A statistical framework to evaluate the "diversity" impact against Advanced Persistent Threat...

Impatto della diversity sulla protezione di infrastrutture critiche:

un framework di valutazione

Facoltà di Ingegneria

Corso di Studi in Ingegneria Informatica

tesi di laurea

relatore

Ch.mo prof. Domenico Cotroneo

Correlatore

Ing. Antonio Pecchia

Candidato

Davide Cioccia

Matr. M63/122

Impatto della diversity sulla protezione di infrastrutture critiche: un

framework di valutazione

Anno Accademico 2012/2013





Now we're living in the era of cyber weapons.

The world is different.

Not just cyber hooligans ,vandals .

Not just criminals.

But government are in the game and I'm afraid for the worst.

I'm still expecting cyber terrorism.

Eugene Kaspersky





Contesto e Contributo

① Cambiamento radicale target malware: da semplici PC a sistemi critici

② Difficoltà nella protezione di questi sistemi

• Architetture general purpose (PC,Router)

• Sistemi legacy

• Connettività esterna

• Budget medio stanziato dalle imprese per la sicurezza dei sistemi: 2%

③ Danni catastrofici

• Esplosioni centrali

• Perdita di vite umane

• Tensioni diplomatiche

① Analisi architettura di sistemi SCADA e comportamento del VIRUS

per la creazione di un framework

② Ricerca punti critici dell’architettura su cui valutare l’impatto della

diversity

③ Abbattimento della probabilità di successo di un attacco tramite

diversity

Contesto

Contributo





Sistemi SCADA

Architettura semplificata per il modello

Nodi individuati: • OS (Operator Station)

• ES (Engineering Station)

• PLC

• DB (Database)

Reti individuate • Enterprise Network

• Control Network

Forte interconnessione tra settori diversi

• Grande impatto di un cyber-attack

Architettura generale di un sistema SCADA

• HMI

• Diagnostica

• Controller

• Sensori,Attuatori





Caso di studio: “Stuxnet”

Infezione Installazione

Ricerca ES

? ?

Update C&C &

P2P Diffusione

Check su hardware

Escalation Privilege

Check su S.O.

Control Net

Infezione del PLC

Flusso di esecuzione

Trasferimento dati da e verso il

C&C Server





Metodologia proposta

• Analisi dell’architettura di sistemi SCADA

• Analisi del comportamento di un malware di nuova generazione(Stuxnet)

• Creazione modello di simulazione attacco tramite reti SAN (tool Mobius)

Creazione del modello

• Esperimenti sul modello

• Sensitivity Analysis

• Metriche valutate: • Probabilità di successo di un

attacco Stuxnet-like

• Tempo di compromissione della mission del sistema

• ANOVA sui risultati per individuare in quali punti la diversity ha impatto maggiore

Capire dove fare diversity

• Esperimenti in presenza di diversity con diverse configurazioni

• Analisi delle metriche valutate nei diversi casi

Risultati





Modelli 1/2

Timed Activity λ Probabilità TTS

Removable_Media 5.79e-6 0.8 2 giorni Network_Shares 1.39e-4 0.8 2 ore Print_Server 9.25e-5 0.8 3 ore Service_Server_RPC 2.77e-4 0.8 1 ore Database_Vuln 2.77e-4 0.5 1 ore RestorePC 8.36e-7 0.2 1 mese Server_Attack 5.79e-6 0.5 2 giorni Install Remote Server 2.77e-4 0.8 1 ora InfectOtherUsb 5.79e-6 1 2 giorni OpenFileProject 1.16e-5 0.5 1 giorno DataTransfereUpdate 5.79e-6 1 2 giorni

Operator Station

Engineering Station


InsertUSB

7.7e-7

(0.2+(USB_Infection-

>Mark()*0.08)) 15 giorni

DatabaseVuln 7.7e-7

1(0.2+(Project_Infected-


Escalation_Privilege 0 0.7 0

Installing_Rootkit 0 0.8 0

FirewallRouterPermission 0 0.4 0

RestorePC 8.36e-7 0.2

Install Remote Server

5.79e-6

(0.3+(UpdateOK-


InfectOtherUsb 5.79e-6 0.8 2 giorni

OpenProject 5.79e-6 1 2 giorni

DataTransferAndUpdate 5.79e-6 1 2 giorni





Modelli 2/2


Recording 3.86E-7 1 1 mese

Two_H_Timer 1.39E-4 1 2 ore

Sending Frames 3.33E-4 1 50 min

IA1 Istantanea 0.8 0

Five_h_TImer 5.55E-5 1 5 ore

PLC





Simulazione

Modello di simulazione

• 6 Operator Station

• 1 Database

• 4 Engineering Station

Simulazione

Tempo:12 mesi

Valore calcolato:Probabilità di

successo di un attacco





Sensitivity Analysis e ANOVA

Label Probabilità

L 0.25

M 0.5

H 0.8

Activity sottoposte ad analisi:

• Escalation Privilege

• Restore PC

• Firewall&Router Permission

• OpenFileProject,InfectUsb

• Server Attack

Valutazione di due fattori:

• Probabilità successo di un attacco Stuxnet-like

• Differenza temporale tra due esperimenti per

raggiungere lo stesso valore di probabilità.

ANOVA

Fattori significativi:

• Escalation Privilege

• Server Attack

• OpenProject & InfectUsb

Pro

ba

bil

ità d

i su

ccesso

Tempo(mesi)





Esperimenti con diversity 1/2

%Host %Engineering Station

33% 25%

50% 50%

80% 75%

Enterprise Network: poche variazioni Control Network: variazione più consistente

• Fattore valutato: Escalation Privilege

• Abbattimento probabilità di successo di un attacco

Stuxnet-like se si applica diversity nella Control Net

• Basso impatto sulla Enterprise Net

• Aumento tempo di compromissione mission

del sistema di 3 mesi





Esperimenti con diversity 2/2

%Host %Engineering

Station

33% 25%

33% 50%

33% 80%

50% 25%

50% 50%

80% 50%

• Variazione % componenti con diversity e analisi della probabilità di compromissione

del sistema

• Buoni risultati già con 50% di diversity (probabilità=0.28)





Conclusioni Risultati

Sviluppi futuri

Testing del modello su architettura reale (SCOPE)

Utilizzo del modello su architetture di larga scala

Diversity all’interno della Control Network

Fattori determinanti:

o O.S. (Escalation Privilege, Patch USB)

o Architettura Hadware (Processore)

Costi ridotti se si investe solo su alcune macchine della Control

Network (50%)

Fattori poco determinanti: Firewall,Router,Protezione Database

Aumento temporale consistente ed abbassamento probabilità di

successo attacco

A statistical framework to evaluate the "diversity" impact against Advanced Persistent Threat...

Internet

Transcript of A statistical framework to evaluate the "diversity" impact against Advanced Persistent Threat...