Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
ICT
Hvordan monitorere sikkerhet med hensyn til endring
Olav Skjelkvåle Ligaarden Nettbaserte systemer og tjenester, SINTEF IKT
Institutt for informatikk, Universitetet i Oslo
Seminar om sikkerhetsstyring
19. april 2012 – SINTEF, Forskningsveien 1, Oslo
1
ICT
Mitt doktorgradsarbeid
Motivasjon
Begrepsavklaring
Viktigheten av dette basert på tre faktiske hendelser
Mitt rammeverk
Oppsummering
Oversikt over publikasjoner
2
ICT
Motivasjon
Systemer endrer seg hele tiden
Dette har blant annet store konsekvenser for sikkerhet
Konvensjonell risikoanalyse gir øyeblikksbilder
Men vi trenger kontinuerlig forståelse av risiko med hensyn på sikkerhet
Et svar er dynamisk monitorering av sikkerhetsrisiko
3
ICT
Begrepsavklaring
Monitorering – Regelmessig observasjon og registrering av hendelser/aktiviteter/osv.
Indikatorer – Noe som gir en ledetråd til et spørsmål av større betydning eller gjør merkbar en trend eller fenomen som ikke er umiddelbart synlig Eksempel: En uforventet økning i trafikken på en web-server kan være
et tegn på at et Denial of Service (DoS) angrep er underveis
Betydningen av en indikator går utover det som faktisk måles
4
ICT
Begrepsavklaring (fortsetter)
Sikkerhet – Bevaring av konfidensialitet, integritet og tilgjengelighet av informasjon, i tillegg kan andre egenskaper som autentisitet, ansvarlighet, ikke-benektelse og pålitelighet også være involvert
Tjenesteavhengighet – Beskriver et forhold mellom en tjeneste levert av et system og tjenester som kreves av systemet. En tjeneste er avhengig av andre tjenester dersom de er nødvendige for at tjenesten skal bli tilbudt Kvaliteten (sikkerheten) til en tjeneste kan avhenge av andre tjenester
5
ICT
Begrepsavklaring (fortsetter)
Systemer av systemer – Sett eller ordning av systemer som er relatert eller koblet sammen for å oppfylle felles mål De ulike systemene kontrolleres, driftes og vedlikeholdes av ulike parter
og innenfor ulike jurisdiksjoner
For systemer utenfor vår kontroll så har vi begrenset forståelse av deres sikkerhetsrisikoer, struktur, oppførsel, osv.
Mange tjenesteavhengigheter
Systemene endres raskt
Vanskelig å predikere hvordan de endres og hvilken betydning det har for sikkerheten
Tap av ethvert system kan ha alvorlige konsekvenser for driften av de andre systemene og prosessen med å oppfylle de felles mål
6
ICT
Viktigheten av dette basert på tre faktiske hendelser
7
ICT
Juni 2011: Problemer med mobilnettet til Telenor
Pinsehelgen 2011 knakk Telenors mobilnett sammen
Over tre millioner kunder ble rammet Verste svikten i mobilnettet noensinne
Telenor tapte 100 millioner
Samfunnsmessige tap: over en milliard
Største delen av problemet lå i en dataserver i Oslo Mye ble løst ved å re-starte serveren
8
ICT
Mars 2010: Togstans på grunn av feil på GSM-R
Alle tog i hele Norge stod stille i nærmere tre timer da telefon- og nødsambandet GSM-R gikk ned
Det var strømforsyning i en viktig datamaskin ved en av Jernbaneverkets sentraler i Trondheim som sluttet å virke Reserveløsningen sviktet
GSM-R gikk ned Alle tog måtte stå stille fordi toglederne ikke lenger hadde kontakt med
togene ute på skinnene rundt om i landet
9
ICT
August 2003: Mørkleggingen av Nordøstkysten og Midtvesten i USA og Ontario i Canada
50 millioner uten strøm
Berørte også kritisk infrastruktur som transport, vann, kommunikasjon, osv.
