Design- and Runtime Security for Internet of Things
76. Digitaldialog
22.September 2020
Dipl.-Ing. Dr. Katharina Hofer-Schmitz
Kompetenzgruppe
Cyber Security and Defence
Security by Design
Sicherheitsmodellierung Formale Verifikation
Security at Runtime
Künstliche Intelligenz Penetration Testing
Cyber Defence
Automatisierte Netzwerkanalysis Angriffserkennung & Resilienz
Einsatzorientierte Applikationen
ABC-Informationssystem
Domänenübergreifende Interoperabilität
2
Inhalt
Security by Design
Formale Methoden
Smart Water Distribution Use Case Risikoanalyse mit PRISM
Security at Runtime
Advanced Persistent Threat (APTs) Daten/Features
Anomalieerkennung mit ML
Motivation Security by Design
Systeme werden immer komplexer Schutz vor Cyberangriffe
Bsp.: M2M communication (e.g. MQTT, CoAP)
Verschiedene Schwachstellen/Implementation mit nicht-sicheren Deployments
Methoden um Sicherheitsanforderungen zu prüfen:
Risikoanalyse Threat Models Penetrationtests
Formale Verifikation
5
D.Q. Federico Maggi, Rainer Vosseler: The fragility of industrial IoT’s data backbone. security and privacy issues in mqtt and coap protocols, 2018
Motivation Security by Design
Beispiel: Needham-Schröder Public Key Protokoll
1978 veröffentlicht
1996 Attacke mit FDR entdeckt Lowe Attacke
Erlaubt Angreifer sich als jemand anderer auszugeben
Keine Abhängigkeit von Schwachstellen in kryptographischen Primitiven
6
Ziel: Authentifizierung von A und B
A B
G. Lowe, Breaking and fixing the Needham-Schroeder Public-Key Protocol using FDR, in International Workshop on Tools and Algorithms for the Construction and Analysis of Systems. Springer, 1996, pp. 147–166.
Motivation Security by Design
Beispiel: Needham-Schröder Public Key Protokoll
1978 veröffentlicht
1996 Attacke mit FDR entdeckt Lowe Attacke
Erlaubt Angreifer sich als jemand anderer auszugeben
Keine Abhängigkeit von Schwachstellen in kryptographischen Primitiven
A B
I
7
Ziel: Authentifizierung von A und B
G. Lowe, Breaking and fixing the Needham-Schroeder Public-Key Protocol using FDR, in International Workshop on Tools and Algorithms for the Construction and Analysis of Systems. Springer, 1996, pp. 147–166.
Formal Verifikation
Sicherheitsgarantien
Basierend auf mathematischen und logischen Methoden
Unterschiedlicher Fokus der Tools:
Security Protokolle
Probabilistische Model Checker
…
8
Cyber-physical system (CPS)
Automatisiertere Systeme → mehr potentielle Schwachstellen IoT Komponenten im Use Case:
Wasserqualitätssensoren Wasserstandssensoren Wasserdrucksensoren
Aktoren (Kontrolle der Pumpen, öffnen von Ventilen)
PLCs (Programmable Logic Controller, schaltet Pumpe automatisch an, wenn Tank fast leer ist, etc.)
SCADA (Supervisory Control and Data Acquisition, Monitoring und Kontrolle vom Netzwerk in (fast) Echtzeit)
Smart water distribution
9
Formale Verifikation (Aspekt: Wasserqualität)
Konfiguration 1:
10
Vulnerabilitätslabel Exploit.
Prob.
Zugehöriger Threat
L1 und L2 0.4 Verbindung blockiert: Verweigerte Übertragung
G1 0.4 Modifizierter Kontext/Falsche
Aktuation
SCADA 0.2 Modifizierter Kontext
Attacke Auswirkung Bedingungen beim Angriff
Wasservergiftung Hoch Ventil schließt nicht (bleibt offen), obwohl Wasser kontaminiert ist.
Falscher Alarm Niedrig Ventil bleibt offen und Team wird gerufen, obwohl das Wasser nicht kontaminiert ist.
Wasserstop Mittel Das Ventil schließt und das Team wir nicht gerufen, obwohl das Wasser nicht kontaminiert ist.
L1 L2
G1
Formale Verifikation (Aspekt: Wasserqualität)
Konfiguration 2:
11
Vulnerabilitätslabel Exploit.
Prob.
Zugehöriger Threat
L1, L2 und L3 0.4 Verbindung blockiert: Verweigerte Übertragung
G1 und G2 0.4 Modifizierter Kontext/Falsche Aktuation
SCADA 0.2 Modifzierter Kontext
Attacke Auswirkung Bedingungen beim Angriff
Wasservergiftung Hoch Ventile schließen nicht (bleiben offen), obwohl das Wasser kontaminiert ist.
