Cyber Security. Referente: Fabio Martinelli - IIT. Paolo Mori, IIT Giuseppe Manco, ICAR. del del Dipartimento DIITET

Transcript

1 Paolo Mori, IIT Giuseppe Manco, ICAR CONSIGLIO NAZIONALE DELLE RICERCHE Cyber Security Referente: Fabio Martinelli - IIT 26 e 27 Maggio, 2014 Convegno Conferenza Conferenza del del Dipartimento DIITET del Dipartimento Dipartimento di Ingegneria, ICT Roma, 26 e 27 Tecnologie 26 maggio e 27 maggio per 2014 l Energia 2014 e i Trasporti

2 Sommario AP Cyber Security Tematiche: Privacy (H2020 Call 2014 Security DS1) Cloud security (H2020 Call 2014 ICT 7) Information sharing and Analytics (H2020 Call 2015 Secure Societies DS4) Secure Software Assurance (H2020 Call 2014 Security DS6/ Call 2014 ICT 32) Formal methods for the cyber security of cyber physical systems(h2020 Call 2014 ICT 32) Cryptografy for cybersecurity (H2020 Call 2014 ICT 32) Digital forensic (H2020 Call 2015 Secure Societies FCT) Mobile device security (FP7 Call 10) Application and system security (H2020 Call 2014 ICT 32) Trusted e-services (H2020 Call 2015 Secure Societies DS5) Access Control (H2020 Call 2014 Security DS2) Network Security (H2020 Call 2015 Security DS3) Cyberattacks (H2020 Call 2015 Security DS3) Risk management (H2020 Call 2014 Security DS6) Laboratori ed infrastrutture di ricerca: SoBigData Lab NESSoS virtual center of excellence Progetti Progetto Europeo FP7 COCO Cloud Distretto Sulla Cyber Security

3 Privacy Referente: Anna Monreale - ISTI Sottotema: Privacy-by-design for big data publishing Goal: applicare il principio della privacy by design allo scopo di garantire la protezione di dati personali durante la pubblicazione di dati che descrivono attività umane, e allo stesso tempo di fornire dati di qualità accettabile Sottotema: Privacy-by-design for big data analytics and mining Goal: progettare by-design algoritmi di mining e di analisi rispettosi della privacy degli individui rappresentati nei dati stessi. Sottotema: Privacy-by-design for data mining outsourcing Definire by-design tecnologie che permettono ad una terza parte di eseguire delle analisi sui dati senza inferire informazione privata e strategica sia dai dati che dalla conoscenza estratta dai dati Sottotema: Privacy enhancing technologies Studio, progettazione e realizzazione di tecnologie che aumentano la privacy nella gestione dei dati personali, in vari domini applicativi, dal cloud ai mobile and personal devices Sottotema: Privacy engineering Studio di metodologie e strumenti di software engineering specifici per la privacy. Questa si inserisce nel filone principale della secure software and service engineering sviluppata all interno del CNR da vari istituti e culminata nella rete di eccellenza Europea NESSoS, di cui il CNR e coordinatore.

4 Cloud Security Referente: Paolo Mori - IIT Studio, progettazione e sviluppo di meccanismi di sicurezza per sistemi Cloud, e studio dei requisiti e soluzioni di riferimento per l utilizzo del Cloud in ambiti reali, e.g., per la PA Sottotema: Sistemi di gestione dell Identità e di autenticazione Studio, progettazione ed implementazione di sistemi di gestione dell identità e di autenticazione per il Cloud, con particolare attenzione alla federazione di Cloud. Sottotema: Sistemi di controllo degli accessi e dell utilizzo delle risorse e dei dati Studio e progettazione ed implementazione di sistemi avanzati per il controllo dell accesso e dell utilizzo delle risorse fornite dai Cloud providers (e.g., macchine virtuali) e dei dati condivisi in ambiente Cloud. Sottotema: Piattaforme Cloud Affidabili per la PA Studio dei requisiti e progettazione di soluzioni di riferimento per l adozione del Cloud nella Pubblica Amministrazione. Il caso di studio preso in esempio è il porting sul Cloud dell infrastruttura del Fascicolo Sanitario Elettronico.