Den offisielle rapporten sier at en programvarefeil i et overvåkningssystem hadde stor betydning for omfanget
Mange avhengigheter hadde også betydning for det store omfanget
Spekulasjoner rundt Blaster worm
10
ICT
Rammeverk for analyse og monitorering av effekten av avhengigheter på kvalitet
11
Steg 1.
Analyse av risiko mht kvalitet
av tilbudte tjenester
Verktøy for konstruksjon
av risikomodeller fra
avhengighetsmodeller
Steg 2.
Design av risikomonitorering mht
kvalitet av tilbudte tjenester
Steg 3.
Implementasjon av risikomonitorering
mht kvalitet av tilbudte tjenester
Verktøy for
implementasjon av
indikatorer
Verktøy for design
av indikatorer
ICT
Steg 1. Analyse av risiko mht kvalitet av tilbudte tjenester
Konstruere targetmodeller Dokumentere systemer, tjenester, kvalitetskrav til tjenester,
tjenesteavhengigheter, osv.
Transformere targetmodeller om til høynivå risikomodeller Gir et førsteinntrykk av avhengighetenes effekt på kvalitet av tilbudte
tjenester
Detaljere høynivå risikomodellene
Identifisere risiko mht kvalitet som skal monitoreres
12
ICT
Høyspenningsnett (HN)
Distribusjonsnett (DN)
Kontrollsystem
(KS)
Privat telekomsystem
(PTS)
Elektrisitet : [T: 99.50%]
Elektrisitet :
[T: 99.90%]
Kontrollinstruksjoner :
[T: 99%], [I: 99.90%]Kontrollinstruksjoner :
[T: 99%], [I: 99.90%]
Elektrisitet : [T: 99.70%]
Reservekraftsystem
(RKS)
V
V
Vannkraftverk
(VKV)
0.96
Distribusjonsnett sin
elektrisitetstjeneste ikke
levert iht krav
Privat telekomsystem sin
kontrollinstruksjonstjeneste
ikke levert iht krav
Reservekraftsystem
sin elektrisitetstjeneste
ikke levert iht krav
Kontrollsystem
sin kontrollinstruksjons-
tjeneste ikke levert iht
krav
Vannkraftverk sin
elektrisitetstjeneste ikke
levert iht krav
Tilgjengelighet av
elektrisitetstjenesten levert
til Høyspenningsnett
Hendelse med effekt på
tilgjengeligheten av elektrisitets-
tjenesten levert til Høyspenningsnett
PTS sin kontrollinstruksjonstjeneste
avhenger av DN sin elektrisitetstjeneste
PTS sin kontrollinstruksjons-
tjeneste avhenger av RKS sin
elektrisitetstjeneste
PTS sin kontrollinstruksjons-
tjeneste avhenger av KS sin
kontrollinstruksjonstjeneste
VKV sin elektrisitets-
Tjeneste avhenger av
PTS sin kontroll-
instruksjonstjeneste
13
Den tilbudte tjenesten
1
1
2
2
3
3
4
4
Detaljere høynivå trusselscenarioer
Detaljere høynivå
sårbarheter
Detaljere
høynivå
risikoer
ICT
Steg 2. Design av risikomonitorering mht kvalitet av tilbudte tjenester
Design av indikatorer for risikomonitorering
Indikatorene er basert på sensordata fra de ulike systemene
Viktige at indikatorene er gyldige At de kan brukes for å fastslå om risikoene er akseptable eller ikke
Resultater fra å utføre steget Et sett med gyldige indikatorer
Spesifikasjoner for hvordan indikatorene skal kalkuleres
Spesifikasjoner for hvordan dataene som trengs i kalkuleringene skal ekstraheres
14
ICT
Krav til indikatorer
Privat telekomsystem sin
kontrollinstruksjonstjeneste
ikke levert iht krav
Reservekraftsystem
sin elektrisitetstjeneste
ikke levert iht krav
0.4
ind1(ind2,ind3)
Mangel på
reservedrivstoff
Mangel på
reservekomponenter
Tilgjengelighet av
elektrisitetstjenesten levert
til Høyspenningsnett
Hendelse med effekt på
tilgjengeligheten av elektrisitets-
tjenesten levert til Høyspenningsnett
[Meget sjeldent] i1
[Sjeldent] o1
i2 [Meget sjeldent]
[Sje
lde
nt] o
2
