Conferenza del Dipartimento DIITET

Conferenza del Dipartimento

Roma, 26 e 27 maggio 2014

Conferenza del Dipartimento DIITET

26 e 27 maggio 2014

Paolo Mori, IITGiuseppe Manco, ICAR

Cyber SecurityReferente: Fabio Martinelli - IIT

CONSIGLIO NAZIONALE DELLE RICERCHE

26 e 27 Maggio, 2014

Convegno del Dipartimento di Ingegneria,

ICT e Tecnologie per l’Energia e i Trasporti



Sommario

• AP Cyber Security– Tematiche:

• Privacy (H2020 – Call 2014 Security DS1)• Cloud security (H2020 – Call 2014 ICT 7)• Information sharing and Analytics (H2020 – Call 2015 Secure Societies DS4)• Secure Software Assurance (H2020 – Call 2014 Security DS6/ Call 2014 ICT 32)• Formal methods for the cyber security of cyber physical systems(H2020 – Call 2014 ICT 32)• Cryptografy for cybersecurity (H2020 – Call 2014 ICT 32)• Digital forensic (H2020 – Call 2015 Secure Societies FCT)• Mobile device security (FP7 Call 10)• Application and system security (H2020 – Call 2014 ICT 32)• Trusted e-services (H2020 – Call 2015 Secure Societies DS5)• Access Control (H2020 – Call 2014 Security DS2)• Network Security (H2020 – Call 2015 Security DS3)• Cyberattacks (H2020 – Call 2015 Security DS3)• Risk management (H2020 – Call 2014 Security DS6)

– Laboratori ed infrastrutture di ricerca:• SoBigData Lab• NESSoS virtual center of excellence

– Progetti• Progetto Europeo FP7 COCO Cloud• Distretto Sulla Cyber Security



PrivacyReferente: Anna Monreale - ISTI

• Sottotema: Privacy-by-design for big data publishing– Goal: applicare il principio della “privacy by design” allo scopo di garantire la protezione di dati

personali durante la pubblicazione di dati che descrivono attività umane, e allo stesso tempo di fornire dati di qualità accettabile

• Sottotema: Privacy-by-design for big data analytics and mining– Goal: progettare by-design algoritmi di mining e di analisi rispettosi della privacy degli

individui rappresentati nei dati stessi.

• Sottotema: Privacy-by-design for data mining outsourcing – Definire by-design tecnologie che permettono ad una terza parte di eseguire delle analisi sui

dati senza inferire informazione privata e strategica sia dai dati che dalla conoscenza estratta dai dati

• Sottotema: Privacy enhancing technologies– Studio, progettazione e realizzazione di tecnologie che aumentano la privacy nella gestione dei

dati personali, in vari domini applicativi, dal cloud ai mobile and personal devices

• Sottotema: Privacy engineering– Studio di metodologie e strumenti di software engineering specifici per la privacy. Questa si

inserisce nel filone principale della secure software and service engineering sviluppata all’interno del CNR da vari istituti e culminata nella rete di eccellenza Europea NESSoS, di cui il CNR e’ coordinatore.



Cloud SecurityReferente: Paolo Mori - IIT

Studio, progettazione e sviluppo di meccanismi di sicurezza per sistemi Cloud, e studio dei requisiti e soluzioni di riferimento per l’utilizzo del Cloud in ambiti reali, e.g., per la PA

• Sottotema: Sistemi di gestione dell’Identità e di autenticazione

– Studio, progettazione ed implementazione di sistemi di gestione dell’identità e di autenticazione per il Cloud, con particolare attenzione alla federazione di Cloud.

• Sottotema: Sistemi di controllo degli accessi e dell’utilizzo delle risorse e dei dati

– Studio e progettazione ed implementazione di sistemi avanzati per il controllo dell’accesso e dell’utilizzo delle risorse fornite dai Cloud providers (e.g., macchine virtuali) e dei dati condivisi in ambiente Cloud.

• Sottotema: Piattaforme Cloud Affidabili per la PA

– Studio dei requisiti e progettazione di soluzioni di riferimento per l’adozione del Cloud nella Pubblica Amministrazione. Il caso di studio preso in esempio è il porting sul Cloud dell’infrastruttura del Fascicolo Sanitario Elettronico.



