)
19
hds15
Diapositivo 19
hds15 - Os IDS baseados em assinaturas (comercialmente já bastante banalizados) tem o inconveniente de só detectar ataques conhecidos. Um atacante experiente consegue alterar ligeiramente um ataque, por forma a que ele deixe de ser detectadopelo IDS- Os IDS baseados em Anomalias são mais robustos no que respeita à sua resistência a ataques novos ou pequenas variações de ataques conhecidos. Contudo, a sua necessidade de, continuamente, ajustar o modelo de actividade normal para se ajustar a normais alterações dos utilizadores legítimos, conduzem a uma nova vulnerabilidade. Um atacante experientes consegue, com ligeiras modificações, viciar o IDS levando-o a aceitar um novo ataque com parte integrante do modelo normal de comportamento!hsantos; 16-12-2011
Intrusion Detection Systems (IDS)
• Tipos de IDS (operação)– Baseados em Assinaturas
• Verificação de padrões associados a ataques conhecidosSNORT; IDIOT; STAT; …
– Baseados em Anomalias – Heurísticos• Modelo de comportamento normal ou
aceitávelIDES
– Baseados na especificação• Híbridos
20
hds15
Diapositivo 20
hds15 - Os IDS baseados em assinaturas (comercialmente já bastante banalizados) tem o inconveniente de só detectar ataques conhecidos. Um atacante experiente consegue alterar ligeiramente um ataque, por forma a que ele deixe de ser detectadopelo IDS- Os IDS baseados em Anomalias são mais robustos no que respeita à sua resistência a ataques novos ou pequenas variações de ataques conhecidos. Contudo, a sua necessidade de, continuamente, ajustar o modelo de actividade normal para se ajustar a normais alterações dos utilizadores legítimos, conduzem a uma nova vulnerabilidade. Um atacante experientes consegue, com ligeiras modificações, viciar o IDS levando-o a aceitar um novo ataque com parte integrante do modelo normal de comportamento!hsantos; 16-12-2011
Intrusion Detection Systems (IDS)
• Técnicas para deteção de anomalias– Baseadas em modelos estatísticos– Algoritmos de clustering– Inspiradas no sistema imunitário– Baseadas em Machine Learning– Baseadas na teoria de jogos
21
SIEM (SecInfo Event Manager)
• Framework para deteção de intrusões e gestão de eventos. Exemplo: OSSIM– NIDS: Snort– HIDS: Osiris; OSSEC; Snare– Análise de vulnerabilidades: Nessus– Pesquisa e inventário: Nmap; OCS– Deteção de anomalias: Spade; p0f; Pads; Arpwatch– Monitor de rede: Ntop; Tcptrack; Nagios– Monitor de logs: Ntsyslog; Syslog; Snarewindows– Coletor de sistemas: Cisco PIX; IPTables; IIS Colector; Apache
Colector– Antivírus: ClamAv
22
Desafios na implementação em SCs
• Simulações e análise de dados (aprendizagem)
• Estudos de eficiência (energética e de recursos)
• Qual a estrutura adequada numa SC?• A que nível (ou níveis) de abstração deve(m)
operar?• Adaptação à mobilidade• Impacto do IPv6 e a IoT
23
Conclusões
• As SCs apresentam um contexto bastante complexo para a SegInfo– Arquitetura dos IDS
• Tecnologias de deteção de intrusões já bastante maduras– Tendência para deteção baseada na análise dados
• Recolha de dados para construção de modelos é um enorme desafio
• Limitação de recursos, questões energéticas e impacto de tecnologias emergentes, carecem de mais estudos
24
Bibliografia
• Kozlov, D., et al., "Security and privacy threats in IoT architectures." Proceedings of the 7th International Conference on Body Area Networks. ICST (Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering), 2012
• Elmaghraby, A., et al., "Cyber security challenges in Smart Cities: Safety, security and privacy." Journal of Advanced Research (2014).
• Abduvaliyev, Abror, et al. "On the Vital Areas of Intrusion Detection Systems in Wireless Sensor Networks." IEEE Communications Surveys and Tutorials 15.3 (2013): 1223-1237.
• Raza, Shahid, Linus Wallgren, and Thiemo Voigt. "SVELTE: Real-time intrusion detection in the Internet of Things." Ad hoc networks 11.8 (2013): 2661-2674.
• Garcia-Teodoro, Pedro, et al. "Anomaly-based network intrusion detection: Techniques, systems and challenges." computers & security 28.1 (2009): 18-28.
• Lipson, Howard F. Tracking and tracing cyber-attacks: Technical challenges and global policyissues. No. CMU/SEI-2002-SR-009. CARNEGIE-MELLON UNIV PITTSBURGH PA SOFTWARE ENGINEERING INST, 2002.
--------------------------------------------------------• City Science, http://cities.media.mit.edu/ (visitado em julho, 2014)• Smart Cities and Communities, http://ec.europa.eu/eip/smartcities/ (visitado em julho, 2014)• Smart City, http://en.wikipedia.org/wiki/Smart_city (visitado em agosto, 2014)• Smartcities, http://www.smartcities.info/ (visitado em agosto, 2014)• Information security standards, http://www.iso27001security.com/index.html (visitado em
setembro, 2014)
26