Forskning på cybersikkerhet ved UiO. Audun Jøsang Universitetet i Oslo

Transkript

1 Forskning på cybersikkerhet ved UiO Audun Jøsang Universitetet i Oslo

2 God og dårlig oversettelse Engelsk Norsk Security Safety Certainty Sikkerhet Trygghet Visshet God Security Safety Certainty Sikkerhet Dårlig Audun Jøsang UiO Cybersikkerhetsforskning 2

3 Hva er sikkerhet? Sikkerhet er beskyttelse av verdier mot skade eiendom, kritisk infrastruktur, demokrati, helse, miljø, informasjon Fysisk sikkerhet (hindre innbrudd og tyveri) Samfunnssikkerhet (sikkerhet i kritisk infrastruktur) Nasjonal sikkerhet (politisk stabilitet) Trygghet (sikkerhet for liv og helse) Miljøsikkerhet (hindre forurensing og fremmede arter) Informasjonssikkerhet og personvern Audun Jøsang UiO Cybersikkerhetsforskning 3

4 Abstrakt risikomodell (NSM) Verdier Risiko Trusler Sårbarheter Abstrakt modell for risiko Jo mere verdier du har, jo flere trusler du er utsatt for, og jo mere sårbar du er, desto større risiko er du utsatt for. Audun Jøsang UiO Cybersikkerhetsforskning 4

5 Konkret risikomodell Trusselaktør Forklaring: har aspekt bidrar til Enhver risiko er et resultat av et gitt trusselscenario som fører til en hendelse som skader verdier. Motivasjon, kapasitet, sårbarhet og konsekvens avgjør risikoens nivå. Sannsynlighet for (at trusselscenario skal forårsake) hendelse Sårbarhet for trusselscenario Konkret risiko Trusselaktørstyrke Trusselaktørmotivasjon Trusselaktørkapasitet Trusselscenario Hendelsens konsekvens Audun Jøsang UiO Cybersikkerhetsforskning 5 Hendelse

6 Trusselmodellering og asymmetri Trusselaktør med angrepsmålsettinger Trusselscenarier Internett Front-end webtjener Back-end app. logikk MySQL database Bruker Klientplattform Nye trusler oppstår hele tiden (trusselinnovasjon) Vi som beskytter forsøker å stoppe alle trusler Angriper må bare finne én trussel som virker for å lykkes Audun Jøsang UiO Cybersikkerhetsforskning 6

7 Ingen sårbarhet uten trusler Ny trussel oppstår i 2016 Sårbarhet fjernet og trussel blokkert Audun Jøsang UiO Cybersikkerhetsforskning 7

8 Cybertrusseletterretning Trusseletterretning er bevisbasert kunnskap, inkludert konkrete indikatorer, kontekst, hendelsesmekanismer, implikasjoner, og praktiske evalueringer og anbefalinger, om eksisterende eller fremvoksende trusler mot verdier, som en aktør kan bruke til å foreta velbegrunnede beslutninger om effektiv respons mot truslene. Cybertrusseletterretning er bevisbasert kunnskap om cybertrusler. kalles også digital trusseletterretning. Gartner 2013 Audun Jøsang UiO Cybersikkerhetsforskning 8

9 threat intelligence cyber threat intelligence 1.jan okt jul apr.2018 Audun Jøsang UiO Cybersikkerhetsforskning 9

10 Tidlig cybertrusseletterretning The Morris Worm (1988) Audun Jøsang UiO Cybersikkerhetsforskning 10

11 Indikatorer uten kontekst er utilstrekkelig www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com WannaCry sjekket tilgjengelighet av domenet la seg i dvale hvis domenet var tilgjengelig krypterte harddisken hvis domenet var utilgjengelig Mange nettverksoperatører sperret domenet.. Audun Jøsang UiO Cybersikkerhetsforskning 11

12 Semantisk berikelse av informasjon Audun Jøsang UiO Cybersikkerhetsforskning 12

13 Trusseletterretningskategorier Langsiktig Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Operasjonelt Teknisk Kortsiktig Kampanjer Verktøy Sampler Indikatorer Mindre detaljert Mer detaljert Audun Jøsang UiO Cybersikkerhetsforskning 13

14 Analogi: Smugling over Svinesund Image Copyright Hakon Aurlien, 2015, Creative Commons Attribution-Share Alike 3.0 Unported Audun Jøsang UiO Cybersikkerhetsforskning 14

15 Teknisk trusseletterretning Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Kampanjer Operasjonelt Teknisk Verktøy Sampler Indikatorer By Olavsplates (Own work) [CC BY-SA 3.0 ( via Wikimedia Common Audun Jøsang UiO Cybersikkerhetsforskning 15

16 Taktisk trusseletterretning Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Operasjonelt Teknisk Kampanjer Verktøy Sampler Indikatorer By High Contrast (Self-photographed) [CC BY 3.0 de ( via Wikimedia Commons Environment: Windows cmd.exe command line 1.ping -n 1 HOSTNAME 2.net use \\HOSTNAME\c$ "PASSWORD" /user:"domain\username" Audun Jøsang UiO Cybersikkerhetsforskning 16

17 Operasjonell trusseletterretning Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Kampanjer Operasjonelt Teknisk Verktøy Sampler Indikatorer Audun Jøsang UiO Cybersikkerhetsforskning 17

18 Strategisk trusseletterretning Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Kampanjer Operasjonelt Teknisk Verktøy Sampler Indikatorer Audun Jøsang UiO Cybersikkerhetsforskning 18

19 Modenhetsnivå for trusseldeteksjon Detection Maturity Levels Robusthet av etterretningen Attribusjon DML-9 Identitet Angriperens målsetting og strategi Gjennomføringsplan og metode for angrep Spor etter angrepets utførelse DML-8 DML-7 DML-6 DML-5 DML-4 DML-3 DML-2 DML-1 Målsettinger Strategi Taktikker Tecknikker Prosedyrer Angrepsverktøy Host- & nettverkssampler Isolerte indikatorer Presisjon av etterretningen DML-0 Manglende informasjon Stillions 2014 Audun Jøsang UiO Cybersikkerhetsforskning 19

20 Cybertrusseletterretning Ekstern etterretning Klassifikator Angripers målsetting og strategi Kausalitet Plan og metode for angrep Kausalitet Klassifikator Ekstern etterretning Analyse Teknikker for berikelse av data Spor etter angrepets gjennomføring Formell representasjon av TTP (Tactics, Techniques and Procedures) Automatisk prosessering og behandling av naturlige språk Taxonomier og ontologier for cybertrusseletterretning Audun Jøsang UiO Cybersikkerhetsforskning 20

21 The Cyber Kill Chain (Hutchins et al. 2011) Steps for executing attack Time scale Reconaissance Weaponisation Delivery Exploitation Installation C&C Action Days, months, years Days, months Minutes, hours Milliseconds Seconds Hours, days Seconds, days, years COINS 2016 Cyber Warfare 21

22 Partnere ACT Project Semi-Automated Cyber Threat Intelligence TOCSA Project Threat Ontologies for CyberSecurity Analytics Oslo Analytics Kick-Off-meeting 22

23 Audun Jøsang UiO Cybersikkerhetsforskning 23

24 Audun Jøsang UiO Cybersikkerhetsforskning 24

25 Audun Jøsang UiO Cybersikkerhetsforskning 25

26 AFSikkerhet Akademisk Forum Sikkerhet Åpen seminarserie på UiOs Neste AFSikkerhet 26.okt 2018 The New Norwegian Passport and Id-Card Tage Stabell-Kulø Organiseres ITLED av: Informasjonssikkerhet Intro 26