2012521131 박소영 io_t시대의ssca

IoT 시대의 SSCASoftware & Supply Chain Assurance

2014 Spring GSI6167-01 정보통신전략의 이론과 실제정보보호 석사 4 학기 박소영

Copyright 2014, ⓒ सा�नि�या� Soyoung Park

2

Internet of Things

Dr Payam Barnaghi, Dr Chuan H Foh Centre for Communication Systems Research

Electronic Engineering Department University of Surrey

Autumn Semester 2013/2014

SECTION I.

3Copyright 2014, ⓒ सा�नि�या� Soyoung Park

SECTION I.

4

Sensor devices are becoming widely available

- Programmable devices- Off-the-shelf gadgets/tools

5

More “Things” are being connected

Home/daily-life devicesBusiness and Public infrastructureHealth-care…

6

People Connecting to Things

Motion sensorMotion sensor

Motion sensor

ECG sensor

Internet

7

Things Connecting to Things

- Complex and heterogeneous resources and networks

8

Wireless Sensor Networks (WSN)

Sinknode Gateway

Core networke.g. InternetCore networke.g. InternetGateway

End-userEnd-user

Computer servicesComputer services

- The networks typically run Low Power Devices- Consist of one or more sensors, could be different type of sensors (or actuators)

- The networks typically run Low Power Devices- Consist of one or more sensors, could be different type of sensors (or actuators)

9

How are the networks changing?

Extensions More nodes, more connections, IPv6, 6LowPan,... Any TIME, Any PLACE + Any THING M2M, IoT

Billions of interconnected devices, Everybody connected.

Expansions Broadband

Enhancements Smart networks Data-centric and content-oriented networking Context-aware (autonomous) systems

101010

Future Networks

1111

“Thing” connected to the internet

Image Courtesy: : CISCO

Internet of Things (IoT)

Extending the current Internet and providing connection, communication, and inter-networking between devices and physical objects, or "Things," is a growing trend that is often referred to as the Internet of Things.

“The technologies and solutions that enable integration of real world data and services into the current information networking technologies are often described under the umbrella term of the Internet of Things (IoT)”

12

Opportunities

13

Source: http://blog.trentonsystems.com/internet-of-things-crosses-business-personal-boundaries/

Technology trend

14

Market growth

“According to a study conducted by Frost & Sullivan in 2011, the global RFID market of $3 billion to $4 billion (in 2009) will grow by twelve percent per year through 2016 and reach a volume of approximately $6.5 billion to almost $9 billion.”

80 percent of all households in the European Union are expected to have intelligent power meters by 2020.

A building’s energy management can then be monitored and administered remotely via a smartphone or a PC. Market experts predict that this global market, which represented $5.3 billion in 2010.

In February 2012 the Chinese government therefore decided to set up a fund of approximately $775 million to support this field in the next five years. It will grow to $11 billion by 2015. This sector is expected to grow to $116 billion by 2015, according to a

report published by the Xinhua News Agency in late 2010.

15Source: Siemens, http://www.siemens.com/innovation/apps/pof_microsite/_pof-fall-2012/_html_en/facts-and-forecasts-growth-market-of-the-future.html

Smart product sales


Internet Connected devices


Global Data Generation

18

- Everyday around 20 quintillion (10^18) bytes of data are produced (Source: http://www-01.ibm.com/software/data/bigdata/).

- This data includes textual content (unstructured, semi-structured, structured) to multimedia content (images, video and audio), on a variety of platforms (enterprise, social media, and sensors).

http://www-01.ibm.com/software/data/bigdata/

Data Generation

19

Internet of Things Module

20Image courtesy: Wilgengebroed

IoT Topics

Cyber-Physical systems, smart devices, sensors and actuators Key applications, protocols and architectures Networks and Communications (Wireless Multi-hop Networks

(WMN), Mobile Ad-hoc Networks (MANET), Wireless Sensor Networks (WSN))

Reliability, Security, Privacy and Trust issues and solutions

Software platforms and services Intelligent Data Processing and Semantic technologies Connecting things to the Web Applications, system models, Standards, and Physical-Cyber-Social

systems

21

Michele MossLead Associate

Booz | Allen | Hamilton

Do You Have The Right Practices In Your Cyber Supply Chain Tool Box?

