Integrierte Sicherheitsanalyse komplexer Syteme. Michael Roth, Max Steiner, Peter Liggesmeyer TU Kaiserslautern

Transkript

1 Integrierte Sicherheitsanalyse komlexer Syteme Michael Roth, Max Steiner, Peter Liggesmeyer TU Kaiserslautern

2 Agenda Motivation/Problem Standardisierte Safety und Security Analyse Integrierte Safety und Security Analyse Systemmodellierung Angreifermodellierung Qualitative Analyse Quantitative Analyse Evaluation Ausblick 2

3 Motivation failures Embedded System attacks Network 3

4 Standardisierte Safety und Security Analyse Safety Analyse: HazO/FMECA FTA/SEFTA Markov Ketten Petri Netze Security Analysis: ATA Attack Grah Bewertung(Safety Case, Risikomatrix,.) Zertifizierung 4

5 Integrierte Safety- und Security Analyse Modellierung Systemmodell (CFT) Threat-Agent Angreifer-Profile Analyse Qualitativ Safety Analyse MCS Security Analyse Kritische Pfade Quantitativ MTBF, λ AP Design Zertifizierung 5

6 Modellierung System Qualitatives Modell in Baumstruktur (ähnlich Fault-Trees) Komonentenkonzet (CFTs) (* System Main & System Auxiliary >=1 Main : Aux : Power Unit My CPU Power Unit Power Unit:Power Unit My Power 6 * Kaiser, Liggesmeyer, Mäckel: A new comonent concet for Fault Trees, 2003

7 Modellierung System Qualitatives Modell in Baumstruktur (ähnlich Fault-Trees) Komonentenkonzet (CFTs) Unterscheidung der Basis-Ereignisse Ausfall Schwachstelle (im Sinne von Security) Angriff Darstellung Basis-Ereignisse MCS Darstellung ( ) / \ < > Annahme [ ] 7

8 Modellierung System Qualitatives Modell in Baumstruktur (ähnlich Fault-Trees) Komonentenkonzet (CFTs) Unterscheidung der Basis-Ereignisse Ausgehend vom Safety-Modell werden Schwachstellen modelliert Erweiterung des System-Modells um zusätzliche Kontextinformationen System Main & System Auxiliary >=1 Power Unit >=1 Main : Power Unit:Power Unit Aux : My CPU & Unrotected hardware Power Unit R=10$ S=1 N=1 P=0$ D=low Weak assword for remote access R=50$ S=2 N=3 Switch off 8

9 Modellierung Angreifer-Komonente (Threat-Agent) Power Unit Enthält die Angriffe, die auf das System durchgeführt werden können Angreifer-Komonente befindet sich auf gleicher Hierarchieebene wie das betrachtete System Angriffe können nur von außen auf ein System einwirken Fügt sich harmonisch in Komonenten-Fehlerbaum ein Automatische Erstellung >=1 System Main Main : & System Auxiliary Aux : My CPU >=1 & Unrotected hardware Power Unit Power Unit:Power Unit Weak assword for remote access Switch off Threat Agent System Main assword attack Power Unit: Hardware attack Aux assword attack 9

10 Modellierung Angreifer-Profil Siegelt Eigenschaften eines Angreifers wieder A(Resource, Skills, Non-Noticeability, Relations) Ressourcen [$, t] Attacker1 Attacker2 Fähigkeiten [h, m, l] Geheimhaltung [h, m, l] 10

11 Modellierung Angreifer-Profil Siegelt Eigenschaften eines Angreifers wieder A(Resource, Skills, Non-Noticeability, Relations) Relationen: R(Resources, Profit, Non-Noticeability) Korrelationsmatrix (C ) Präferenz verschiedener Eigenschaften Angreifer= Hacker (R = low; S = medium; N =??) Korrelationen könnten wie folgt aussehen: Save resources is less imortant than make rofit Non-Noticeability is much more imortant than save resources Non-Noticeability is less imortant than make rofit C H R P N R P 1/ 3 1 1/ 3 N 1/ Kontextinformation + A () Sezialisierung der Angreifer-Komonente 11

12 Qualitative Analyse MCS Domänenübergreifende Safety und Security Analyse Minimal Cut Set Analyse System Main System & Auxiliary <Aux:Password attack> [Aux:Switch off] (MainContoller:CPU ) Main : >=1 Aux : >=1 <Main:Password attack> [Main:Switch off] (Aux:CPU ) Main CPU & Power Unit: Power Unit >=1 Aux CPU & <PowerUnit:Hardware attack> Switch off Threat Agent System Main : Password attack Power Unit Power Unit: Hardware attack Switch off Aux : Password attack (PowerUnit:Power Unit ) <Main:Password attack> [Main:Switch off] <Aux:Password attack> [Aux:Switch off] (Main CPU ) (Aux CPU ) Zusammenhänge von Ausfällen und Angriffen können auf einen Blick wahrgenommen werden 12

