Projekt #SafeSecLab

PhD 1

SafeSec System Modeling

Siegfried Hollerer

Poster

Betreuer: Wolfgang Kastner

Co-Betreuer: Thilo Sauter

TÜVA Ansprechperson: Christoph Schwald

Das Ziel des Dissertationsvorhabens „SafeSecSystem Modeling“ ist die Identifizierung von Vorgehensweisen, um sichere System-Architekturen im industriellen Umfeld zu modellieren. Das resultierende Modell soll sowohl Anforderungen der Cyber-Sicherheit, als auch der funktionalen Sicherheit erfüllen.
Zu schützende Assets (z.B.: kritische Geräte, Operatoren bzw. Bediener, Produktionsanlagen)
werden durch einen risikobasierten Ansatz identifiziert, da der Ausfall eines sicherheitskritischen
Gerätes einen höheren Schaden, als der Ausfall eines HMI (Human Machine Interface) in der
gesamten Architektur verursachen kann.
Es werden Angriffsvektoren und Bedrohungen der Assets identifiziert, welche die Kommunikation
zwischen Maschinen (Machine-to-Machine Communication) und die Integration von IT (Information
Technology) mit OT (Operational Technology) berücksichtigt. Abbildung 1 zeigt die erwähnte
Konvergenz auf Basis des Standards ISA 95.

Abbildung 1: IT/OT – Integrationsmodell laut des Standards ISA 95 [1]

IT und OT haben sich unterschiedlich entwickelt, wodurch Herausforderungen bei der
Verschmelzung beider Gebiete entstehen. Die IT fokussiert sich auf Schutzziele hinsichtlich der
Cyber-Security. Vertraulichkeit und Integrität werden priorisiert behandelt, da ein temporärer
Ausfall eines Geräts oder Dienstes von einigen Minuten keinen erheblichen Schaden in einer
typischen IT-Architektur verursacht. Im Gegensatz dazu kann in einer OT-Architektur der Verlust der
Verfügbarkeit kritischen Schaden verursachen, welcher die funktionale Sicherheit beeinflusst.
Ein schwaches IT-Sicherheitsniveau kann die funktionale Sicherheit beinträchtigen, wie folgendes
Beispiel verdeutlicht: Eine Maschine soll in einen sicheren Zustand wechseln, sobald ein Lichtgitter
aktiviert wurde. Wegen schwachen oder fehlenden IT-Sicherheitsmaßnahmen konnte das System
manipuliert werden und die Daten des Lichtgitters können nicht mehr ausgewertet werden. Folglich
wurde die funktionale Sicherheitsfunktion deaktiviert und die Maschine führt ihren Betrieb auch in
einer gefährlichen Situation fort.
Angriffsvektoren können sich auf organisatorische Themen, wie Phishing, IT-Security Awareness-
Schulungen, den Umgang mit veralteten Systemen (Legacy-Systeme) oder die Definition und
Durchsetzung von IT-Security Richtlinien, beziehen. Zusätzlich können sich Angriffe auf technische
Themen beziehen, wie die Implementierung eines veralteten oder gar keinen
Verschlüsselungsalgorithmus, Schwächen in der Konfiguration von Geräten und deren Diensten und
Applikationen oder die Verwendung von Diensten mit schwacher IT-Security-Unterstützung (z.B.:
Das TCP-Protokoll TFTP hat keine Authentifizierung implementiert.).
Um die gewünschte sichere Architektur zu modellieren, werden klassische IT-Bedrohungsmodelle (z.B.: STRIDE, Attack Trees) und Bedrohungsmodelle, welche für die funktionale Sicherheit relevant sind, überarbeitet, adaptiert und kombiniert mit RAMI (Reference Architectural Model Industry 4.0).
Abhängig von den entdeckten Bedrohungen entsteht ein Bedrohungsmodell, welches das Gesamtrisiko abschätzt. Basierend auf den identifizierten Bedrohungen wird ein Katalog mit Schutzmaßnahmen erstellt, welcher das vorhandene Niveau der Cyber-Sicherheit und der funktionalen Sicherheit für CPPS (Cyber Physical Production Systems) evaluiert. Es werden internationale Standards (zB.: IEC 62443, IEC 61508) verwendet, um das Architektur-Modell zu erstellen.
Referenzen
[1] ANSI/ISA 95.00.01-2000, Enterprise-Control System Integration Part 1: Models and Terminology, 2000, ISA

PhD 3

Multi-Dimensional Intrusion Detection for Industrial Control Systems

Bernhard Brenner

Poster

Betreuer: Tanja Zseby

TÜVA Ansprechpartner: Thomas Doms

Der aktuelle Stand der Forschung zeigt das Potenzial von Anomalie-basierten Intrusion Detection Systemen (IDS) in industriellen Kontrollnetzwerken (ICS).

