IOIT (internet of Important Things) & IIOT (Industrial Internet of Things) possono avere metodologie, tecniche e strategie di protezione differenti dalla cyber-security tradizionale. Ne abbiamo parlato con Endian al TIS di Bolzano il 14.9.2015

1. CyberSecurity for the Industry 4.0
Andrea Bonomi Enzo M Tieghi

2. Fondata a Bolzano nel 2003 da un
team di esperti delle reti, fanatici di
Linux
Il risultato della collaborazione è la
creazione di sofisticate soluzioni
UTM basate su tecnologia Open
Source
Dal 2011 Endian sviluppa soluzioni
dedicate all’ Industrial Internet of
Things
Più di 4000 aziende in oltre 50
paesi hanno scelto i prodotti Endian
Chi è Endian?
Endian US - Houston Endian - Bolzano
e Milano
Endian Germany - Munich
Endian Japan - Tokyo
Endian - Turkey

3. Fondata a Milano nel 1979
Dal 1985 distribuisce e supporta prodotti di
GE Intelligent Platforms per lo sviluppo di
applicazioni industriali: HMI/SCADA,
Supervisione, Monitoraggio e Plant
Intelligence sui dati di impianto
Attiva nei settori Industriali (farmaceutico,
alimentare, chimico, cemento, vetro, metalli,
oil&gas, ecc.), delle Utility (acque, gas,
telecontrollo, trasporti, energia), building
management, ecc.
www.servitecno.it
Chi è ServiTecno?

4. Internet of Things (IoT), numeri e tendenze
2020
4
Billion
$4
Trillion
25+
Million
25+
Billion
50
Trillion
Connected People Revenue
Opportunity
Apps Embedded and
Intelligent Systems
GBs of Data
Mancano solo
1.000 giorni lavorativi
entro il

5. Internet è il mezzo che assolve ad un bisogno: … COMUNICARE
Quindi abbiamo bisogno di rendere gli oggetti (sensori, macchine,
impianti, M2M, Devices,…) capaci di PARLARE
Concentriamoci sull’ Industrial Internet Of Things,
ovvero Internet of Important Things
Internet Of Things: tutto e tutti sono collegati

6. Ci sono molti protocolli e standard
per far comunicare i dispositivi tra loro
PERO’, …non esiste uno standard
per la sicurezza IoT
INFATTI, abbiamo:
• elevato numero di device,
• basso livello di protezione dei
dispositivi,
• eterogeneità,
Questo porta a limitazioni nelle
regole e diverse policy di Security
IoT: tutto e tutti sono collegati

7. …ad esempio… (chi non conosce Suki?)

8. Rete in stabilimento (processo continuo):
accesso da remoto per manutenzione

9. Connessioni «protette»:
VPN, IPSec, OpenVPN

10. Esempio di rete stabilimento (produzione batch)

11. Zones & Conduits (ISA99/IEC62443)

12. Esempio di “Security Architecture” nei sistemi di
automazione e controllo
Enterprise
Control
Network
Manufacturing
Operations
Network
Perimeter
Control
Network
Control
System
Network
Process
Control
Network
Source: Byres Security

14. Endian 4i – Industrial IoT Security
Endian la linea 4i Edge

15. Come mantenere la sicurezza
dei sistemi in una rete aperta?
UN APPROCCIO DATATO
Security through obscurity:
Basata sulla discrezione del personale
Basata sulla segretezza delle componenti
del sistema
Basata sulla segretezza dei dati e delle
chiavi di accesso
LA VISIONE MODERNA
Protezione IT:
Sistemi semplici ma sicuri
Connessione sicura e comunicazione
criptata
Allarmi e procedure in caso di intrusione

16. Firewall
VPN sicura
Intrusion Detection / Prevention
Regolazione e filtraggio del traffico dati
AntiVirus
Cosa significa protezione IT in una rete aperta?
ASSOLUTAMENTE NON INTRUSIVA SUGLI IMPIANTI

17. Issue:
complessità di
accesso

18. Concentratore VPN
Pannello di controllo
Si presenta come modulo add-on per qualsiasi soluzione Endian
server
Piattaforma per la distribuzione di servizi cloud
Che cos’è Endian Switchboard?
Dare accesso a molti utenti (singoli o gruppi) secondo regole differenti
Bloccare rapidamente l’accesso divenuto indesiderato (ad es. al termine del rapporto di lavoro)
Impedire tentativi di intrusione su macchinari importanti
Avere un rapporto dettagliato sugli accessi (regole di compliance)
Assicurare agli utenti accesso semplice agli endpoint protetti (HMI, PLC, ecc)
Cosa posso fare con lo Switchboard?