Information Sharing and AnalyticsReferente: Giuseppe Manco - ICAR

Metodologie di analisi dei dati orientate a vari aspetti della cybersecurity, ad esempio: safety nelle infrastrutture, sicurezza informatica e protezione di datisensibili

• Sottotema: Information extraction, knowledge management and mining.– Raccolta, gestione e analisi di informazione relativa a utenti e sistemi che possono essere esposti a rischi a

vario livello. Nello specifico, essa racchiude tool analitici per l’identificazione dei ruoli, l’ambiente e lo stato delle risorse, l’avversario, e i mezzi di contrasto alle azioni avverse

• Sottotema: Social Network Analysis– Analisi e modellazione delle social networks e nelle piattaforme di collaborazione e sharing di contenuti.

Particolare interesse riguarda due principali tematiche, relative alla protezione dell’utente in rete e sistemi di trust.

• Sottotema: Secure information management– Studio di tecniche analitiche che permettano agli utenti e alle organizzazioni di esprimere, proteggere e

controllare la confidenzialità delle informazioni considerate riservate, anche quando essi scelgono o necessitano di condividerle con altri attori.

• Sottotema: Secure information sharing– Studio, il progetto e l’implementazione di linguaggi e meccanismi per la condivisione sicura da dati da parte di

varie amministrazioni di dati, inclusi dati personali. Il framework permette di codificare regole di accesso ed uso dei dati provenienti da leggi, contratti e preferenze degli utenti.

26/05/2014 5



Secure Software AssuranceReferente: Eda Marchetti - ISTI

Definizione e sviluppo di metodologie specifiche, applicabili sia nelle fasi di sviluppo che di utilizzo, per un accurato processo di validazione dei sistemi software, che possa garantire il livello di sicurezza richiesto.

• Sottotema: Testing dei meccanismi di autorizzazione– Sviluppo di metodologie e supporti automatici, per la validazione dei

meccanismi di autorizzazione degli accessi, compresi history-basedaccess control ed usage control.

• Sottotema: Secure Service Assurance– Garantire la sicurezza delle applicazioni utilizzate all’interno dei sistemi

a servizi mediante approcci e metodologie per il continuo monitoraggio e la validazione delle stesse.



Formal Methods for the Cyber Security of Cyber Physical Systems

Referente: Luca Durante - IEIITTali sistemi hanno caratteristiche e requisiti funzionali e prestazionali(real-time communications and scheduling) che impedisconol’enforcement diretto di policy di alto livello (e.g. access control)

Si determina chi può fare cosa dove dal modelloformale del sistema reale e dalle policy disicurezza, e si comparano i due set di triple

Si itera modificando il modello del sistema e/ole policy fino a che il confronto tra i due set ditriple è soddisfacente

Si ribaltano (implementano) sul sistema reale le suddette modifiche



Cryptography for CybersecurityReferente: Giovanni Schmid - ICAR

– Analisi del servizio/sistema e dei suoi casi d'uso;

– Threat modeling con specifica delle funzionalitàcrittografiche necessarie;

– Definizione dei meccanismi crittografici atti ad implementare le funzionalità di cui al passoprecedente;

– Analisi di sicurezza dei meccanismi proposti



Digital ForensicsReferente: Massimo Ianigro – ISSIA

Affronta le problematiche relative alla investigazione forense (civile, penale, aziendale) nei contesti ICT.

• Sottotema: System Forensic– Analisi, estrazione, interpretazione e correlazione dei dati informatici

presenti su supporti di memorizzazione, flussi telematici, dispositivi mobili, database, e servizi cloud.

• Sottotema: Social and Internet Forensic– Analisi di infrastrutture di tipo Online Social Network e sviluppo di

modelli di profilazione, a supporto di attività predittive e investigative.