SECTION II.

Software vulnerabilities jeopardize infrastructure operations, business operations & services, intellectual property, and national security

Adversaries have capabilities to subvert the IT/software supply chain: Government and businesses rely on COTS products and commercial

developers using foreign and non-vetted domestic suppliers to meet majority of IT requirements

Software & IT lifecycle processes offer opportunities to insert malicious code and to poorly design and build software which enables future exploitation

Off-shoring magnifies risks and creates new threats to security, business property and processes, and individuals’ privacy – requires domestic strategies to mitigate those risks

Needs for SwA(Software Assurance)

Today’s risk factors impact software assurance

System interdependence and software dependence has software as the weakest link

Software size and complexity obscures intent and precludes exhaustive test

Outsourcing and use of an un-vetted software supply chain increases risk exposure

Attack sophistication eases exploitation Reuse of software introduces other unintended consequences

increasing the number of vulnerable targets The number of threats targeting software, coupled with the number of

vulnerabilities and incidents, all contribute to the increased risk of asymmetric attacks and threats to software-enabled capabilities

Today’s Reality Is Deep & Complex Global ICT Supply Chains

IT and Communications products are assembled, built, and transported by multiple vendors around the world.

Software contributions include reusable libraries, custom code, commercial products, open source

Simplistic Representation of Component List for a Dell Laptop

From The World Is Flat by Thomas FriedmanDell Inspiron 600m Notebook: Key Components and Suppliers

Supply Chain: PERSPECTIVES

Supply Chain SECURITY

•Nodes of storage & throughput•Lines of transport (& communication)

DubaiJeddah

Tacoma

Colombo

Salalah

Oakland

San Juan

Melbourne

Long Beach Charleston

Nhava Sheva

Los Angeles Hampton RoadsNew York/New Jersey

Kobe

Osaka

Tokyo

BusanNagoya

Dalian

Ningbo

Manila

Xiamen

Tianjin

Keelung

Quingdao

ShanghaiShenzhen

Kaohsiung

Hong Kong

Guangzhou

Singapore

Port Kalang

Laem Chabang

Tanjung Perak

Tanjung Priok

Tanjung Pelepas

Less than 2 million TEU

2 to 4 million TEU

4 to 7 million TEU

7 to 10 million TEU

More than 10 million TEU

Genoa

PiraeusValencia

Barcelona

AlgecirasGioia Tauro

LeHavre

FelixstoweAntwerp

Bremen/Bremerhafen

HamburgRotterdam

Pacific Asia Europe

Supply Chain RESILIENCE•Multi-sources•Multi-nodes•Multi-routes

Courtesy of Don Davidson, DOD

Supply Chain: PERSPECTIVES

Product INTEGRITY

How do we improve our trust & confidence in HW, SW & Services we source from a

global supply chain?

Courtesy of Don Davidson, DOD

What is the problem?

Information and Communication Technology (ICT) products are assembled, built, and transported by multiple vendors around the world before they are acquired without the knowledge of the acquirer

Challenges range from poor acquirer practices to lack of transparency into the supply chain Substantial number of organizations or people can “touch” an ICT

product without being identified No standardized methodology or lexicon exists for managing ICT supply

chain risks Poor ICT products and services acquisition practices contribute to

acquirers’ lack of understanding what is in their supply chain Counterfeit hardware and software proliferate Acquirers do not have a framework to help enforce security and

assurance compliance for vendors

Why Standards?

