Hvordan monitorere sikkerhet med hensyn til endring Olav Skjelkvåle Ligaarden Nettbaserte systemer og tjenester, SINTEF IKT Institutt for informatikk, Universitetet i Oslo Seminar om sikkerhetsstyring 19. april 2012 SINTEF, Forskningsveien 1, Oslo 1
Mitt doktorgradsarbeid Motivasjon Begrepsavklaring Viktigheten av dette basert på tre faktiske hendelser Mitt rammeverk Oppsummering Oversikt over publikasjoner 2
Motivasjon Systemer endrer seg hele tiden Dette har blant annet store konsekvenser for sikkerhet Konvensjonell risikoanalyse gir øyeblikksbilder Men vi trenger kontinuerlig forståelse av risiko med hensyn på sikkerhet Et svar er dynamisk monitorering av sikkerhetsrisiko 3
Begrepsavklaring Monitorering Regelmessig observasjon og registrering av hendelser/aktiviteter/osv. Indikatorer Noe som gir en ledetråd til et spørsmål av større betydning eller gjør merkbar en trend eller fenomen som ikke er umiddelbart synlig Eksempel: En uforventet økning i trafikken på en web-server kan være et tegn på at et Denial of Service (DoS) angrep er underveis Betydningen av en indikator går utover det som faktisk måles 4
Begrepsavklaring (fortsetter) Sikkerhet Bevaring av konfidensialitet, integritet og tilgjengelighet av informasjon, i tillegg kan andre egenskaper som autentisitet, ansvarlighet, ikke-benektelse og pålitelighet også være involvert Tjenesteavhengighet Beskriver et forhold mellom en tjeneste levert av et system og tjenester som kreves av systemet. En tjeneste er avhengig av andre tjenester dersom de er nødvendige for at tjenesten skal bli tilbudt Kvaliteten (sikkerheten) til en tjeneste kan avhenge av andre tjenester 5
Begrepsavklaring (fortsetter) Systemer av systemer Sett eller ordning av systemer som er relatert eller koblet sammen for å oppfylle felles mål De ulike systemene kontrolleres, driftes og vedlikeholdes av ulike parter og innenfor ulike jurisdiksjoner For systemer utenfor vår kontroll så har vi begrenset forståelse av deres sikkerhetsrisikoer, struktur, oppførsel, osv. Mange tjenesteavhengigheter Systemene endres raskt Vanskelig å predikere hvordan de endres og hvilken betydning det har for sikkerheten Tap av ethvert system kan ha alvorlige konsekvenser for driften av de andre systemene og prosessen med å oppfylle de felles mål 6
Viktigheten av dette basert på tre faktiske hendelser 7
Juni 2011: Problemer med mobilnettet til Telenor Pinsehelgen 2011 knakk Telenors mobilnett sammen Over tre millioner kunder ble rammet Verste svikten i mobilnettet noensinne Telenor tapte 100 millioner Samfunnsmessige tap: over en milliard Største delen av problemet lå i en dataserver i Oslo Mye ble løst ved å re-starte serveren 8
Mars 2010: Togstans på grunn av feil på GSM-R Alle tog i hele Norge stod stille i nærmere tre timer da telefonog nødsambandet GSM-R gikk ned Det var strømforsyning i en viktig datamaskin ved en av Jernbaneverkets sentraler i Trondheim som sluttet å virke Reserveløsningen sviktet GSM-R gikk ned Alle tog måtte stå stille fordi toglederne ikke lenger hadde kontakt med togene ute på skinnene rundt om i landet 9
August 2003: Mørkleggingen av Nordøstkysten og Midtvesten i USA og Ontario i Canada 50 millioner uten strøm Berørte også kritisk infrastruktur som transport, vann, kommunikasjon, osv. Den offisielle rapporten sier at en programvarefeil i et overvåkningssystem hadde stor betydning for omfanget Mange avhengigheter hadde også betydning for det store omfanget Spekulasjoner rundt Blaster worm 10
Rammeverk for analyse og monitorering av effekten av avhengigheter på kvalitet Steg 1. Analyse av risiko mht kvalitet av tilbudte tjenester Verktøy for konstruksjon av risikomodeller fra avhengighetsmodeller Steg 2. Design av risikomonitorering mht kvalitet av tilbudte tjenester Verktøy for design av indikatorer Steg 3. Implementasjon av risikomonitorering mht kvalitet av tilbudte tjenester Verktøy for implementasjon av indikatorer 11
Steg 1. Analyse av risiko mht kvalitet av tilbudte tjenester Konstruere targetmodeller Dokumentere systemer, tjenester, kvalitetskrav til tjenester, tjenesteavhengigheter, osv. Transformere targetmodeller om til høynivå risikomodeller Gir et førsteinntrykk av avhengighetenes effekt på kvalitet av tilbudte tjenester Detaljere høynivå risikomodellene Identifisere risiko mht kvalitet som skal monitoreres 12