Mobile Device SecurityReferente: Luca Caviglione – ISSIA

Problematiche di sicurezza delle tecnologie ed architetture utilizzate nei dispositivi mobili (smartphone, sensori, nodi IoT)

– Sottotema: Steganographic Channels: es., applicazioni di steganografia e creazione di covert channel

– Sottotema: “Green” Security: es., attacchi di tipo energy drain e anomaly detection basata su consumi

– Sottotema: Application and OS Security: es., checking offline e layer per il controllo run-time delle Applicazioni/Servizi, supervisione API



Application and System SecurityReferente: Massimo Ianigro – ISSIA

Sicurezza dei sistemi e delle applicazioni secondo un’ottica integrata (utenti, applicazioni, sistemi di calcolo, reti) .

• Sottotema: Definizione di modelli e strumenti per la sicurezza dei sistemi informativi: definizione e modellizzazione dei fattori di rischio ed individuazione degli strumenti e delle politiche di uso che possano ridurre tali rischi ad livello accettabile.

– Analisi e decomposizione funzionali dei sistemi

– Individuazione e profilazione dei rischi e threat analysis.

– Determinazione delle contromisure, test e validazione.

• Sottotema: Tecniche e strumenti per il security and vulnerability assessment: ricercare le vulnerabilità, anche in assenza di conoscenze delle architetture interne dei sistemi informativi (applicazioni, server, servizi, infrastruttura)

– reverse engineering a livello di applicazione, protocolli, data flow

– vulnerability scan.



Trusted e-ServicesReferente: Fabio Martinelli - IIT

• Sottotema: Modelli e linguaggi per la gestione della fiducia– Studio, definizione ed analisi di modelli di trust per vari

domini applicativi. Verranno studiati modelli di trust qualitativi ed in particolar modo quantitativi.

• Sottotema: Servizi per il trust management inclusi meccanismi di certificazione– Implementazione di servizi per la gestione della fiducia, a

partire da meccanismi per la gestione dell’identità, gestione della fiducia in maniera centralizzata e distribuita, sistemi di certificazione della compliance verso politiche organizzative ed aziendali.



Access ControlReferente: Fabio Martinelli - IIT

Studio di meccanismi per il controllo degli accessi e dell’utilizzo per sistemi ICT. Sviluppo di meccanismi e protocolli avanzati di autenticazione (anche privacy-aware), e linguaggi e sistemi di autorizzazione.

• Sottotema: protocolli e meccanismi avanzati di autenticazione. – Studio, analisi ed implementazione di protocolli avanzati di

autenticazione (anche multi-fattore). Particolare attenzione sarà dedicata allo studio di meccanismi che siano privacy-aware e riducano al minimo la diffusione di informazione personale

• Sottotema: linguaggi e meccanismi per autorizzazione.– Studio di modelli e soluzioni avanzate di autorizzazione, inclusi modelli

per continuous authorization (usage control) e relativi linguaggi per esprimere politiche di controllo accessi



Network SecurityReferente: Maurizio Aiello - IEIIT

Sicurezza delle reti e dei dispositivi mobili. In particolare, verrà trattato il tema delle comunicazioni di rete in un ampio spettro che comprende l’utilizzo di connessioni sicure (VPN, wireless, …), sistemi e tecnologie di monitoraggio della rete, protezione perimetrale (IPS, IDS, firewall, tecnologie anti intercettazione).

• Sottotema: Wireless Security – Aspetti di sicurezza dei protocolli wireless dello standard 802.11. Vengono analizzati sia gli

aspetti implementativi di sicurezza facenti parte dello standard (802.11i, 802.11w), nuove tipologie di attacchi e contromisure da adottare. La sicurezza viene vista dal punto di vista della privacy (protocolli di cifratura) e dell’integrità delle informazioni.

• Sottotema: Network Vulnerability Assessment– Sviluppo di strumenti per la rilevazione delle vulnerabilità dei sistemi informatici. Il limite

degli strumenti commerciali e open-source di vulnerability assessment è quello della scalabilità, occore sviluppare strumenti ad-hoc che permettano la scalabilità di grosse reti e l’integrazione con strumenti di risk management per un mantenere alto il livello di sicurezza all’interno di una rete.

• Sottotema: Sicurezza Perimetrale– Studio e sviluppo di strumenti atti a difendere le reti informatiche nei punti di accesso a

Internet. Tra gli strumenti usati nel sottotema troviamo, Firewall NextGeneration con funzionalità di UTM (Unfied Threat Management), Application Control (Layer 7), Network Intrusion Detection Systems, Virtual Private Networks, Web Application Firewall.