19. Text
Roles/
Permissions
Applications
Secure
Connectivity
Gateways Endpoints
Soluzione: accesso role based a endpoints e applicazioni
IT Infrastructure Performance
Analysis
4i Edge 313 Equipment/Server
Machine SettingsSupport/IT Staff 4i Edge 200 Industrial
Equipment
Technical Staff Access to Data 4i Edge 515 Industrial
Equipment

20. 1. Layer 1 – Access Restricted:
Solo le connessioni pre – approvate (M2M, P2M, D2M) possono
essere stabilite
2. Layer 2 - Service/Port Restriction:
Decidendo quale porta deve essere bloccata si garantisce un
ulteriore livello di protezione da virus e minacce di altro genere
3. Layer 3 - Denial of Service Protection:
La nostra soluzione intercetta gli attacchi e vi protegge dalle
interruzioni di servizio
4. Layer 4 - Malformed Packet Rejection:
Il firewall stateful vi protegge dai cosiddetti “malformed packets”
che possono arrecare gravi danni ai sistemi
5. Layer 5 - Intrusion Detection Alerts:
Il costante monitoraggio di network e sistemi ci consente di dare
un allarme istantaneo in caso di attività sospetta o violazione delle
policy
6. Layer 6 - SCADA Protocol Filtering:
Su richiesta, possiamo fornire il protocollo di filtraggio Modbus
TCP per gli appliance 4i Edge
Endian 4i offre livelli multipli di protezione

21. Endian Switchboard e 4i Edge Series
Key Features

22. Endian 4i Edge 112
Powerful desktop industrial solution
Performance 4i Edge 112
Firewall Throughput 120 Mbps
VPN Throughput 30 Mbps
IPS Throughput 20 Mbps
Recommended for:
Infrastructure
Healthcare
Communications
Highlights:
0 to +60°C
operating temperature
Simple, secure VPN access
Power input 24V DC

23. Highlights:
0 to +60°C
operating temperature
Simple, secure VPN access
3G Module (optional)
Power input 24V DC
Endian 4i Edge 313
The DIN rail industrial solution
Performance 4i Edge 313
Firewall Throughput 120 Mbps
VPN Throughput 30 Mbps
IPS Throughput 20 Mbps
Recommended for:
Machine building
Manufacturing
Infrastructure

24. Highlights:
-20 to +70°C
operating temperature
Simple, secure VPN access
3G Module (optional)
Dual power input 24V DC
Endian 4i Edge 515
The most robust industrial solution
Performance 4i Edge 515
Firewall Throughput 120 Mbps
VPN Throughput 30 Mbps
IPS Throughput 20 Mbps
Recommended for:
Machine building
Manufacturing
Infrastructure
Healthcare
Communications

25. Grazie
Appuntamento al 14 Ottobre 2015
Hands-on tecnico Switchboard
Domande?
Agenda:
Endian presenta: linea Endian 4i Edge e UTM
Introduzione tecnica all’architettura dello Switchboard e alle sue funzionalità
Perché scegliere Endian 4i Edge rispetto ad un comune connettore VPN
Presentazione di un caso applicativo
Endian Switchboard in funzione: dimostrazione pratica dell’uso del prodotto

26. Endian Switchboard Featurelist
Connections
Secure connections through
OpenVPN
Connect with one single click to
endpoints, gateways or entire remote
networks
Open applications directly from the
Connect App
Connection status of all devices
See whether devices are available or
other users are already connected
User Management Users
Automatic VPN account creation for
all users
Can be members or administrators of
an unlimited number of user groups
Can connect to single devices or all
devices in a group they have access
to
Can modify and create single devices
or device groups
Permissions:
Superuser, Group creation and
management, Application
management, API usage,
access to internal networks
Endian Network account data for
device registration (provisioning)
Users Groups
Can contain an unlimited number of
users
Permission management for devices
and device groups
User permission management
(member/administrator of group)
Device Management Gateways
Automatic VPN account creation for
all gateways (OpenVPN support on
the
gateway required)
Endpoint configuration
Provisioning options for Endian
gateways
User/User group permission
management (connect/manage)
Can be part of an unlimited number of
device groups
Exportable logs in CSV format
Endpoints
Configurable for each gateway
Application profile assignment to
launch applications with a single click
from Connect App
Custom attribute definitions can be
used with the API
Every single endpoint can be reached
through its own Virtual IP address
Exportable logs in CSV format
Device Groups
Can have their own virtual IP pool
(configurable)
Can contain an unlimited number of
gateways
User/User group permission
management (connect/manage)
Application Management
Applications
Program calls
URL calls
Placeholders for program paths,
URLs and IP addresses
Application Profiles
Group multiple applications
Can be assigned to Endpoints
Settings
Fully configurable OpenVPN modes
OpenVPN fallback support through
multi-server configuration
Virtual IP configuration for
simultaneous connections to many
endpoints with the same IP address
Virtual IP Pools configurable globally
and for single device groups
Exclusive access configuration (on
gateway level, on endpoint level,
disabled)
Provisioning
Gateway model configuration for
provisioning
Encryption support for provisioning
files
Automatic gateway registration on
Endian Network
Provisioning modules for
Base system information
Network settings
VPN Gateway-to-Gateway
configuration
Upstream proxy
Port forwarding
Source NAT
API
Can be activated/deactivated
Secured with API Token
Superuser API with full read and write
access
User API
Activate/deactivate user-gateway
connections
Activate/deactivate user-endpoint
connections
Connect App
One-click application calls
Shows only available functionalities
based on user permissions
Local application management
Automatic OpenVPN connection on
program start
Automatic reconnection on failure
Support for connection through HTTP
Proxy (basic/NTLM authentication)
Includes auto-update routine
Integrated Downloader (logs and
provisioning files)
No administrator privileges needed
after the installation

27. Grazie
Endian - Securing everyThing
Domande?