Forskning på cybersikkerhet ved UiO Audun Jøsang Universitetet i Oslo
God og dårlig oversettelse Engelsk Norsk Security Safety Certainty Sikkerhet Trygghet Visshet God Security Safety Certainty Sikkerhet Dårlig Audun Jøsang UiO Cybersikkerhetsforskning 2
Hva er sikkerhet? Sikkerhet er beskyttelse av verdier mot skade eiendom, kritisk infrastruktur, demokrati, helse, miljø, informasjon Fysisk sikkerhet (hindre innbrudd og tyveri) Samfunnssikkerhet (sikkerhet i kritisk infrastruktur) Nasjonal sikkerhet (politisk stabilitet) Trygghet (sikkerhet for liv og helse) Miljøsikkerhet (hindre forurensing og fremmede arter) Informasjonssikkerhet og personvern Audun Jøsang UiO Cybersikkerhetsforskning 3
Abstrakt risikomodell (NSM) Verdier Risiko Trusler Sårbarheter Abstrakt modell for risiko Jo mere verdier du har, jo flere trusler du er utsatt for, og jo mere sårbar du er, desto større risiko er du utsatt for. Audun Jøsang UiO Cybersikkerhetsforskning 4
Konkret risikomodell Trusselaktør Forklaring: har aspekt bidrar til Enhver risiko er et resultat av et gitt trusselscenario som fører til en hendelse som skader verdier. Motivasjon, kapasitet, sårbarhet og konsekvens avgjør risikoens nivå. Sannsynlighet for (at trusselscenario skal forårsake) hendelse Sårbarhet for trusselscenario Konkret risiko Trusselaktørstyrke Trusselaktørmotivasjon Trusselaktørkapasitet Trusselscenario Hendelsens konsekvens Audun Jøsang UiO Cybersikkerhetsforskning 5 Hendelse
Trusselmodellering og asymmetri Trusselaktør med angrepsmålsettinger Trusselscenarier Internett Front-end webtjener Back-end app. logikk MySQL database Bruker Klientplattform Nye trusler oppstår hele tiden (trusselinnovasjon) Vi som beskytter forsøker å stoppe alle trusler Angriper må bare finne én trussel som virker for å lykkes Audun Jøsang UiO Cybersikkerhetsforskning 6
Ingen sårbarhet uten trusler Ny trussel oppstår i 2016 Sårbarhet fjernet og trussel blokkert Audun Jøsang UiO Cybersikkerhetsforskning 7
Cybertrusseletterretning Trusseletterretning er bevisbasert kunnskap, inkludert konkrete indikatorer, kontekst, hendelsesmekanismer, implikasjoner, og praktiske evalueringer og anbefalinger, om eksisterende eller fremvoksende trusler mot verdier, som en aktør kan bruke til å foreta velbegrunnede beslutninger om effektiv respons mot truslene. Cybertrusseletterretning er bevisbasert kunnskap om cybertrusler. kalles også digital trusseletterretning. Gartner 2013 Audun Jøsang UiO Cybersikkerhetsforskning 8
threat intelligence cyber threat intelligence 1.jan.2004 1.okt.2008 1.jul.2013 1.apr.2018 Audun Jøsang UiO Cybersikkerhetsforskning 9
Tidlig cybertrusseletterretning The Morris Worm (1988) Audun Jøsang UiO Cybersikkerhetsforskning 10
Indikatorer uten kontekst er utilstrekkelig www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com WannaCry sjekket tilgjengelighet av domenet la seg i dvale hvis domenet var tilgjengelig krypterte harddisken hvis domenet var utilgjengelig Mange nettverksoperatører sperret domenet.. Audun Jøsang UiO Cybersikkerhetsforskning 11
Semantisk berikelse av informasjon Audun Jøsang UiO Cybersikkerhetsforskning 12
Trusseletterretningskategorier Langsiktig Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Operasjonelt Teknisk Kortsiktig Kampanjer Verktøy Sampler Indikatorer Mindre detaljert Mer detaljert Audun Jøsang UiO Cybersikkerhetsforskning 13