ICS bestehen typischerweise aus einem gut definierbaren Aufbau, welcher sich nur selten ändert [1, 2], während die relativ niedrigen Datenraten von ICS-Netzwerken in vielen Fällen eine komplexere Datenverarbeitung trotz Echtzeitbeschränkungen ermöglichen [3, 4].

Ziel dieses Projektes ist es nun, Methoden zur Erkennung von Angriffsvorbereitungen und laufenden Angriffen sowie deren Auswirkungen in ICS-Netzwerken zu entwickeln. Anomalien im Netzwerkverkehr sollen erkannt- und mit der netzwerkbasierten Erkennung mit anderen Datenquellen (z. B. Systeminformationen, Umgebungssensoren, Kontextinformationen) verknüpft werden, um Sicherheitsexperten in Zusammenarbeit mit Betriebsverantwortlichen bei der Beurteilung der Situation zu unterstützen und dadurch einen kontinuierlichen, sicheren Betrieb und die Datenintegrität/Vertraulichkeit zu gewährleisten.

Herausforderungen sind hier:

• die sich von IT Netzwerken unterscheidenden Kommunikationsmuster in industriellen Netzwerken
• die Extraktion von geeigneten Merkmalen („Features“) zur Erkennung von verdächtigem Netzwerkverkehr
• die Qualität der Erkennungsmethoden (d. h. eine hohe Klassifizierungsgenauigkeit im praktischen Einsatz)
• Zeit- und Bandbreiten-bedingte Einschränkungen bei der Klassifizierung

… zusätzlich zu den Herausforderungen der verfügbaren IDS-Umgehungstechniken (wie Paketfragmentierung, Covert Channels, etc.) und dem Trend zur verschlüsselten Kommunikation, wie er auch in IT-Netzwerken zu beobachten ist [5].

Wir simulieren Angriffe und IDS-Umgehungstechniken in realen ICS-Netzwerken mit dem Ziel, Merkmale zur Identifizierung solcher Angriffe zu erhalten. Neben der Suche nach geeigneten Merkmalen für diese Art von Angriffen vergleichen wir verschiedene Arten von Klassifizierungsverfahren, um die beste Kombination hinsichtlich Rechenaufwand und Korrektheit zu finden. Abbildung 1 zeigt eine kurze Darstellung unseres Ansatzes.

Abbildung 1: Vom Netzwerkverkehr zur auf maschinellem Lernen basierenden Klassifizierung des Netzwerkverkehrs.

Sobald diese Schritte abgeschlossen sind, entwickeln wir einen Prototyp auf Basis eines Elastic Stacks (Elastic S²IEM) für reale Fabriken. Alle Erkenntnisse, die während der Arbeit an diesem Projekt gewonnen werden, werden in themenbezogenen Konferenzen und Fachzeitschriften veröffentlicht.“

[1]        M. Mantere, I. Uusitalo, M. Sailio, and S. Noponen, “Challenges of machine learning based monitoring for industrial control system networks,” in 2012 26th International Conference on Advanced Information Networking and Applications Workshops, 2012, pp. 968–972.

[2]        R. Sommer and V. Paxson, “Outside the closed world: On using machine learning for network intrusion detection,” in 2010 IEEE symposium on security and privacy, 2010, pp. 305–316.

[3]        R. R. Barbosa, R. Sadre, and A. Pras, “Difficulties in modeling SCADA traffic: a comparative analysis,” in International Conference on Passive and Active Network Measurement, 2012, pp. 126–135.

[4]        F. Schuster, A. Paul, and H. König, “Towards learning normality for anomaly detection in industrial control networks,” in IFIP International Conference on Autonomous Infrastructure, Management and Security, 2013, pp. 61–72.