ind2: Antall komponenter i Reservekraftsystemet hvor hver
komponent er kritisk (for at systemet skal fungere) og hvor hver har
en reservekomponent som kan installeres hvis komponenten feiler
ind3: Antall komponenter i Reservekraftsystemet hvor hver
komponent er kritisk (for at systemet skal fungere)
15
Privat telekomsystem
(PTS)Elektrisitet :
[T: 99.90%]
Reservekraftsystem
(RKS)
V
V
SKOMPONENTERDeployering av sensorer
Algoritme for ind1
Input: ind2, ind3
if ind2 ≠ ind3 then
ind1 := 1 – (ind2 / ind3)
else
ind1 := 0.1
end if
Output: ind1 Design av indikatorer
ICT
Steg 3. Implementasjon av risikomonitorering mht kvalitet av tilbudte tjenester
Implementasjon av indikatorene ved å konstruere et monitoreringsverktøy Bruker et arkitekturpattern for å lage verktøyet
En risikomonitor består av tre hovedkomponenter Komponent for å kalkulere indikatorer og innhente data som trengs i
kalkuleringene
Komponent for å oppdatere risikomodeller og for å presentere disse modellene til brukerne av verktøyet
Komponent for å konfigurere verktøyet
16
ICT 17
ICT
Oppsummering
Systemer blir mer og mer avhengig av hverandre
Blir vanskeligere å analysere og monitorere sikkerheten til tjenester tilbudt av ulike systemene på grunn av de mange avhengighetene og endringene
Vi har laget et rammeverk som Identifiserer avhengigheter og analyserer deres effekt på risiko mht
kvalitet av tilbudte tjenester
Designer og implementerer risikomonitorering mht kvalitet av tilbudte tjenester
18
ICT
Publikasjoner
1. O. S. Ligaarden, A. Refsdal og K. Stølen. Using indicators to monitor risk in systems of systems: How to capture and measure the impact of service dependencies on the quality of provided services.
Første versjon har blitt akseptert for publikasjon som kapitell i boken "IT Security Governance Innovations: Theory and Research." Redaktører: D. Mellado, L. E. Sánchez, E. Fernández-Medina og M. Piattini. IGI Global.
2. O. S. Ligaarden, A. Refsdal og K. Stølen. ValidKI: A method for designing key indicators to monitor the fulfillment of business objectives with particular focus on quality and ICT-supported monitoring of key indicators.
Første versjon fikk best paper award på First International Conference on Business Intelligence and Technology (BUSTECH'2011).
Andre versjon har blitt invitert til (og sendt inn til) International Journal on Advances in Intelligent Systems.
19
ICT
Publikasjoner (fortsetter)
3. O. S. Ligaarden, M. S. Lund, A. Refsdal, F. Seehusen og K. Stølen. An architectural pattern for enterprise level monitoring tools. I Proceedings of 2011 IEEE International Workshop on the Maintenance and Evolution of Service-Oriented and Cloud-Based Systems (MESOCA'2011), IEEE, 2011.
4. T. V. Håvaldsrud, O. S. Ligaarden, P. Myrseth, A. Refsdal, K. Stølen og Jon Ølnes. Experiences from using a UML-based method for trust analysis in an industrial project on electronic procurement. I Journal of Electronic Commerce Research, 10:441-467, Springer, 2010.
5. O. S. Ligaarden, A. Refsdal og K. Stølen. Experiences from using indicators to validate expert judgments in security risk analysis. Akseptert for publikasjon i Proceedings of Third International Workshop on Security Measurements and Metrics (MetriSec'2011).
20
ICT
Takk for oppmerksomheten!
Spørsmål?
Olav Skjelkvåle Ligaarden [email protected] – http://olavsli.at.ifi.uio.no/
21