5 Information Sharing and Analytics Referente: Giuseppe Manco - ICAR Metodologie di analisi dei dati orientate a vari aspetti della cybersecurity, ad esempio: safety nelle infrastrutture, sicurezza informatica e protezione di dati sensibili Sottotema: Information extraction, knowledge management and mining. Raccolta, gestione e analisi di informazione relativa a utenti e sistemi che possono essere esposti a rischi a vario livello. Nello specifico, essa racchiude tool analitici per l identificazione dei ruoli, l ambiente e lo stato delle risorse, l avversario, e i mezzi di contrasto alle azioni avverse Sottotema: Social Network Analysis Analisi e modellazione delle social networks e nelle piattaforme di collaborazione e sharing di contenuti. Particolare interesse riguarda due principali tematiche, relative alla protezione dell utente in rete e sistemi di trust. Sottotema: Secure information management Studio di tecniche analitiche che permettano agli utenti e alle organizzazioni di esprimere, proteggere e controllare la confidenzialità delle informazioni considerate riservate, anche quando essi scelgono o necessitano di condividerle con altri attori. Sottotema: Secure information sharing Studio, il progetto e l implementazione di linguaggi e meccanismi per la condivisione sicura da dati da parte di varie amministrazioni di dati, inclusi dati personali. Il framework permette di codificare regole di accesso ed uso dei dati provenienti da leggi, contratti e preferenze degli utenti. 26/05/2014 5

6 Secure Software Assurance Referente: Eda Marchetti - ISTI Definizione e sviluppo di metodologie specifiche, applicabili sia nelle fasi di sviluppo che di utilizzo, per un accurato processo di validazione dei sistemi software, che possa garantire il livello di sicurezza richiesto. Sottotema: Testing dei meccanismi di autorizzazione Sviluppo di metodologie e supporti automatici, per la validazione dei meccanismi di autorizzazione degli accessi, compresi history-based access control ed usage control. Sottotema: Secure Service Assurance Garantire la sicurezza delle applicazioni utilizzate all interno dei sistemi a servizi mediante approcci e metodologie per il continuo monitoraggio e la validazione delle stesse.

7 Formal Methods for the Cyber Security of Cyber Physical Systems Referente: Luca Durante - IEIIT Tali sistemi hanno caratteristiche e requisiti funzionali e prestazionali (real-time communications and scheduling) che impediscono l enforcement diretto di policy di alto livello (e.g. access control) Si determina chi può fare cosa dove dal modello formale del sistema reale e dalle policy di sicurezza, e si comparano i due set di triple Si itera modificando il modello del sistema e/o le policy fino a che il confronto tra i due set di triple è soddisfacente Si ribaltano (implementano) sul sistema reale le suddette modifiche

8 Cryptography for Cybersecurity Referente: Giovanni Schmid - ICAR Analisi del servizio/sistema e dei suoi casi d'uso; Threat modeling con specifica delle funzionalità crittografiche necessarie; Definizione dei meccanismi crittografici atti ad implementare le funzionalità di cui al passo precedente; Analisi di sicurezza dei meccanismi proposti

9 Digital Forensics Referente: Massimo Ianigro ISSIA Affronta le problematiche relative alla investigazione forense (civile, penale, aziendale) nei contesti ICT. Sottotema: System Forensic Analisi, estrazione, interpretazione e correlazione dei dati informatici presenti su supporti di memorizzazione, flussi telematici, dispositivi mobili, database, e servizi cloud. Sottotema: Social and Internet Forensic Analisi di infrastrutture di tipo Online Social Network e sviluppo di modelli di profilazione, a supporto di attività predittive e investigative.