Falscher Alarm Niedrig Die Ventile bleiben offen und das Team wird gerufen, obwohl das Wasser nicht kontaminiert ist.
Wasserstop Mittel Die Ventile schießen und das Team wird nicht gerufen, obwohl das Wasser nicht kontaminiert ist.
L1 L2
G1 G2
L3
Formale Verifikation (Aspekt: Wasserqualität)
0,4 0,4
0,2 0,4 0,4
0,64 0,64
0,28
0,08
0,4
0,64 0,784
0,64
0,376
0,128
0,4
0,64 0,8704
0,6976
0,376
0,2176
0,4
0,64
0 0,5 1 1,5 2 2,5 3
Water Poisoning (config 1) Water Poisoning (config 2) False Alarm (config 1) False Alarm (config 2) Water Stop (config 1) Water Stop (config 2)
Verified risk exposure scores
cost=1 cost=2 cost=3 cost=4
12
cost – Maximale Anzahl an Schwachstellen die während eines Angriffs ausgenutzt werden.
Motivation Security at Runtime
Cyber Security in Österreich 2019 (KPMG)
57 % der Unternehmen waren Opfer einer Cyberattacke
60% suchen nach einem Angriff nach Schwachstellen in den Systemen
Staatliche oder staatlich unterstütze Cyberangriffe nehmen zu (Wirtschafts- und Industriespionage)
Cyber Security in Österreich 2018 (KPMG): 7% von Advanced Persistent Threats (APTs) betroffen
Tendenz steigend
14
https://home.kpmg/at/de/home/insights/2020/05/studie-cyber-security-in-oesterreich-2020.html
Motivation Security at Runtime
Erkennung von zielgerichteten Angriffen: APTs
Advanced:
Gezielt, heimlich und datenfokussiert Angriffe fehlgeschlagen → angepasst
Persistent:
Langanhaltende Verbindung (z.B.: Angriff von APT1 Gruppe fast fünf Jahre)
Fokus üblicherweise nicht schnelle Zerstörung des Systems
Threat:
Große Schädigung für Opfer
15
Motivation Security at Runtime
Beispiele:
Carbanak-Angriff (APT Angriff gegen Banken, 2015)
2,5 - 10 Millionen US-Dollar Schaden (pro Bank)
Angriff von APT28 u.a. auf deutschen Bundestag im Frühjahr 2015
Insgesamt 14 Server attackiert und Daten im Volumen von 16 Gigabyte abgesaugt
A1 Telekom: Ende 2019 bis Juni 2020
16
Netzwerkumgebung
17
Daten
Netzwerkdatenverkehrspakete
18
Features
Verschiedene Arten
Statistisch basierte Features
Basierend auf Netzwerkpaketen
Auch für verschlüsselten Datenverkehr
Graph-basierte Features
Darstellung des Netzwerks durch eine Menge von verbundenen Knoten
Zeitreihen-basierte Features
Üblicherweise nicht für Netzwerkdatenverkehr eingesetzt
Feature Name Description Duration Flow duration
Total_pkts Total packets in the flow
Total_pkts_fwd Total packets in the forward flow Total_pkts_bwd Total packets in the backward flow Max_IAT Maximum of inter-arrival time in
the flow
Total_Idle Idle time of the flow
FIN Number of FIN packets send (TCP flow)
19
Tabelle: (Auswahl) statistisch basierte Features
Machine Learning zur APT Erkennung
Mit Anomalieerkennung
Local Outlier Detection
One Class Support Vector Machine Autoencoder
…
20
Referenzen
S. Krivokuca, B. Stojanovic, K. Hofer-Schmitz, N. Neskovic, A. Neskovic: Smart Water Distribution System Communication Architecture Risk Analysis Using Formal Methods (submitted)
S. Krivokuca: Analysis of the smart water distribution system concerning cyber security aspects, Master thesis, 2020.
K. Hofer-Schmitz, B. Stojanovic: Towards Formal Verification of IoT Protocols: A Review, Computer Networks, 2020
B. Stojanovic, K. Hofer-Schmitz, U. Kleb: APT Datasets and Attack Modeling for Automated Detection Methods: A Review, Computers & Security, 2020
K. Hofer-Schmitz, B. Stojanovic: Towards Formal Methods of IoT Application Layer Protocols, Conference paper, CMI, 2019
B. Stojanovic, K. Hofer-Schmitz: Formal Methods for Connected Vehicle Protocols, Conference paper, TELFOR, 2019
21