Seguridad de los sistemas embebidos

Documentos relacionados
Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones - CITIC

Management s Assertion

ESTUDIO Y PLANIFICACIÓN DE LOS FLUJOS DE INFORMACIÓN EN UNA EMPRESA PARA SU ALINEAMIENTO ESTRATÉGICO

Estándares Internacionales

La identidad en banca Gestión de Identidad en la banca on-line

Encuesta Perfil de Egreso del Ingeniero en Computación y/o Informática en Chile (Para programas de 10 semestres o más)

Visual Studio Team System

Models de desenvolupament i Gestió de projectes Source Code Management

ISO mejorar la capacidad y madurez (evaluación) de los procesos

Técnico Certified Software Engineer Professional (CSIP)

Soluciones de Seguridad de IBM: Tendencias y hoja de ruta

XII JICS 25 y 26 de noviembre de 2010

LUIS GERARDO RUIZ AGUDELO

DIFERENCIAS ENTRE LA ISO 9001:2008 Y LA ISO 9001:2015

Objetos Distribuidos - Componentes. Middleware

Seguridad Informática

ICAO State Safety Programme (SSP) and Safety Management Systems (SMS)

Cursos a la MEDIDA IN-COMPANY

EXIN Information Security Foundation basado en ISO/IEC 27002

Verificación y Validación (Proceso V&V) Asegurar que el sistema de software cumpla las necesidades del usuario

MODELO DE PLAN PRELIMINAR DE VALIDACIÓN Y VERIFICACIÓN PARA EL SISTEMA DE PROTECCIÓN DEL REACTOR CAREM

Corporación Mexicana de Investigación en Materiales, S.A. de C.V.

NORMAS Y ESTÁNDARES SEGUIDOS EN LA PKI DE ANF AC

Elaboración de los Informes de Adecuación, en nivel inferior y superior, en aplicación de la normativa sobre Accidente Graves (R.D. 840/2015 y R.D. 11

Tema: Study for the Analysis and the Conceptual Development of a European Port Access System. Ponente: Mario J. Moya Denia

Kuapay, Inc. Seminario Internacional Modernización de los medios de pago en Chile

Por qué ExecuTrain? Por qué ExecuTrain? Modalidad de servicio

Fundamentos de Seguridad de la Información basado en ISO / IEC 27002

RFID TEMPERATURE SENSOR. Autor: Polo Tascón, David. Director: Kramer, Kathleen. Entidad colaboradora: Advantageous Systems LLC.

SOFTWARE PARA LA GESTIÓN INFORMÁTICA DE UNA CLÍNICA DENTAL

EXIN Information Security Foundation based on ISO/IEC 27002

PMI: Risk Management Certification Training (RMP)

Cumpliendo con las Reglas

Sistema de retención para mangueras de presión

REQUISITOS ESPECIFICOS DEL CLIENTE FORD PARA ISO/ TS 16949: EDITION JUNE

ARIS Solution for Governance, Risk & Compliance Management. Ensure Business Compliance

+, +, 1 , -. / 1 + 0, %- + -, / - 1 & & *121!! & * , %-,-.-% (1*1 5 6 (1(1. + 0, %- + 9 %, *1*1 21(1 4 21(1*1 2121!

Utilizando NetCrunch para el cumplimiento y auditorias de Seguridad. AdRem NetCrunch 6.x Tutorial

SIHI México, S. de R.L. de C.V. Pricing Guide

Riesgos y Costos de la pérdida de información

BOOK OF ABSTRACTS LIBRO DE RESÚMENES

VI. Appendix VI English Phrases Used in Experiment 5, with their Spanish Translations Found in the Spanish ETD Corpus

COBIT y la Administración de los Datos

La madurez de los servicios TI. de los servicios. La Gestión n de Servicios de TI (ITSM) Antoni Lluís s Mesquida, Antònia Mas, Esperança Amengual

DISPOSITIVO DE CONTROL PARA REDES DE DISTRIBUCIÓN ELÉCTRICA RESUMEN DEL PROYECTO

INGENIERÍA DE SOFTWARE Rational Unified Process RUP

Cyber-attacks in the Digital Age. Four eyes see more than two

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.