10 Mobile Device Security Referente: Luca Caviglione ISSIA Problematiche di sicurezza delle tecnologie ed architetture utilizzate nei dispositivi mobili (smartphone, sensori, nodi IoT) Sottotema: Steganographic Channels: es., applicazioni di steganografia e creazione di covert channel Sottotema: Green Security: es., attacchi di tipo energy drain e anomaly detection basata su consumi Sottotema: Application and OS Security: es., checking offline e layer per il controllo run-time delle Applicazioni/Servizi, supervisione API

11 Application and System Security Referente: Massimo Ianigro ISSIA Sicurezza dei sistemi e delle applicazioni secondo un ottica integrata (utenti, applicazioni, sistemi di calcolo, reti). Sottotema: Definizione di modelli e strumenti per la sicurezza dei sistemi informativi: definizione e modellizzazione dei fattori di rischio ed individuazione degli strumenti e delle politiche di uso che possano ridurre tali rischi ad livello accettabile. Analisi e decomposizione funzionali dei sistemi Individuazione e profilazione dei rischi e threat analysis. Determinazione delle contromisure, test e validazione. Sottotema: Tecniche e strumenti per il security and vulnerability assessment: ricercare le vulnerabilità, anche in assenza di conoscenze delle architetture interne dei sistemi informativi (applicazioni, server, servizi, infrastruttura) reverse engineering a livello di applicazione, protocolli, data flow vulnerability scan.

12 Trusted e-services Referente: Fabio Martinelli - IIT Sottotema: Modelli e linguaggi per la gestione della fiducia Studio, definizione ed analisi di modelli di trust per vari domini applicativi. Verranno studiati modelli di trust qualitativi ed in particolar modo quantitativi. Sottotema: Servizi per il trust management inclusi meccanismi di certificazione Implementazione di servizi per la gestione della fiducia, a partire da meccanismi per la gestione dell identità, gestione della fiducia in maniera centralizzata e distribuita, sistemi di certificazione della compliance verso politiche organizzative ed aziendali.

13 Access Control Referente: Fabio Martinelli - IIT Studio di meccanismi per il controllo degli accessi e dell utilizzo per sistemi ICT. Sviluppo di meccanismi e protocolli avanzati di autenticazione (anche privacy-aware), e linguaggi e sistemi di autorizzazione. Sottotema: protocolli e meccanismi avanzati di autenticazione. Studio, analisi ed implementazione di protocolli avanzati di autenticazione (anche multi-fattore). Particolare attenzione sarà dedicata allo studio di meccanismi che siano privacy-aware e riducano al minimo la diffusione di informazione personale Sottotema: linguaggi e meccanismi per autorizzazione. Studio di modelli e soluzioni avanzate di autorizzazione, inclusi modelli per continuous authorization (usage control) e relativi linguaggi per esprimere politiche di controllo accessi

14 Network Security Referente: Maurizio Aiello - IEIIT Sicurezza delle reti e dei dispositivi mobili. In particolare, verrà trattato il tema delle comunicazioni di rete in un ampio spettro che comprende l utilizzo di connessioni sicure (VPN, wireless, ), sistemi e tecnologie di monitoraggio della rete, protezione perimetrale (IPS, IDS, firewall, tecnologie anti intercettazione). Sottotema: Wireless Security Aspetti di sicurezza dei protocolli wireless dello standard Vengono analizzati sia gli aspetti implementativi di sicurezza facenti parte dello standard (802.11i, w), nuove tipologie di attacchi e contromisure da adottare. La sicurezza viene vista dal punto di vista della privacy (protocolli di cifratura) e dell integrità delle informazioni. Sottotema: Network Vulnerability Assessment Sviluppo di strumenti per la rilevazione delle vulnerabilità dei sistemi informatici. Il limite degli strumenti commerciali e open-source di vulnerability assessment è quello della scalabilità, occore sviluppare strumenti ad-hoc che permettano la scalabilità di grosse reti e l integrazione con strumenti di risk management per un mantenere alto il livello di sicurezza all interno di una rete. Sottotema: Sicurezza Perimetrale Studio e sviluppo di strumenti atti a difendere le reti informatiche nei punti di accesso a Internet. Tra gli strumenti usati nel sottotema troviamo, Firewall NextGeneration con funzionalità di UTM (Unfied Threat Management), Application Control (Layer 7), Network Intrusion Detection Systems, Virtual Private Networks, Web Application Firewall.