Analogi: Smugling over Svinesund Image Copyright Hakon Aurlien, 2015, Creative Commons Attribution-Share Alike 3.0 Unported https:iicommons.wikimedia.orglwikiifile:svinesundsbrua.jpg Audun Jøsang UiO Cybersikkerhetsforskning 14
Teknisk trusseletterretning Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Kampanjer Operasjonelt Teknisk Verktøy Sampler Indikatorer By Olavsplates (Own work) [CC BY-SA 3.0 (https://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Common http://malicious.org Audun Jøsang UiO Cybersikkerhetsforskning 15
Taktisk trusseletterretning Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Operasjonelt Teknisk Kampanjer Verktøy Sampler Indikatorer By High Contrast (Self-photographed) [CC BY 3.0 de (http://creativecommons.org/licenses/by/3.0/de/deed.en)], via Wikimedia Commons Environment: Windows cmd.exe command line 1.ping -n 1 HOSTNAME 2.net use \\HOSTNAME\c$ "PASSWORD" /user:"domain\username" Audun Jøsang UiO Cybersikkerhetsforskning 16
Operasjonell trusseletterretning Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Kampanjer Operasjonelt Teknisk Verktøy Sampler Indikatorer Audun Jøsang UiO Cybersikkerhetsforskning 17
Strategisk trusseletterretning Attribusjon Målsetting Strategi Taktikker Teknikker Prosedyrer Strategisk Taktisk Kampanjer Operasjonelt Teknisk Verktøy Sampler Indikatorer Audun Jøsang UiO Cybersikkerhetsforskning 18
Modenhetsnivå for trusseldeteksjon Detection Maturity Levels Robusthet av etterretningen Attribusjon DML-9 Identitet Angriperens målsetting og strategi Gjennomføringsplan og metode for angrep Spor etter angrepets utførelse DML-8 DML-7 DML-6 DML-5 DML-4 DML-3 DML-2 DML-1 Målsettinger Strategi Taktikker Tecknikker Prosedyrer Angrepsverktøy Host- & nettverkssampler Isolerte indikatorer Presisjon av etterretningen DML-0 Manglende informasjon Stillions 2014 Audun Jøsang UiO Cybersikkerhetsforskning 19
Cybertrusseletterretning Ekstern etterretning Klassifikator Angripers målsetting og strategi Kausalitet Plan og metode for angrep Kausalitet Klassifikator Ekstern etterretning Analyse Teknikker for berikelse av data Spor etter angrepets gjennomføring Formell representasjon av TTP (Tactics, Techniques and Procedures) Automatisk prosessering og behandling av naturlige språk Taxonomier og ontologier for cybertrusseletterretning Audun Jøsang UiO Cybersikkerhetsforskning 20
The Cyber Kill Chain (Hutchins et al. 2011) Steps for executing attack Time scale 1 2 3 4 5 6 7 Reconaissance Weaponisation Delivery Exploitation Installation C&C Action Days, months, years Days, months Minutes, hours Milliseconds Seconds Hours, days Seconds, days, years COINS 2016 Cyber Warfare 21
Partnere ACT Project Semi-Automated Cyber Threat Intelligence TOCSA Project Threat Ontologies for CyberSecurity Analytics 29.01.2016 Oslo Analytics Kick-Off-meeting 22
Audun Jøsang UiO Cybersikkerhetsforskning 23
Audun Jøsang UiO Cybersikkerhetsforskning 24
Audun Jøsang UiO Cybersikkerhetsforskning 25
AFSikkerhet Akademisk Forum Sikkerhet Åpen seminarserie på UiOs https://wiki.uio.no/mn/ifi/afsecurity/ Neste AFSikkerhet 26.okt 2018 The New Norwegian Passport and Id-Card Tage Stabell-Kulø Organiseres ITLED4021 2018 av: Informasjonssikkerhet Intro 26