Gestión del Mantenimiento de una Planta de Tratamiento de Aguas. Autor: Albarrán Cuevas, Sergio. Directora: Fernández Membrillera, Vanesa.

MANUAL EASYCHAIR. A) Ingresar su nombre de usuario y password, si ya tiene una cuenta registrada Ó

MadridRDR. Integration of rare diseases into the public health information system of the Community of Madrid. Index. 01.

PCI DSS: Data Security Standard. Noviembre 09 Evento Política digital

Grupo de trabajo sobre fortalecimiento de capacidades y cooperación / Working group on capacity building and

SQL-Server Users Group-Costa Rica

Área de Plásticos. Dedicada a su vez a labores de Investigación y Desarrollo en dos grandes campos: Transformación de plástico y pulverización.

ERP s Universitarios: soluciones, experiencias y tendencias. CrueTIC Universidad de La Rioja

ELABORACION DE MODELOS PARA LA IDENTIFICACION DE FACTORES CRITICOS DE EXITO, ANALISIS Y MITIGACION DE RIESGOS DE PROYECTOS EN DESARROLLO DE SOFTWARE

Informe de Actuaciones

JOHN JAMES CASTAÑO GARCÍA

Calidad de Software & Monterrey Ene - 08

Janssen Prescription Assistance.

EXIN Information Security Foundation

Medidas preventivas para evitar el robo de datos. José Manuel Rodriguez Sales Manager Seguridad Oracle Iberica

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation

DDR3 Unbuffered DIMMs Evaluated with AMD Phenom II X6 Processors

Modelo de gestión por competencias de capital humano en los sistemas con uso intensivo de tecnologías de información

Optimice la performance de su cadena de suministro de manera segura y en cumplimiento de regulaciones.

Disclaimer. Copyright Intel Corporation * Other brands and names are the property of their respective owners.

Global Business Services. Claves para la implantación de un Sistema de Gestión Documental: demostración práctica.

Innovación en Acción IBM Corporation

SISTEMA INTEGRAL PARA LA GESTIÓN DE RESTAURANTES. Entidad Colaboradora: ICAI Universidad Pontificia Comillas.

Diario Oficial de la Unión Europea L 67/13

Mejorando los procesos de negocio para asegurar la excelencia operativa. Daniel Vidales / Business Transformation Services Marzo, 2014

Resumen de la Contabilidad Metalúrgica

Investigación sobre Clima Espacial en la UE Espacio - Programa Marco I+D. 24 de marzo de 2011 Cristina Garrido Departamento Programa Marco I+D CDTI

OBJETIVOS Algunos de los objetivos del CMMI y que son buenos para el negocio:

Deep Security 9 SP1 p3 Supported Linux Kernels

PROPUESTA DE CONTENIDOS

Prevencion es SPANISH PUBLIC SUPPORT SERVICE FOR MICROENTERPRISES. Marta Jiménez

Cómo comprar en la tienda en línea de UDP y cómo inscribirse a los módulos UDP

Tesis de Maestría titulada

IAIA'11 - Impact Assessment and Responsible Development for Infrastructure, Business and Industry

FOR INFORMATION PURPOSES ONLY Terms of this presentation

Asociación Internacional de Radiodifusión International Association of Broadcasting

Facilities and manufacturing

Proyecto Introducción, Objetivos y Alcance

How to Integrate the 12 Principles of Permaculture to Design a Truly Sustainable Project

REPUBLICA BOLIVARIANA DE VENEZUELA UNIVERSIDAD NUEVA ESPARTA FACULTAD DE INFORMATICA ESCUELA DE COMPUTACION

CERTIFICACIÓN PROYECTO SIGPRE

OSH: Integrated from school to work.