15 Cyberattacks Referente: Gianluca Papaleo - IEIIT Studio e sviluppo degli strumenti di attacchi informatici e relative contromisure. Verranno studiati sia minacce eseguite con lo scopo di creare un danno diretto all utente (malware, trojan horses), sia minacce in grado di danneggiare l utente in modo indiretto (denial of service attacks, DoS, con particolare riferimento a slow DoS, amplification, reflection, flood). Sottotema: Denial of Service Studio delle minacce di tipo Denial of Service (DoS), eseguite per rendere un servizio in rete irraggiungibile. In particolare, verranno studiate metodologie di attacco innovative basate sullo sfruttamento di vulnerabilità, con particolare riferimento al livello applicativo dello stack ISO/OSI. Sottotema: Botnet Analisi ed approfondimento di tutte le tecniche e gli approcci relativi allo sviluppo e all esercizio di botnet, tipicamente utilizzate da cybercriminali per distribuire e veicolare un operazione maligna (attacco, spam, ecc ). Sottotema: Data Exfiltration Attività di esportazione illecita di informazioni sensibili. Verranno studiate le metodologie di attacco che fanno uso di tecniche di tunneling e covert channels, che sfruttano tipicamente tecnologie di incapsulamento e le applicando ad un canale di comunicazione al fine di eludere sistemi di sicurezza perimetrale. Sottotema: Anomaly Detection Progettazione e sviluppo di algoritmi di rilevazione di anomalie, con particolare riferimento agli attacchi studiati negli altri sottotemi. Sottotema: Penetration Testing Sviluppo di tecniche di penetration testing e lo studio di attacchi informatici avanzati con particolare riferimento alle applicazioni Web.

16 Risk Management Referente: Alba Orlando - IAC Studio e sviluppo degli strumenti per la valutazione del rischio e la gestione delle contromisure per la cyber security. Misurazione dei livelli di sicurezza di sistemi complessi, valutazione dell impatto degli attacchi, e costo delle contromisure. Sottotema: Modelli economici per la cyber security e insurance Modellizzazione stocastica delle componenti finanziarie ed economiche finalizzate al Risk Management in ambienti ICT. Studio di problematiche di cyber insurance ovvero delle garanzie offerte alle imprese a copertura dei danni derivanti da attacchi al patrimonio informatico aziendale e di quelli causati conseguentemente al patrimonio finanziario. Sottotema: Modelli matematici e quantitativi per definire il livello di sicurezza di un sistema. Studio di metriche di sicurezza per sistemi complessi (incluso lo sviluppo di software) e come queste metriche possano essere definite, comparate ed usate nei casi reali per definire il livello di rischio di un sistema complesso e comparare sistemi diversi. Sottotema: Gestione dinamica delle contromisure Studio delle contromisure da porre in essere per limitare il danno derivante da attacchi informatici. Modelli quali attack/defence graphs/games saranno investigati.

17 Tematiche vs H2020 Privacy (H2020 Call 2014 Security DS1) Cloud security (H2020 Call 2014 ICT 7) Information sharing and Analytics (H2020 Call 2015 Secure Societies DS4) Secure Software Assurance (H2020 Call 2014 Security DS6/ Call 2014 ICT 32) Formal methods for the cyber security of cyber physical systems(h2020 Call 2014 ICT 32) Cryptografy for cybersecurity (H2020 Call 2014 ICT 32) Digital forensic (H2020 Call 2015 Secure Societies FCT) Mobile device security (FP7 Call 10) Application and system security (H2020 Call 2014 ICT 32) Trusted e-services (H2020 Call 2015 Secure Societies DS5) Access Control (H2020 Call 2014 Security DS2) Network Security (H2020 Call 2015 Security DS3) Cyberattacks (H2020 Call 2015 Security DS3) Risk management (H2020 Call 2014 Security DS6)