CyberattacksReferente: Gianluca Papaleo - IEIIT

Studio e sviluppo degli strumenti di attacchi informatici e relative contromisure. Verranno studiati sia minacce eseguite con lo scopo di creare un danno diretto all’utente (malware, trojan horses), sia minacce in grado di danneggiare l’utente in modo indiretto (denial of service attacks, DoS, con particolare riferimento a slow DoS, amplification, reflection, flood).

• Sottotema: Denial of Service– Studio delle minacce di tipo Denial of Service (DoS), eseguite per rendere un servizio in rete

irraggiungibile. In particolare, verranno studiate metodologie di attacco innovative basate sullo sfruttamento di vulnerabilità, con particolare riferimento al livello applicativo dello stack ISO/OSI.

• Sottotema: Botnet– Analisi ed approfondimento di tutte le tecniche e gli approcci relativi allo sviluppo e all’esercizio di

botnet, tipicamente utilizzate da cybercriminali per distribuire e veicolare un’operazione maligna (attacco, spam, ecc…).

• Sottotema: Data Exfiltration– Attività di esportazione illecita di informazioni sensibili. Verranno studiate le metodologie di attacco

che fanno uso di tecniche di tunneling e covert channels, che sfruttano tipicamente tecnologie di incapsulamento e le applicando ad un canale di comunicazione al fine di eludere sistemi di sicurezza perimetrale.

• Sottotema: Anomaly Detection– Progettazione e sviluppo di algoritmi di rilevazione di anomalie, con particolare riferimento agli

attacchi studiati negli altri sottotemi.

• Sottotema: Penetration Testing– Sviluppo di tecniche di penetration testing e lo studio di attacchi informatici avanzati con particolare

riferimento alle applicazioni Web.



Risk ManagementReferente: Alba Orlando - IAC

Studio e sviluppo degli strumenti per la valutazione del rischio e la gestione delle contromisure per la cyber security. Misurazione dei livelli di sicurezza di sistemi complessi, valutazione dell’impatto degli attacchi, e costo delle contromisure.

• Sottotema: Modelli economici per la cyber security e insurance– Modellizzazione stocastica delle componenti finanziarie ed economiche finalizzate al Risk

Management in ambienti ICT. Studio di problematiche di cyber insurance ovvero delle garanzie offerte alle imprese a copertura dei danni derivanti da attacchi al patrimonio informatico aziendale e di quelli causati conseguentemente al patrimonio finanziario.

• Sottotema: Modelli matematici e quantitativi per definire il livello di sicurezza di un sistema. – Studio di metriche di sicurezza per sistemi complessi (incluso lo sviluppo di software) e come queste

metriche possano essere definite, comparate ed usate nei casi reali per definire il livello di rischio di un sistema complesso e comparare sistemi diversi.

• Sottotema: Gestione dinamica delle contromisure – Studio delle contromisure da porre in essere per limitare il danno derivante da attacchi informatici.

Modelli quali attack/defence graphs/games saranno investigati.



Tematiche vs H2020

– Privacy (H2020 – Call 2014 Security DS1)– Cloud security (H2020 – Call 2014 ICT 7)– Information sharing and Analytics (H2020 – Call 2015 Secure Societies

DS4)– Secure Software Assurance (H2020 – Call 2014 Security DS6/ Call 2014

ICT 32)– Formal methods for the cyber security of cyber physical systems(H2020 –

Call 2014 ICT 32)– Cryptografy for cybersecurity (H2020 – Call 2014 ICT 32)– Digital forensic (H2020 – Call 2015 Secure Societies FCT)– Mobile device security (FP7 Call 10)– Application and system security (H2020 – Call 2014 ICT 32)– Trusted e-services (H2020 – Call 2015 Secure Societies DS5)– Access Control (H2020 – Call 2014 Security DS2)– Network Security (H2020 – Call 2015 Security DS3)– Cyberattacks (H2020 – Call 2015 Security DS3)– Risk management (H2020 – Call 2014 Security DS6)



Laboratori e

Infrastrutture di Ricerca



• Un team multi-disciplinare di ricercatori lavorano su temi

relativi ai Big Data, al social mining e agli aspetti etico-legali

ad essi legati.