!!!!! SMART WIRELESS. Contacto: Carlos Girón Directo:

Entidad Colaboradora: ICAI Universidad Pontificia de Comillas

Edgar Fernando Hernández Salgado

Beneficios del Uso de Modelos de Madurez

NMP2 SL Julio 2010

La seguridad informática comienza con la seguridad física

ISO y los Sistemas de Gestión de la Inocuidad Alimentaria

PHOENIX OVIPOSITOR. Introducción...2 Capacidades / Posibilidades / Ventajas...3 Expansiones / Características técnicas...4

Pages: 171. Dr. Olga Torres Hostench. Chapters: 6

Vimar By-phone. Your home on your mobile phone.

Transcripción:

Seguridad de los sistemas embebidos Factor clave para proteger el negocio Octubre 2017

Datos relevantes 300 62 20,7 M www.ikerlan.es Ubicación Arrasate-Mondragón, Gipuzkoa Parque Tecnológico de Álava Polígono Industrial Galarreta, Gipuzkoa 2

Áreas de expertise tecnológico 3

SECURITY CYBER-SECURITY Áreas de expertise tecnológico 150 investigadores 15 doctorandos 20 estudiantes de Grado/Máster 6 M /año en proyectos de I+D empresa 5 M /año en proyectos de investigación 4

Sistemas embebidos confiables 5

Definiciones Safety: Freedom from unacceptable risk of physical injury or of damage to the health of people, either directly or indirectly as a result of damage to property or to the environment (IEC-61508-4) : Preventing intentional or unintentional interference with the proper and intended operation, or inappropriate access to confidential information in industrial automation and control systems (IEC-62443-1-2) IEC-61508 IEC-62443 No hay SAFETY sin SECURITY! 6

Surgimiento normativo y situación actual SAFETY STORYLINE IEC-61508 IEC-61511 Process IEC-62061 Machinery EN-50128 Railway ISO-26262 Automotive IEC-61508 SECURITY STORYLINE IEC-62443 7

Safety & by Design Los estándares de safety y security consideran todo el ciclo de vida de un producto desde la especificación hasta la operación Análisis de riesgos Requisitos Medidas a nivel de organización Medidas técnicas SAFE BY DESIGN SECURE BY DESIGN Seguridad por diseño Primera actividad en desarrollo Safety: safety concept Primera actividad en desarrollo : security concept Nadie concibe desarrollar un producto funcional y posteriormente dotarlo de propiedades Safety En security tampoco! 8

Por qué security en sistemas embebidos? Relación con safety Certificación Requisitos legales Requisito de cliente o mercado, diferenciación IEC-61508 IEC-62443 Riesgos Robo de propiedad intelectual (ingeniería inversa, clonado) Robo de negocio Manipulación, desplazamiento en el mercado Deterioro de marca Impacto en la disponibilidad de los servicios Pérdida de privacidad Pérdida de irrefutabilidad Imposibilidad de desplegar nuevos servicios 9

Estrategia Basque Industry 4.0 http://www.spri.eus/es/basque-industry/ Safety and security are both critical to the success of smart manufacturing systems. It is important to ensure that production facilities and the products themselves do not pose a danger either to people or to the environment. At the same time, both production facilities and products and in particular the data and information they contain need to be protected against misuse and unauthorized access. This will require, for example, the deployment of integrated safety and security architectures and unique identifiers, together with the relevant enhancements to training and continuing professional development content. The services and applications provided by these platforms will connect people, objects and systems to each other and will possess the following features: safety, security and reliability for everything from sensors to user interfaces. by Design as a key design principle. In the past, security against external attacks was usually provided by physical measures such as access restrictions or other centralized security measures. In CPS-based manufacturing systems, it is not enough simply to add security features on to the system at some later point in time. All aspects relating to safety, and in particular security, need to be designed into the system from the outset. 10