[5]        Sandvine, Sandvine Global Internet Phenomena report 2018. URL: https://www.sandvine.com/hubfs/downloads/phenomena/2018-phenomena-report.pdf.

PhD 5

Automated Risk Management for Industrial Control Systems

Pushparaj Bhosale

Poster

Betreuer: Wolfgang Kastner

Co-Betreuer: Thilo Sauter

TÜVA Ansprechperson: Christoph Schwald

„Riskmanagement is an important insight which  shapes  the safety and  security of an organization. The increasing threats in an everchanging industrial environment has made it difficult to meet the required safety and security standards in industrial control systems (ICS). This PhD to pic attempt stoachieve automated risk identification, analysis and assessment for information security in ICS. The project aims to find the state-of-the-art identification of security-relevant data and continuous collection of this data to obtain a useful model. Cost-effective risk reduction techniques are to be implemented and validated.“

PhD 7

Design-Time Hardware-Security Verification

Sofia Maragkou

Poster

Betreuer: Axel Jantsch

TÜVA Ansprechperson: Christoph Schwald

„In the concept of Computer Systems security, it is largely assumed that the underlying hardware is trusted. In “Cyber-Physical Systems “(CPS) security implications can have direct impact on functional safety and thus it can put human lives in danger. Taking into consideration this fact and the new age of Industry 4.0, the case study is formed based on the given context.
The main purpose of this project is the development of a method which will detect malicious hardware using application specific framework conditions. The final result will be a workable software tool that will demonstrate the effectiveness of this method.
In contrast to the existing ones, this method enables the elimination of security gaps, as well as the formulation of security policies for hardware designs. This makes our method more flexible regarding unknown attacks, since it can be used as required and it can be expanded in order to include appropriate policies.
During the research for this project, some interesting questions will be answered. For example how can unauthorized information flow be recognised during design-time, if we can leverage pattern graph specifications to specify information flow policies and how can we verify the correctness of information flow authorization.
At first, the investigation of state-of-the-art M2M hardware authentication and state-of-the-art communication options for hardware Trojans have to take place. Another factor that should be taken into consideration is the factor of the threat models that can be considered possible in the given context. Having those factors well oriented, the authentication of hardware in the given threat models and be specified.
Consequently the detection tool can be prototyped. After the verification of the benchmarks the tool can be validated. Based on the research done at the previous parts mentioned above, a catalog of the countermeasures can be drafted.
An important outcome of this project will be the determination of the security requirements for a machine-to-machine (M2M) communication controller because of the hazards that can occur. For example, part of the security problems which are created by M2M communication is the key generation and distribution. In case an adversary/attacker extracts the secret key of an existing communication channel of IoT devices, they can take complete control of the digital factory.“

PhD 9

Automatisierte Sicherungsbewertungsverfahren für dynamisch rekonfigurierbare Arbeitssysteme

Maximillian Papa

Poster

Betreuer: Sebastian Schlund

TÜVA Ansprechperson: Martin Steiner, Michael Neuhold

Sicherheitsbewertungsverfahren für schutzzaunlose Arbeitssysteme in direkter Mensch-Maschine-Interaktion weisen heute zwei wesentliche Schwächen auf, die einen Zertifizierungsprozess erschweren und verlängert. Zum einen muss bei jeder Rekonfiguration des Systems (Veränderung der Applikation bzw. der gesamten „Maschine“, d.h. auch von Greifer, Werkstück, Code, Layout oder Arbeitstakt die komplette Zertifizierung neu und ggf. auch die Schutzmaßnahmen neugestaltet werden. Zudem berücksichtigen die Sicherheitsbewertungsverfahren heute vor allem Risiken der funktionalen Sicherheit (Safety) und vernachlässigen zusammenhängende IT-Sicherheitsgefahren (Security). Beide Fragen müssen gelöst werden, um eine Zertifizierung schneller und günstiger durchzuführen.

In Ergänzung zu den andere Projekten des #SafeSecLab, konzentriert sich das in diesem spezifischen Projekt zu entwickelnde Verfahren vor allem auf die Lösung dieser Probleme bei automatisierten Sicherheitsbewertungen für dynamisch rekonfigurierbare Arbeitssysteme.