Realtime Intrusion Risk Assessment Model based on Attack and Service Dependency Graphs

Network services are becoming larger and increasingly complex to manage. It is extremely critical to maintain the users QoS, the response time of applications, and critical services in high demand. On the other hand, we see impressive changes in the ways in which attackers gain access to systems and infect services. When an attack is detected, an Intrusion Response System (IRS) is responsible to accurately assess the value of the loss incurred by a compromised resource and apply the proper responses to mitigate attack. Without having a proper risk assessment, our automated IRS will reduce network performance, wrongly disconnect users from the network, or result in high costs for administrators reestablishing services, and become a DoS attack for our network, which will eventually have to be disabled. In this paper, we address these challenges and we propose a new model to combine the Attack Graph and Service Dependency Graph approaches to calculate the impact of an attack more accurately compared to other existing solutions. To show the effectiveness of our model, a sophisticated multi-step attack was designed to compromise a web server, as well as to acquire root privilege. Our results illustrate the efficiency of the proposed model and confirm the feasibility of the approach in real-time

Kyberoperaatioiden käyttö avaruudellista infrastruktuuria vastaan sotilaallisen voiman heikentämiseksi

Moderni yhteiskuntamme on riippuvainen avaruudesta. Sen avulla kyetään kommunikoimaan globaalisti, valvomaan ohjuslaukaisuja, navigoimaan maalla, merellä ja ilmassa sekä tukemaan sotilaallista suunnittelua ja toimintaa. Tästä syystä avaruudellinen infrastruktuuri on myös houkutteleva kohde hyökkääjän näkökulmasta. Perinteisesti satelliitintorjuntakyvyt ovat olleet ainoastaan valtioiden saatavilla niiden kalliista hinnasta johtuen. Riippuvuus tietoverkoista on kuitenkin kasvattanut erityisesti kyberhyökkäysten määrää satelliitteja ja niihin liittyvää infrastruktuuria vastaan. Maa-asemat ja satelliitit esimerkiksi kommunikoivat tietoverkkojen ja -järjestelmien kautta. Kyberhyökkäysten tekeminen on myös huomattavasti halvempaa, eivätkä niiden tekijät jää yhtä helposti kiinni. Tämän tutkimuksen tarkoituksena oli selvittää, millaisia hyökkäyksiä avaruudellista infrastruktuuria vastaan kybertoimintaympäristön kautta on toteutettu ja millaisia kyberoperaatioita tätä infrastruktuuria vastaan nykypäivänä voitaisiin toteuttaa sotilaallisen voiman heikentämiseksi. Tutkimus tehtiin postpositivistisena monitapaustutkimuksena. Tutkimusaineistona käytetyt tapaukset kerättiin kirjallisuuskatsauksella. Tapaukset kvantifioitiin viiteen eri kategoriaan kyberhyökkäyksistä saatujen tietojen perusteella. Kategoriat olivat lohko (maa-asema, satelliitti, yhteysväli, käyttäjä), hyökkäyksen kohde, hyökkääjä, tekotapa ja motiivi. Analysoinnin perusteella kyberhyökkäyksiä tehtiin tutkitulla aikavälillä (1986 – 2019) eniten maa-asemaa kohtaan. Hyökkäyksen kohteena ja tekijänä oli useimmiten valtio, hyökkäysten määrä yrityksiä kohtaan lisääntyi erityisesti 2010-luvulla. Hyökkäyksiä toteutettiin useimmiten kalastelu- ja haittaohjelmasähköpostin kautta, mutta monessa tapauksessa hyökkäystapa jäi tuntemattomaksi. Hyökkäysten motiivi vaihteli, useimmin syynä oli vakoilu ja tiedon hankinta. Kategorisoinnin pohjalta laadittiin neljä skenaariota. Skenaariot pohjautuivat tapausten analysoinnin perusteella havaittuihin eniten toistuneisiin teemoihin. Skenaariot laadittiin kohdistuvaksi maa-asemaa, satelliittia ja yhteysväliä vastaan. Kohteena oli joko valtio tai yritys. Tekijänä oli amatööri, valtio, rikollisryhmä tai kapinallisryhmä. Hyökkääjien motiivina oli näyttämisen halu, teknologian testaaminen, vakoilu ja tiedon hankinta. Tekotapana hyökkääjät hyödynsivät vanhentuneita päivityksiä, sähköpostihyökkäystä, varastettua laitetta ja salaamatonta yhteyttä. Hyökkääjillä on skenaarioiden perusteella monia mahdollisia tapoja vaikuttaa sotilaalliseen voimaan heikentävästi, eikä uhka tule pelkästään hyvillä resursseilla va-rustettujen valtiollisten toimijoiden suunnasta. Tutkimuksen perusteella laadittujen skenaarioiden avulla kyetään kuvaamaan erilaisia tilanteita, joissa kyberoperaatioilla pyritään vaikuttamaan sotilaallisesta näkökulmasta avaruudellista infrastruktuuria vastaan. Skenaarioiden avulla kyetään myös tuomaan ymmärrystä siitä, kuinka merkittävässä roolissa kyberpuolustus on avaruuteen liittyen, ja millaisia uhkia vastaan sotilaat joutuvat mahdollisesti varautumaan tulevaisuudessa