Standards are a common language used to communicate expected levels of performance for products and services

Countries use international standards compliance as a trade barrier and differentiator for their companies

Standards are Essential to Global Economy

Ensuring interoperability among trade partners

Facilitating increased efficiencies in the global economy

Making the development, manufacturing, and supply of products and services more efficient, safer and cleaner

Providing governments with a technical base for health, safety and environmental legislation

Safeguarding consumers, and users in general, of products and services - as well as to make their lives simpler

Essential Security and Foundational Practices

Management Systems: ISO 9001 - Quality, ISO 27001 – Information Security, ISO 20000 – IT Service Management, ISO 28000 – Supply Chain Resiliency

Security Controls: ISO/IEC 27002, NIST 800-53 Lifecycle Processes: ISO/IEEE 15288 - Systems, ISO/IEEE

12207 – Software Risk Management: ISO 31000 - overall, ISO/IEC 27005 -

security, and ISO/IEC 16085 - systems Industry Best Practices: CMMI, Assurance Process Reference

Model, Resiliency Management Model (RMM), COBIT, ITIL, PMBOK

Where Are New Standards Being Developed?

Courtesy of Department of Defense

The ISO/IEC/IEEE Life Cycle Process Framework Standards

Adapted from Paul Croll

Currently under revision, 15288 (CD) and 12207 (WD) comments and contributions strengthen the relationship to SC27 standards on IT Security•Adding references to ISO/IEC 27036, ISO/ IEC 27034, and ISO/IEC 27002 •Adding language to increase awareness of operational threats and ICT Supply Chain considerations

System and Software Engineering – Relationship of Key Life Cycle Process Standards

Source: J. Moore, SC7 Liaison Report, IEEE Software and Systems Engineering Standards Committee, Executive Committee Winter Plenary Meeting, February 2007.

Success Involves Selecting Multiple Standards To Address Program Risks

NIST Cyber Framework Promotes private sector development of conformity assessmentsSCRM is called out as an emerging discipline characterized by diverse perspectives, disparate bodies of knowledge, and fragmented standards and best practices

Industry efforts continue to mature the SCRM Discipline

www.microsoft.com/sdl BuildSecurityIn.us-cert.gov

www.owasp.orghttp://bsimm.com/

www.safecode.org

http://www.cert.org/secure-coding/

애플 기기 인증


‘MFi(Made-For-iPhone/iPod/iPad)’ 프로그램

애플 Lightning to USB Cable 인증 제조사에서 만들어진 제품인지를 식별하는데 iOS 가 사용하는 특별 인증 칩 내장 애플에서 제조되어 애플만이 알고 있는 특수 디지털 인증 코드 저장 MFi(Made-For-iPhone) 프로그램에 참여하는 제조사들은 애플로부터 직접 이 칩을 제공받아 이들을 생산과정에서

정착 블루투스에서부터 와이파이 연결에 이르기까지 iOS 와 통신하기 원하는 모든 인증 액세서리들에는 이 칩이 내장되어

있어야하며 , 그렇지 않으면 운영체제가 통신을 거부

기기 인증의 특장점 악의적인 의도를 가진 이들이 충전을 틈타 스마트폰이나 태블릿에 케이블을 통해 악성코드를 주입시키는 가능성

제거 수익성 높은 라이센싱 사업에 대한 통제권 수준이하의 서드파티 제조사 참여 금지 필수 로열티를 내기 거부하는 회사 정리

“ 현대차의 최대 적수는 삼성전자”


2014 년 1 월 미국의 가전쇼 (CES) 에 다녀온 김도훈 산업연구원 (KIET) 장은 “엄청난 변화를 감지했다” “ 삼성의 갤럭시 기어로 BMW i3 를 제어하는 장면이 가장 인상적”이라 했다 . 좋게 보면 자동차와 정보통신 (IT) 의 융합이고 ,

냉정하게 말하면 초 ( 超 ) 거대산업인 자동차와 IT 의 정면승부가 초읽기에 들어갔다는 것이다 .