18 Laboratori e Infrastrutture di Ricerca

19 Un team multi-disciplinare di ricercatori lavorano su temi relativi ai Big Data, al social mining e agli aspetti etico-legali ad essi legati. Obiettivo: creare una infrastruttura di ricerca europea su Big Data Analytics e Social Mining, per affrontare le sfide globali introdotte dai Big Data Stimolando ricerca e innovazione nello sviluppo di Analisi di Big Data, Tecnologie di Social Mining Tecnologie di privacy e trust

20 Virtual Centre of Excellence on Secure Future Internet Laboratorio internazionale congiunto tra 12 partners Europei sulla sicurezza dell Internet del Futuro Finanziato dalla Comunità Europea tramite il progetto NESSoS Ricerca ed innovazione sulla ingegneria della sicurezza Definizione di roadmap tecnologica nel settore Creazione di un Common Body of Knowledge Creazione di un tool workbench e di tools per la sicurezza Disseminazione

21 Progetti

22 Progetti Consistente attività progettuale che vede una continuità temporale significativa con prospettive di crescita Circa 25 progetti ciascuno di valore complessivo superiore a 1ME Parliamo più nel dettaglio di: FP7 EU project: COCO Cloud s3curedig.it: DISTRETTO TECNOLOGICO di CYBER SECURITY

23 Coco Cloud Project Overview

24 Mission Seamless compliance and confidentiality for data shared in the cloud and through mobile services in accordance to Data Sharing Agreements (DSA) considering legal, business, organizational regulations and user defined preferences as well as contextual information

25 Objectives Building a framework for the creation, analysis, operation and termination of DSA, for managing data in Cloud and allowing access also through mobile devices. Easing the writing, understanding, analysis, management and enforcement of DSAs. Transforming high level descriptions (often a form of controlled natural language) to directly enforcement data usage policies; Defining the mostly appropriate enforcement mechanisms depending on the underlying Cloud or mobile infrastructure; Addressing key challenges for legally compliant data sharing in the cloud, by taking a compliance by design approach.

26 Scenario with Coco Cloud Laws Contracts User pref

27 Project Results A flexible framework for managing DSA able to reconcile multiple stakeholders goals. Strong emphasis on legal and regulatory aspects. The framework will allow a quick and effective deployment of contractual aspects among companies (including regulatory aspects) and empowering the user to define his/her preferred policies. A uniform enforcement infrastructure that seamlessly enforce DSA from the cloud till the mobile devices and back. This will be based on a common language and a common components that will be integrated in the appropriate way in different scenarios. A Test Bed infrastructure with OpenStack cloud solution Three Pilot products for: Data Sharing among financial organizations Data Sharing focused mobile devices Data Sharing in e-health scenarios

28 Consortium Corporates: HP (Coordinator, Technology provider) SAP (Technology provider/pilot developer for mobile case) ATOS (Technology provider) Research/Accademia CNR (Scientific coordinator, research in data sharing and enforcement of usage control policies/mobile) ICL (research on enforcement policies) UO (Legal aspects with focus on interconnection with ICT) SME: 2B (legal aspects) End-User: AGID (Legal and administrative pilot owner) GQ (Health pilot)

29 s3curedig.it: DISTRETTO TECNOLOGICO di CYBER SECURITY

30 s3curedig.it: DISTRETTO TECNOLOGICO di CYBER SECURITY creare una piattaforma territoriale localizzata in Calabria, nell Area di Cosenza, e specializzata in un ambito specifico del settore ICT, la Cyber Security, con un ampia prospettiva di crescita tecnologica e di mercato, attraverso la creazione di una rete di attori pubblici e privati con competenze, esperienze, know how e capacità di intervenire attivamente nei mercati di sbocco finali, contribuendo così allo sviluppo e all aumento della competitività delle imprese del Distretto e, più in generale, del sistema economico calabrese. Gruppo Poste Poste Italiane SpA, POSTEL SpA Grandi Imprese Value Team SpA, Abramo Printing & Logistics SpA, E.P. SpA Piccole e Medie Imprese (PMI) Centro di Competenza ICT-SUD che coinvolge varie PMI, NOVA Systems Roma srl Organismi di Ricerca Università della Calabria, Università di Reggio Calabria, ICAR-CNR Privati PON, Distretti ad Alta Tecnologia e Laboratori Pubblico