13 Qualitative Analyse Security Qualitative Security Analyse aus System Sicht Analyse der kritischen Pfade (minimale Kosten für Angriffe, minimale Fähigkeiten des Angreifers, ) UND ODER Minimale Ressourcen (R min ) R min =add(r 1,,R n ) R min =min(r 1,,R n ) Minimale Fähigkeiten (S min ) S min =max(s 1,,S n ) S min =min(s 1,,S n ) Minimale Wahrnehmbarkeit (N max ) N max =min(n 1,,N n ) N max =max(n 1,,N n )

14 Qualitative Analyse Kritischer Pfad R System Main R min =sum(r 2,R 2 )=10$ & System Main : Aux : R min =min(r 1,R 2 ) >=1 R min =min(r 2,R 3 ) Auxiliary >=1 Main CPU Aux CPU R 1 =50$ S 1 =2 N 1 =3 Power Unit:Power Unit R 2 =10$ S 2 =1 N 2 =1 >=1 Power Unit R 3 =50$ S 3 =2 N 3 =3 Threat Agent System Main : Password attack Power Unit: Hardware attack Aux : Password attack 14

15 Qualitative Analyse Kritischer Pfad N System Main N max =min(n 1,N 3 )=3 & System Main : Aux : N max =max(n 1,N 2 ) >=1 N max =max(n 2,N 3 ) >=1 Auxiliary Main CPU Aux CPU R 1 =50$ S 1 =2 N 1 =3 Power Unit:Power Unit R 2 =10$ S 2 =1 N 2 =1 >=1 Power Unit R 3 =50$ S 3 =2 N 3 =3 Threat Agent System Main : Password attack Power Unit: Hardware attack Aux : Password attack 15

16 Quantitative Analyse Ausfallanalyse UND-Gatter: ODER-Gatter: n P out P i i1 1 P out 1 P i n i1 Ausfallanalyse (Wahrscheinlichkeitsbasierend) Standardisiertes Verfahren eingebettet in integrierter Analyse Etablierte Prozesse können unverändert abgearbeitet werden 16

17 Quantitative Analyse Security Analyse Bestimmung der Eintrittswahrscheinlichkeit: Korrelationsmatrix Prioritätsvektor Priorisierung der Eigenschaften eines Angreifers Hilfe zur genaueren quantitativen Analyse C c c c c i c 1 3 ij 3 3 j1 ckj k 1 ; i 1,2,3 R P N mit r N 1 17

18 Quantitative Analyse Security Analyse Bestimmung der Eintrittswahrscheinlichkeit: Korrelationsmatrix Prioritätsvektor Priorisierung der Eigenschaften eines Angreifers Hilfe zur genaueren quantitativen Analyse MCS Angriffe kumulieren und normalisieren Angriffsmatrix r MCSi n MCSi MCSi add( r... r 1 add( min( n 1 1 k... n );... k k ) ); r n MCSi MCSi MCSi 1 m k 1 m n k 1 m k 1 MSCi MCSi n r MCSi r MCSk MCSk MCSk ; A r n MCS1 MCS1 MCS r n MCSm MCSm MCSm r n 18

19 Quantitative Analyse Security Analyse Angriffsmatrix & Prioritätsvektor Angriffs-Prioritätenvektor a A T MCS1: <Aux:Password attack>; [Aux:Switch off]; (Main:CPU ) MCS2: <Main:Password attack>; [Main:Switch off]; (Aux:CPU ) MCS3: <PowerUnit:Hardware attack> MCS4: C H 1 1/ / 3 1/ R P N A a 0,21 0,21 0,14 19

20 Quantitative Analyse Domänenüberg. Analyse MCS Ergebnis Tuel MCS i (P MSCi, R MCSi ) mit i=1,, n (* n P MCSi P i i1 R MCSi a(i) 20 * Förster, Schwarz, Steiner: Integration of Modular Safety and Security Models for the Analysis of the Imact of Security on Safety, 2010

21 Evaluation RAVON 21

22 Ausblick Verbessern des Verfahrens zur domänenübergreifenden quantiativen Analyse Ausarbeiten eines Konzets zur effizienten Modellierung der Bäume Ausarbeiten von Pattern zu schnelleren Erstellung von Bäumen Toolsuort zur effizienteren Erstellung und Verwaltung komlexer Angreifer Profile Weitere Evaluation anhand Ravon 22

23 Integrierte Sicherheitsanalyse komlexer Syteme Michael Roth, Max Steiner, Peter Liggesmeyer TU Kaiserslautern