요즘 세계 증시에서 가장 핫 (hot) 한 업체는 미국의 전기차인 테슬라다 . 지난해 주가가 다섯 배가 뛰었고 , 연초 두 달간 70%나 수직상승했다 . 넉 달 전의 배터리 화재도 무서운 질주를 막지 못했다 . 설립 후 10 년간 단 한번도 흑자를 낸 적이 없는 업체 . 판매량도 고작 2 만 3000 여 대인 회사 . 그런 테슬라의 시가총액이 310 억 달러로 , 연산 1000 만 대인 GM 의 절반에 육박한다 .

그 비밀은 ‘혁신의 아이콘’이다 . 테슬라는 외관만 자동차의 흉내를 냈을 뿐이다 . 그 안에 리튬이온 전지를 아낌없이 듬뿍 깔아 고급 스포츠카에 버금가는 성능을 갖췄다 . 센타페시아의 17 인치 대형 터치스크린으로 차량의 모든 기능을 통제한다 . 자동차를 ‘달리는 IT 기계’로 완벽히 변신시킨 것이다 .

아우디의 루퍼트 슈타들러 회장은 CES 에서 이렇게 고백했다 . “ 이제 자동차는 이동수단이 아니다 . 요즘 자동차의 혁신은 대부분 IT 기술에 기반하고 있다 .”

미국의 전기 안전인증업체인 UL 코리아 황순하 대표 . 그가 보고 온 CES 독후감은 독특하다 . “ 현대차의 진짜 적수는 도요타나 폭스바겐이 아니라 삼성전자와 LG 화학이다 .” 과거 휴대전화 업체들이 노키아가 아니라 의외의 복병인 애플의 아이폰에 쑥대밭 된 것처럼 말이다 . 그는 “지난 100 년간 자동차가 연비 · 속도를 개선하는 기계공학에 치중했다면 , 앞으로 100 년은 IT와 케미컬 ( 화학 ) 경쟁”이라 했다 . 삼성과 LG 의 센서와 제어기술 , 2 차 전지가 강점을 가질 수밖에 없다는 것이다 .

자동차는 더 이상 개인이 소유해 차고에 넣어두는 상품이 아니다 . 끊임없이 돌아다니며 네트워크를 통해 가장 가까운 소비자를 최적의 경로로 운반해 주는 IT 장치로 바뀌게 된다 . 여기에 필요한 운영체계 (OS) 등의 무인운행 시스템은 상용화를 코앞에 둔 수준이다 .

출처 : 중앙일보 2014. 3. 3 http://article.joins.com/news/article/article.asp?ctg=20&total_id=14043639

“ 미래는 소프트웨어 중심인 세계가 될 것”


마이크로소프트가 신임 CEO 사티야 나델라 (Satya Nadella)

마이크로소프트의 CEO 로서 직원들에게 처음 발송한 이메일에서 나델라는 “다음 세대의 컴퓨팅은 좀더 지적인 형태로 우리의 환경 속에 녹아들 것입니다 . 소프트웨어와 새로운 하드웨어 형태 인자의 공진화 (coevolution) 는 우리가 업무와 삶 , 그리고 세계 속에서 경험하는 많은 것들을 매개화 , 디지털화할 것입니다 . 이러한 변화는 기기 연결 네트워크 규모의 지속적인 확대와 클라우드 발 컴퓨팅 역량의 막대한 발전 , 빅 데이터를 통한 시각 확보 , 그리고 기계 학습에서 인텔리전스 발생 등 , 다양한 진보로 이어질 것입니다”라고 이야기했다 .

마지막으로 그는 “미래는 소프트웨어가 중심인 세계가 될 것”이라고 강조했다 .

출처 : CIO 2014. 2. 6 http://www.ciokorea.com/news/19819

Software Assurance Maturity Model


https://www.owasp.org/index.php/Category:Software_Assurance_Maturity_Model

Supply Chain Attack Threats




http://www.etnews.com/201311060158



Do you know the real source of your components?