• Obiettivo: creare una infrastruttura di ricerca europea su Big

Data Analytics e Social Mining, per affrontare le sfide globali

introdotte dai Big Data

• Stimolando ricerca e innovazione nello sviluppo di

– Analisi di Big Data,

– Tecnologie di Social Mining

– Tecnologie di privacy e trust



Virtual Centre of Excellence on Secure Future Internet

• Laboratorio internazionale congiunto tra 12 partners Europei sulla sicurezza dell’Internet del Futuro

• Finanziato dalla Comunità Europea tramite ilprogetto NESSoS

– Ricerca ed innovazione sulla ingegneria della sicurezza

– Definizione di roadmap tecnologica nel settore

– Creazione di un Common Body of Knowledge

– Creazione di un tool workbench e di tools per la sicurezza

– Disseminazione



Progetti



Progetti

• Consistente attività progettuale che vede unacontinuità temporale significativa con prospettive di crescita– Circa 25 progetti ciascuno di valore complessivo

superiore a 1ME

• Parliamo più nel dettaglio di:– FP7 EU project: COCO Cloud

– s3cureDIG.IT: DISTRETTO TECNOLOGICO di CYBER SECURITY



Coco Cloud Project Overview



Mission

“Seamless compliance and confidentiality for datashared in the cloud and through mobile services in accordance to Data Sharing Agreements (DSA) considering legal, business, organizational regulationsand user defined preferences as well as contextual information”



Objectives

Building a framework for the creation, analysis, operation and termination of DSA, for managing data in Cloud and allowing access also through mobile devices.

– Easing the writing, understanding, analysis, management and enforcement of DSAs. Transforming high level descriptions (often a form of controlled natural language) to directly enforcement data usage policies;

– Defining the mostly appropriate enforcement mechanisms depending on the underlying Cloud or mobile infrastructure;

– Addressing key challenges for legally compliant data sharing in the cloud, by taking a “compliance by design” approach.



Scenario with Coco CloudLaws Contracts User pref



Project Results

• A flexible framework for managing DSA able to reconcile multiple stakeholders goals. Strong emphasis on legal and regulatory aspects. – The framework will allow a quick and effective deployment of contractual aspects

among companies (including regulatory aspects) and empowering the user to define his/her preferred policies.

• A uniform enforcement infrastructure that seamlessly enforce DSA from the cloud till the mobile devices and back. – This will be based on a common language and a common components that will be

integrated in the appropriate way in different scenarios.

• A Test Bed infrastructure with OpenStack cloud solution

• Three Pilot products for:

– Data Sharing among financial organizations

– Data Sharing focused mobile devices

– Data Sharing in e-health scenarios



Consortium

• Corporates:– HP (Coordinator, Technology provider)

– SAP (Technology provider/pilot developer for mobile case)

– ATOS (Technology provider)

• Research/Accademia– CNR (Scientific coordinator, research in data sharing and enforcement of

usage control policies/mobile)

– ICL (research on enforcement policies)

– UO (Legal aspects with focus on interconnection with ICT)

• SME:– 2B (legal aspects)

• End-User:– AGID (Legal and administrative pilot owner)

– GQ (Health pilot)



s3cureDIG.IT: DISTRETTO TECNOLOGICO di CYBER SECURITY



s3cureDIG.IT: DISTRETTO TECNOLOGICO di CYBER SECURITY

– creare una piattaforma territoriale localizzata in Calabria, nell’Area di Cosenza, e specializzata in un ambito specifico del settore ICT, la Cyber Security, con un’ampia prospettiva di crescita tecnologica e di mercato, attraverso la creazione di una rete di attori pubblici e privati con competenze, esperienze, know how e capacità di intervenire attivamente nei mercati di sbocco finali, contribuendo così allo sviluppo e all’aumento della competitività delle imprese del Distretto e, più in generale, del sistema economico calabrese.