31 Obiettivo Globale Obiettivi Specifici Obiettivi Operativi Creare una piattaforma territoriale specializzata in un ambito specifico del settore ICT, la Cyber Security, con un ampia prospettiva di crescita tecnologica e di mercato, attraverso la creazione di una rete di attori pubblici e privati con competenze, esperienze, know how e capacità di intervenire attivamente nei mercati di sbocco finali. 1. Realizzare l integrazione tra gli attori del Distretto e i soggetti operanti nel territorio finalizzata ad un maggiore produzione e condivisione di conoscenze e competenze. 2. Accrescerele attività di ricerca e sviluppo innovativo nell ambito della Cyber Security e promuovere la valorizzazione commerciale dei risultati della ricerca e sviluppo 3. Inserire il DT in reti regionali, nazionali e internazionali di ricerca e produzione 1.1 Aumentare la circolazione di informazione e il livello di conoscenza riguardo le caratteristiche e le evoluzioni del settore ICT, con particolare attenzione all ambito della Cyber Security 1.2 Aumentare il livello di cooperazione tra gli attori 1.3 Sostenere l interazione tra domanda e offerta di ricerca e innovazione 2.1 Promuovere attività di ricerca e innovazione nell area della Cyber Security 2.2 Aumentare il numero di imprese operanti nel settore ICT 2.3 Migliorare l accesso al credito e al venture capital 3.1 Integrazione e cooperazione con DT, Laboratori Pubblico-Privati, Centri di Competenza nazionali ed internazionali

32 Struttura dell iniziativa Tre progetti esecutivi di ricerca Cyber Security End-User Protection Protezione dei Sistemi di Pagamento Elettronici Dematerializzazione Sicura Tre iniziative di formazione sulle tematiche dei progetti di ricerca Inizio previsto 1 luglio 2013 Termine 31/12/2015 Sostenibilità nel tempo dell iniziativa con il vincolo a mantenere i laboratori del distretto attivi nei 5 anni successivi alla fine dei progetti esecutivi

33 I progetti di ricerca Cyber Security End-User Protection: Modello di specifica delle politiche di sicurezza e dei processi di interazione degli utenti finali con i servizi internet Strumenti e procedure innovativi di controllo della sicurezza degli accessi degli utenti finali e dei dispositivi utilizzati Protezione dei Sistemi di Pagamento Elettronici: Modello di riferimento e di specifica per l'utilizzo più sicuro dei sistemi di pagamento, riducendo la vulnerabilità e i rischi sia dal lato degli utenti che da quello dei sistemi Web utilizzati Strumenti e meccanismi innovativi di sicurezza basati su approcci di frontiera nel contesto della ricerca scientifica, come la biometria, la gestione delle credenziali anonime, le tecniche di intelligenza artificiale per il contrasto delle frodi Dematerializzazione Sicura: Modello di riferimento e di specifica di processi per il controllo della sicurezza nelle varie fasi di vita dei documenti digitali Piattaforma end-to-end di gestione sicura del ciclo di vita di un documento digitale, che includa strumenti adeguati per la copertura dei singoli controlli di sicurezza

34 Grazie! Anna Morreale - ISTI Giuseppe Manco - ICAR Eda Marchetti ISTI Luca Durante IEIIT Giovanni Schmid ICAR Massimo Ianigro ISSIA Luca Caviglione ISSIA Maurizio Aiello IEIIT Gianluca Papaleo IEIIT Alba Orlando - IAC