Estructura IEC-62443 11

Niveles de seguridad IEC-62443 Safety Integrity Level (SIL) Level (SL) SIL 1 Probabilidad de un fallo peligroso cada 10 años de operación SL 1 Protección contra violación casual o no intencionada SIL 2 Probabilidad de un fallo peligroso cada 100 años de operación SL 2 Protección contra violación intencionada usando medios sencillos con pocos recursos, habilidades genéricas y motivación baja SIL 3 Probabilidad de un fallo peligroso cada 1.000 años de operación SL 3 Protección contra violación intencionada usando medios sofisticados con recursos moderados, habilidades específicas IACS y motivación moderada SIL 4 Probabilidad de un fallo peligroso cada 10.000 años de operación SL 4 Protección contra violación intencionada usando medios sofisticados con recursos extendidos, habilidades específicas IACS y motivación alta IEC-61508 IEC-62443 12

IEC-62443-4-2 Requisitos de security (Qué) FSA-1. Access Control FSA-2. Use Control FSA-3. System Integrity FSA-5. Restricted Data Flow FSA-6. Timely Response to Events FSA-7. Resource Availability FSA-4. Data Confidentiality 13

en sistemas embebidos Factores que impiden el uso de tecnología IT en sistemas embebidos IT Industria Sistemas embebidos Hay requisitos safety La disponibilidad es crítica Hay requisitos tiempo-real Existe gran dispersión de tecnologías Dispersión de fabricantes Recursos limitados Diversidad de protocolos Regulaciones sectoriales 14

Hardware seguro Razones para incluir hardware seguro: Implementación segura de los requisitos IEC-62443-4-2 Protección contra ataques físicos Invasivos Microprobing No invasivos Side-Channel Attacks Semiinvasivos UV Attacks Aceleración criptográfica Garantía de implementación correcta Reverse Engineering Brute Force Attacks Fault Injection Attacks Optical Fault Injection Advanced Imaging Techniques Data Reminance Optical Side- Channel Attacks Necesario incorporar en el diseño! La seguridad absoluta no existe! Simple Power Analysis (SPA) for RSA 15

IEC-62443-4-2 Requisitos de ciclo de vida (Cómo) SDSA-1. Management SDSA-2. Requirements SDSA-3. Software Architecture SDSA-5. Detailed Software Design SDSA-12. Response Execution SDSA-4. Risk Assessment 16

Ciclo de vida de desarrollo seguro 1 Management Process 11 12 Response Planning and Execution 2 Requirements System Concept Specification Validation Validation Validation Testing 10 3 Architecture Design Architecture Specification Verification Integration Process Verification 9 4 Risk Assessment and Threat Modeling 5 Detailed Design Module Detailed Design Module Testing Integration Testing 8 6 Coding Guidelines Implementation Code Reviews & Static Analysis 7 17

Ciclo de vida de desarrollo seguro Ciclo de vida Safety Ciclo de vida 18

testing Test de penetración Test de robustez de comunicaciones Test funcional Test de seguridad física 19

Certificación Certificación de robustez de comunicaciones CRT Communication Robustness Testing SDLA Development Lifecycle Assurance Desarrollo con ciclo de vida certificado Certificación de producto VIT Vulnerability Identification Testing FSA Functional 20 Assessment 20

Certificación CRT Communicatio n Robustness Testing SDLA Development Lifecycle Assurance Level 4 Level 3 VIT Vulnerability Identification Testing FSA Functional Assessment Level 2 Secure Development Lifecycle Assessment Level 1 Secure Development Lifecycle Assessment Secure Development Lifecycle Assessment Secure Development Lifecycle Assessment Functional Assessment Vulnerability Identifaction Testing Functional Assessment Vulnerability Identifaction Testing Functional Assessment Vulnerability Identifaction Testing Functional Assessment Vulnerability Identifaction Testing Communication Robustness Testing 21

David González dgonzalez@ikerlan.es

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback