ICT

Hvordan monitorere sikkerhet med hensyn til endring

Olav Skjelkvåle Ligaarden Nettbaserte systemer og tjenester, SINTEF IKT

Institutt for informatikk, Universitetet i Oslo

Seminar om sikkerhetsstyring

19. april 2012 – SINTEF, Forskningsveien 1, Oslo

1

ICT

Mitt doktorgradsarbeid

Motivasjon

Begrepsavklaring

Viktigheten av dette basert på tre faktiske hendelser

Mitt rammeverk

Oppsummering

Oversikt over publikasjoner

2

ICT

Motivasjon

Systemer endrer seg hele tiden

Dette har blant annet store konsekvenser for sikkerhet

Konvensjonell risikoanalyse gir øyeblikksbilder

Men vi trenger kontinuerlig forståelse av risiko med hensyn på sikkerhet

Et svar er dynamisk monitorering av sikkerhetsrisiko

3

ICT

Begrepsavklaring

Monitorering – Regelmessig observasjon og registrering av hendelser/aktiviteter/osv.

Indikatorer – Noe som gir en ledetråd til et spørsmål av større betydning eller gjør merkbar en trend eller fenomen som ikke er umiddelbart synlig Eksempel: En uforventet økning i trafikken på en web-server kan være

et tegn på at et Denial of Service (DoS) angrep er underveis

Betydningen av en indikator går utover det som faktisk måles

4

ICT

Begrepsavklaring (fortsetter)

Sikkerhet – Bevaring av konfidensialitet, integritet og tilgjengelighet av informasjon, i tillegg kan andre egenskaper som autentisitet, ansvarlighet, ikke-benektelse og pålitelighet også være involvert

Tjenesteavhengighet – Beskriver et forhold mellom en tjeneste levert av et system og tjenester som kreves av systemet. En tjeneste er avhengig av andre tjenester dersom de er nødvendige for at tjenesten skal bli tilbudt Kvaliteten (sikkerheten) til en tjeneste kan avhenge av andre tjenester

5

ICT

Begrepsavklaring (fortsetter)

Systemer av systemer – Sett eller ordning av systemer som er relatert eller koblet sammen for å oppfylle felles mål De ulike systemene kontrolleres, driftes og vedlikeholdes av ulike parter

og innenfor ulike jurisdiksjoner

For systemer utenfor vår kontroll så har vi begrenset forståelse av deres sikkerhetsrisikoer, struktur, oppførsel, osv.

Mange tjenesteavhengigheter

Systemene endres raskt

Vanskelig å predikere hvordan de endres og hvilken betydning det har for sikkerheten

Tap av ethvert system kan ha alvorlige konsekvenser for driften av de andre systemene og prosessen med å oppfylle de felles mål

6

ICT

Viktigheten av dette basert på tre faktiske hendelser

7

ICT

Juni 2011: Problemer med mobilnettet til Telenor

Pinsehelgen 2011 knakk Telenors mobilnett sammen

Over tre millioner kunder ble rammet Verste svikten i mobilnettet noensinne

Telenor tapte 100 millioner

Samfunnsmessige tap: over en milliard

Største delen av problemet lå i en dataserver i Oslo Mye ble løst ved å re-starte serveren

8

ICT

Mars 2010: Togstans på grunn av feil på GSM-R

Alle tog i hele Norge stod stille i nærmere tre timer da telefon- og nødsambandet GSM-R gikk ned

Det var strømforsyning i en viktig datamaskin ved en av Jernbaneverkets sentraler i Trondheim som sluttet å virke Reserveløsningen sviktet

GSM-R gikk ned Alle tog måtte stå stille fordi toglederne ikke lenger hadde kontakt med

togene ute på skinnene rundt om i landet

9

ICT

August 2003: Mørkleggingen av Nordøstkysten og Midtvesten i USA og Ontario i Canada

50 millioner uten strøm

Berørte også kritisk infrastruktur som transport, vann, kommunikasjon, osv.

Den offisielle rapporten sier at en programvarefeil i et overvåkningssystem hadde stor betydning for omfanget

Mange avhengigheter hadde også betydning for det store omfanget

Spekulasjoner rundt Blaster worm

10

ICT

Rammeverk for analyse og monitorering av effekten av avhengigheter på kvalitet

11

Steg 1.

Analyse av risiko mht kvalitet

av tilbudte tjenester

Verktøy for konstruksjon

av risikomodeller fra

avhengighetsmodeller

Steg 2.

Design av risikomonitorering mht

kvalitet av tilbudte tjenester

Steg 3.

Implementasjon av risikomonitorering

mht kvalitet av tilbudte tjenester

Verktøy for

implementasjon av

indikatorer

Verktøy for design

av indikatorer

ICT

Steg 1. Analyse av risiko mht kvalitet av tilbudte tjenester

Konstruere targetmodeller Dokumentere systemer, tjenester, kvalitetskrav til tjenester,

tjenesteavhengigheter, osv.

Transformere targetmodeller om til høynivå risikomodeller Gir et førsteinntrykk av avhengighetenes effekt på kvalitet av tilbudte

tjenester

Detaljere høynivå risikomodellene

Identifisere risiko mht kvalitet som skal monitoreres

12

ICT

Høyspenningsnett (HN)

Distribusjonsnett (DN)

Kontrollsystem

(KS)

Privat telekomsystem

(PTS)

Elektrisitet : [T: 99.50%]

Elektrisitet :

[T: 99.90%]

Kontrollinstruksjoner :

[T: 99%], [I: 99.90%]Kontrollinstruksjoner :

[T: 99%], [I: 99.90%]

Elektrisitet : [T: 99.70%]

Reservekraftsystem

(RKS)

V

V

Vannkraftverk

(VKV)

0.96

Distribusjonsnett sin

elektrisitetstjeneste ikke

levert iht krav

Privat telekomsystem sin

kontrollinstruksjonstjeneste

ikke levert iht krav

Reservekraftsystem

sin elektrisitetstjeneste

ikke levert iht krav

Kontrollsystem

sin kontrollinstruksjons-

tjeneste ikke levert iht

krav

Vannkraftverk sin

elektrisitetstjeneste ikke

levert iht krav

Tilgjengelighet av

elektrisitetstjenesten levert

til Høyspenningsnett

Hendelse med effekt på

tilgjengeligheten av elektrisitets-

tjenesten levert til Høyspenningsnett

PTS sin kontrollinstruksjonstjeneste

avhenger av DN sin elektrisitetstjeneste

PTS sin kontrollinstruksjons-

tjeneste avhenger av RKS sin

elektrisitetstjeneste

PTS sin kontrollinstruksjons-

tjeneste avhenger av KS sin

kontrollinstruksjonstjeneste

VKV sin elektrisitets-

Tjeneste avhenger av

PTS sin kontroll-

instruksjonstjeneste

13

Den tilbudte tjenesten

1

1

2

2

3

3

4

4

Detaljere høynivå trusselscenarioer

Detaljere høynivå

sårbarheter

Detaljere

høynivå

risikoer

ICT

Steg 2. Design av risikomonitorering mht kvalitet av tilbudte tjenester

Design av indikatorer for risikomonitorering

Indikatorene er basert på sensordata fra de ulike systemene

Viktige at indikatorene er gyldige At de kan brukes for å fastslå om risikoene er akseptable eller ikke

Resultater fra å utføre steget Et sett med gyldige indikatorer

Spesifikasjoner for hvordan indikatorene skal kalkuleres

Spesifikasjoner for hvordan dataene som trengs i kalkuleringene skal ekstraheres

14

ICT

Krav til indikatorer

Privat telekomsystem sin

kontrollinstruksjonstjeneste

ikke levert iht krav

Reservekraftsystem

sin elektrisitetstjeneste

ikke levert iht krav

0.4

ind1(ind2,ind3)

Mangel på

reservedrivstoff

Mangel på

reservekomponenter

Tilgjengelighet av

elektrisitetstjenesten levert

til Høyspenningsnett

Hendelse med effekt på

tilgjengeligheten av elektrisitets-

tjenesten levert til Høyspenningsnett

[Meget sjeldent] i1

[Sjeldent] o1

i2 [Meget sjeldent]

[Sje

lde

nt] o

2

ind2: Antall komponenter i Reservekraftsystemet hvor hver

komponent er kritisk (for at systemet skal fungere) og hvor hver har

en reservekomponent som kan installeres hvis komponenten feiler

ind3: Antall komponenter i Reservekraftsystemet hvor hver

komponent er kritisk (for at systemet skal fungere)

15

Privat telekomsystem

(PTS)Elektrisitet :

[T: 99.90%]

Reservekraftsystem

(RKS)

V

V

SKOMPONENTERDeployering av sensorer

Algoritme for ind1

Input: ind2, ind3

if ind2 ≠ ind3 then

ind1 := 1 – (ind2 / ind3)

else

ind1 := 0.1

end if

Output: ind1 Design av indikatorer

ICT

Steg 3. Implementasjon av risikomonitorering mht kvalitet av tilbudte tjenester

Implementasjon av indikatorene ved å konstruere et monitoreringsverktøy Bruker et arkitekturpattern for å lage verktøyet

En risikomonitor består av tre hovedkomponenter Komponent for å kalkulere indikatorer og innhente data som trengs i

kalkuleringene

Komponent for å oppdatere risikomodeller og for å presentere disse modellene til brukerne av verktøyet

Komponent for å konfigurere verktøyet

16

ICT 17

ICT

Oppsummering

Systemer blir mer og mer avhengig av hverandre

Blir vanskeligere å analysere og monitorere sikkerheten til tjenester tilbudt av ulike systemene på grunn av de mange avhengighetene og endringene

Vi har laget et rammeverk som Identifiserer avhengigheter og analyserer deres effekt på risiko mht

kvalitet av tilbudte tjenester

Designer og implementerer risikomonitorering mht kvalitet av tilbudte tjenester

18

ICT

Publikasjoner

1. O. S. Ligaarden, A. Refsdal og K. Stølen. Using indicators to monitor risk in systems of systems: How to capture and measure the impact of service dependencies on the quality of provided services.

Første versjon har blitt akseptert for publikasjon som kapitell i boken "IT Security Governance Innovations: Theory and Research." Redaktører: D. Mellado, L. E. Sánchez, E. Fernández-Medina og M. Piattini. IGI Global.

2. O. S. Ligaarden, A. Refsdal og K. Stølen. ValidKI: A method for designing key indicators to monitor the fulfillment of business objectives with particular focus on quality and ICT-supported monitoring of key indicators.

Første versjon fikk best paper award på First International Conference on Business Intelligence and Technology (BUSTECH'2011).

Andre versjon har blitt invitert til (og sendt inn til) International Journal on Advances in Intelligent Systems.

19

ICT

Publikasjoner (fortsetter)

3. O. S. Ligaarden, M. S. Lund, A. Refsdal, F. Seehusen og K. Stølen. An architectural pattern for enterprise level monitoring tools. I Proceedings of 2011 IEEE International Workshop on the Maintenance and Evolution of Service-Oriented and Cloud-Based Systems (MESOCA'2011), IEEE, 2011.

4. T. V. Håvaldsrud, O. S. Ligaarden, P. Myrseth, A. Refsdal, K. Stølen og Jon Ølnes. Experiences from using a UML-based method for trust analysis in an industrial project on electronic procurement. I Journal of Electronic Commerce Research, 10:441-467, Springer, 2010.

5. O. S. Ligaarden, A. Refsdal og K. Stølen. Experiences from using indicators to validate expert judgments in security risk analysis. Akseptert for publikasjon i Proceedings of Third International Workshop on Security Measurements and Metrics (MetriSec'2011).

20

ICT

Takk for oppmerksomheten!

Spørsmål?

Olav Skjelkvåle Ligaarden olav.ligaarden@sintef.no – http://olavsli.at.ifi.uio.no/

21