– Gruppo Poste• Poste Italiane SpA, POSTEL SpA

– Grandi Imprese• Value Team SpA, Abramo Printing & Logistics SpA, E.P. SpA

– Piccole e Medie Imprese (PMI)• Centro di Competenza ICT-SUD che coinvolge varie PMI, NOVA Systems Roma srl

– Organismi di Ricerca• Università della Calabria, Università di Reggio Calabria, ICAR-CNR

PON, Distretti ad Alta Tecnologia e Laboratori Pubblico Privati



Obiettivo Globale Obiettivi Specifici Obiettivi Operativi

Creare una piattaforma territoriale specializzata in un ambito specifico del settore ICT, la Cyber Security, con un’ampia prospettiva di crescita tecnologica e di mercato, attraverso la creazione di una rete di attori pubblici e privati con competenze, esperienze, know how e capacità di intervenire attivamente nei mercati di sbocco finali.

1. Realizzare l’integrazione tra gli attori del Distretto e i soggetti operanti nel territorio finalizzata ad un maggiore produzione e condivisione di conoscenze e competenze.

1.1 Aumentare la circolazione di informazione e il livello di conoscenza riguardo le caratteristiche e le evoluzioni del settore ICT, con particolare attenzione all’ambito della Cyber Security

1.2 Aumentare il livello di cooperazione tra gli attori

1.3 Sostenere l’interazione tra domanda e offerta di ricerca e innovazione

2. Accrescerele attività di ricerca e sviluppo innovativo nell’ambito della Cyber Security e promuovere la valorizzazione commerciale dei risultati della ricerca e sviluppo

2.1 Promuovere attività di ricerca e innovazione nell’area della Cyber Security

2.2 Aumentare il numero di imprese operanti nel settore ICT

2.3 Migliorare l’accesso al credito e al venture capital

3. Inserire il DT in reti regionali, nazionali e internazionali di ricerca e produzione

3.1 Integrazione e cooperazione con DT, Laboratori Pubblico-Privati, Centri di Competenza nazionali ed internazionali



Struttura dell’iniziativa

• Tre progetti esecutivi di ricerca– Cyber Security End-User Protection– Protezione dei Sistemi di Pagamento

Elettronici– Dematerializzazione Sicura

• Tre iniziative di formazione sulle tematiche dei progetti di ricerca

• Inizio previsto 1 luglio 2013 – Termine 31/12/2015

• Sostenibilità nel tempo dell’iniziativa con il vincolo a mantenere i laboratori del distretto attivi nei 5 anni successivi alla fine dei progetti esecutivi



I progetti di ricerca– Cyber Security End-User Protection:

• Modello di specifica delle politiche di sicurezza e dei processi di interazione degli utenti finali con i servizi internet

• Strumenti e procedure innovativi di controllo della sicurezza degli accessi degli utenti finali e dei dispositivi utilizzati

– Protezione dei Sistemi di Pagamento Elettronici:• Modello di riferimento e di specifica per l'utilizzo più sicuro dei sistemi di

pagamento, riducendo la vulnerabilità e i rischi sia dal lato degli utenti che da quello dei sistemi Web utilizzati

• Strumenti e meccanismi innovativi di sicurezza basati su approcci di frontiera nel contesto della ricerca scientifica, come la biometria, la gestione delle credenziali anonime, le tecniche di intelligenza artificiale per il contrasto delle frodi

– Dematerializzazione Sicura:• Modello di riferimento e di specifica di processi per il controllo della

sicurezza nelle varie fasi di vita dei documenti digitali• Piattaforma end-to-end di gestione sicura del ciclo di vita di un

documento digitale, che includa strumenti adeguati per la copertura dei singoli controlli di sicurezza



Grazie!

• Anna Morreale - ISTI• Giuseppe Manco - ICAR• Eda Marchetti – ISTI• Luca Durante – IEIIT• Giovanni Schmid – ICAR• Massimo Ianigro – ISSIA• Luca Caviglione – ISSIA• Maurizio Aiello – IEIIT• Gianluca Papaleo – IEIIT• Alba Orlando - IAC

Conferenza del Dipartimento DIITET

Documents

Transcript of Conferenza del Dipartimento DIITET