0.96 Elektrisitet : [T: 99.50%] Privat telekomsystem (PTS) V Kontrollinstruksjoner : [T: 99%], [I: 99.90%] Vannkraftverk (VKV) V 1 Elektrisitet : [T: 99.70%] Høyspenningsnett (HN) Detaljere høynivå trusselscenarioer Distribusjonsnett (DN) Elektrisitet : [T: 99.90%] 4 2 Reservekraftsystem (RKS) Kontrollinstruksjoner : [T: 99%], [I: 99.90%] Kontrollsystem (KS) 3 Den tilbudte tjenesten 1 Distribusjonsnett sin elektrisitetstjeneste ikke levert iht krav PTS sin kontrollinstruksjonstjeneste avhenger av DN sin elektrisitetstjeneste Privat telekomsystem sin kontrollinstruksjonstjeneste ikke levert iht krav VKV sin elektrisitets- Tjeneste avhenger av PTS sin kontrollinstruksjonstjeneste 4 Vannkraftverk sin elektrisitetstjeneste ikke levert iht krav Hendelse med effekt på tilgjengeligheten av elektrisitetstjenesten levert til Høyspenningsnett 2 PTS sin kontrollinstruksjonstjeneste avhenger av RKS sin elektrisitetstjeneste 3 PTS sin kontrollinstruksjonstjeneste avhenger av KS sin kontrollinstruksjonstjeneste Reservekraftsystem sin elektrisitetstjeneste ikke levert iht krav Kontrollsystem sin kontrollinstruksjonstjeneste ikke levert iht krav Detaljere høynivå sårbarheter Detaljere høynivå risikoer Tilgjengelighet av elektrisitetstjenesten levert til Høyspenningsnett 13
Steg 2. Design av risikomonitorering mht kvalitet av tilbudte tjenester Design av indikatorer for risikomonitorering Indikatorene er basert på sensordata fra de ulike systemene Viktige at indikatorene er gyldige At de kan brukes for å fastslå om risikoene er akseptable eller ikke Resultater fra å utføre steget Et sett med gyldige indikatorer Spesifikasjoner for hvordan indikatorene skal kalkuleres Spesifikasjoner for hvordan dataene som trengs i kalkuleringene skal ekstraheres 14
ind 2 : Antall komponenter i Reservekraftsystemet hvor hver komponent er kritisk (for at systemet skal fungere) og hvor hver har en reservekomponent som kan installeres hvis komponenten feiler ind 3 : Antall komponenter i Reservekraftsystemet hvor hver komponent er kritisk (for at systemet skal fungere) Krav til indikatorer Algoritme for ind 1 Input: ind 2, ind 3 [Meget sjeldent] i 1 Privat telekomsystem sin kontrollinstruksjonstjeneste ikke levert iht krav [Sjeldent] o 1 ind 1 (ind 2,ind 3 ) Mangel på reservekomponenter i 2 [Meget sjeldent] 0.4 Reservekraftsystem sin elektrisitetstjeneste ikke levert iht krav Mangel på reservedrivstoff [Sjeldent] o2 Design av indikatorer if ind 2 ind 3 then ind 1 := 1 (ind 2 / ind 3 ) else ind 1 := 0.1 end if Output: ind 1 Hendelse med effekt på tilgjengeligheten av elektrisitetstjenesten levert til Høyspenningsnett Privat telekomsystem (PTS) Elektrisitet : [T: 99.90%] Reservekraftsystem (RKS) V V Tilgjengelighet av elektrisitetstjenesten levert til Høyspenningsnett Deployering av sensorer S KOMPONENTER 15
Steg 3. Implementasjon av risikomonitorering mht kvalitet av tilbudte tjenester Implementasjon av indikatorene ved å konstruere et monitoreringsverktøy Bruker et arkitekturpattern for å lage verktøyet En risikomonitor består av tre hovedkomponenter Komponent for å kalkulere indikatorer og innhente data som trengs i kalkuleringene Komponent for å oppdatere risikomodeller og for å presentere disse modellene til brukerne av verktøyet Komponent for å konfigurere verktøyet 16
17
Oppsummering Systemer blir mer og mer avhengig av hverandre Blir vanskeligere å analysere og monitorere sikkerheten til tjenester tilbudt av ulike systemene på grunn av de mange avhengighetene og endringene Vi har laget et rammeverk som Identifiserer avhengigheter og analyserer deres effekt på risiko mht kvalitet av tilbudte tjenester Designer og implementerer risikomonitorering mht kvalitet av tilbudte tjenester 18
Publikasjoner 1. O. S. Ligaarden, A. Refsdal og K. Stølen. Using indicators to monitor risk in systems of systems: How to capture and measure the impact of service dependencies on the quality of provided services. Første versjon har blitt akseptert for publikasjon som kapitell i boken "IT Security Governance Innovations: Theory and Research." Redaktører: D. Mellado, L. E. Sánchez, E. Fernández-Medina og M. Piattini. IGI Global. 2. O. S. Ligaarden, A. Refsdal og K. Stølen. ValidKI: A method for designing key indicators to monitor the fulfillment of business objectives with particular focus on quality and -supported monitoring of key indicators. Første versjon fikk best paper award på First International Conference on Business Intelligence and Technology (BUSTECH'2011). Andre versjon har blitt invitert til (og sendt inn til) International Journal on Advances in Intelligent Systems. 19
Publikasjoner (fortsetter) 3. O. S. Ligaarden, M. S. Lund, A. Refsdal, F. Seehusen og K. Stølen. An architectural pattern for enterprise level monitoring tools. I Proceedings of 2011 IEEE International Workshop on the Maintenance and Evolution of Service-Oriented and Cloud-Based Systems (MESOCA'2011), IEEE, 2011. 4. T. V. Håvaldsrud, O. S. Ligaarden, P. Myrseth, A. Refsdal, K. Stølen og Jon Ølnes. Experiences from using a UML-based method for trust analysis in an industrial project on electronic procurement. I Journal of Electronic Commerce Research, 10:441-467, Springer, 2010. 5. O. S. Ligaarden, A. Refsdal og K. Stølen. Experiences from using indicators to validate expert judgments in security risk analysis. Akseptert for publikasjon i Proceedings of Third International Workshop on Security Measurements and Metrics (MetriSec'2011). 20
Takk for oppmerksomheten! Spørsmål? Olav Skjelkvåle Ligaarden olav.ligaarden@sintef.no http://olavsli.at.ifi.uio.no/ 21