DevOps(Dev + Ops)

Copyright 2014, ⓒ सा�नि�या� Soyoung Park 44

DevOps 용어는 Opscode 의 CEO 인 Jesse Robbins 에 의해 최초로 불려졌다고 한다 . 위키피디아의 정의를 살펴보면

DevOps 은 개발 부문 , 운영 부문 , 품질 관리 부서 사이의 통합 , 커뮤니케이션 , 협업을 위한 일련의 메소드 및 시스템이라고 정의하고 , 적기에 소프트웨어 제품이나 서비스를 출시를 목표로 하는 조직에 부합하기 위해서는 개발과 운영은 상호 의존을 해야한다는 의미다 .

“ 왜 개발 및 운영을 통합해야 하는가 ?”


위키피디아의 그림을 인용해 보면 부득이한 큰 경우에만 릴리즈를 한꺼번에 한다면 그사이의 큰 변화로 인해 시스템에 위험이 커지지만 , 수시로 작은 릴리스를 반복한다면 변화가 작아 위험도 작아진다는 것이다 .

이렇게 빈번한 릴리스에 대한 개발 부문과 운영 부문이 협력하지 않으면 안된다는 것이 DevOps 의 근저에 흐르는 생각인 거 같다 .

그래서 개발에서 운영까지를 하나의 통합된 프로세스로 묶어내고 툴과 시스템을 표준화하고 통합하여 협업을 통해 의사소통의 효율성을 확보하고 매뉴얼 작업을 가능한 자동화하여 코드 통합 , 테스트 , 릴리즈 과정이 자동화될 수 있도록 환경을 구축하게 되는 것이다 .

“ 무엇이 필요한가 ?”


개발과 운영의 통합이 실현되기 위해서는 문화와 도구가 중요하다 . 개발 부서에서 새로운 기능 추가 요구에 운영 부서에서의 안정적인 시스템에 저해한다는 생각에 반영하는 것을

거부하는 일이 생긴다 . 보이지 않는 싸움 속에서 비즈니스 기획 쪽의 임원이 안정적 운영이 목표가 아니라 새로운 비즈니스의 실현이라는 설득에 울며 겨자 먹기로 반영을 한다 . 이런 보이지 않는 개발부서와 운영부서간에는 대립 관계가 존재한다 . 더군다나 장애를 중시하는 임원들이 많아서 개발과 운영 부서는 더 안정적 운영에 신경을 쏟을 수 밖에 없는 구조가 되었다 .

하지만 , 비즈니스는 항상 새로운 기능과 기존 기능의 변화를 지속적으로 가져온다 . 이는 시스템의 장애 원인으로 작용되고 있다 .

어떻게 해야 할까 ? 이런 장애의 이슈를 문화와 도구로 극복할 수 있는 방법을 찾는 것이다 . 그러기 위해서는 개발 부서와 운영 부서가 서로 협업을 해야 하는 경우가 많아지게 되며 결국 통합에 이룰수 밖에 없다는 점이다 .

자동화된 빌드와 릴리즈를 하라 .그리고 한번에 . 자동화된 인프라스트럭처와 시스템 프로비저닝을 갖춰라 . DevOps 팀간의 일관된 도구를 사용하라 . 설정과 같은 코드는 어플리케이션 코드와 분리를 해라 . 라이프 사이클내내 비기능적인 운영 요소들에 대해 관심을 가져라 . 공유가 가능한 버전 관리 도구를 가져라 . 감사시 릴리스를 추적할 수 있어야 한다 .( 요구사항에서 운영까지 ) 모델화된 수명주기를 갖춰라 ( 예로 버전관리되는 SDLC) Ops툴은 동일한 SDLC 아래 이뤄져야 한다 . 자동화 코드는 코드이므로 자체 SDLC 에 의해 통제되고 소프트웨어처럼 릴리즈한다 . 측정 지표가 관리되고 공유되어야 한다 .

47

Thank you

For references and further reading

Contact:

[email protected]

Copyright 2014, ⓒ सा�नि�या� Soyoung Park