64 research outputs found

    Kopplung von Architekturanalysen und musterbasierten Quelltextanalysen fĂŒr Sicherheitseigenschaften von AufrufabhĂ€ngigkeiten

    Get PDF
    Die Vernetzung von Software ĂŒber das Internet und andere KanĂ€le stellt eine grundsĂ€tzliche Gefahr fĂŒr die Sicherheit von Daten und Systemen dar. Gelangen Informationen in die falschen HĂ€nde können enorme wirtschaftliche und soziale SchĂ€den entstehen. Es ist deshalb wichtig die Sicherheit von Systemen bereits zur Entwurfszeit zu berĂŒcksichtigen. Mittels Analysewerkzeugen auf Architektursicht können Sicherheitseigenschaften auf einer höheren Abstraktionsebene frĂŒhzeitig definiert und ĂŒberprĂŒft werden. Auf Quelltextsicht bieten statische, musterbasierte Analysewerkzeuge einen Ansatz zur ÜberprĂŒfung der korrekten Verwendung von kritischen Schnittstellen. Bisher wurde noch keine Kombination dieser beiden AnalyseansĂ€tze vorgenommen, um die auf Architektursicht getroffenen Annahmen der im Quelltext umgesetzten Sicherheitseigenschaften definiert auf AufrufabhĂ€ngigkeiten auf fehlerhafte Umsetzung zu ĂŒberprĂŒfen. Deshalb wird untersucht, wie sich eine Kopplung der beiden Sichten und eine RĂŒckfĂŒhrung der Ergebnisse einer Quelltextanalyse in die Architektursicht realisieren lĂ€sst. Die vorliegende Arbeit definiert zunĂ€chst die fĂŒr eine Kopplung notwendigen Eigenschaften der Analysen. Darauf basierend wird dann ein Ansatz fĂŒr eine Kopplung konzipiert. Eine konkrete Umsetzung des Ansatzes wurde im Rahmen der vorliegenden Arbeit mit der Zugriffsanalyse von Kramer auf Architektursicht und CogniCrypt auf Quelltextsicht in Java vorgenommen. Die Evaluation des Ansatzes erfolgt anhand eines Fallbeispiels. Die Ergebnisse zeigen, dass die Kopplung von Architekturanalysen mit musterbasierten Quelltextsicherheitsanalysen fĂŒr Sicherheitseigenschaften von AufrufabhĂ€ngigkeiten machbar ist und dass durch die Kopplung von Quelltextfehlern mit der Architekturanalyse zusĂ€tzliche Schwachstellen aufgedeckt werden

    Architectural Alignment of Access Control Requirements Extracted from Business Processes

    Get PDF
    Business processes and information systems evolve constantly and affect each other in non-trivial ways. Aligning security requirements between both is a challenging task. This work presents an automated approach to extract access control requirements from business processes with the purpose of transforming them into a) access permissions for role-based access control and b) architectural data flow constraints to identify violations of access control in enterprise application architectures

    A Trust-by-Design Framework for the Internet of Things

    Get PDF
    The Internet of Things (IoT) is an environment where interconnected entities can interact and can be identifiable, usable, and controllable via the Internet. However, in order to interact among them, such IoT entities must trust each other. Trust is difficult to define because it concerns different aspects and is strongly dependent on the context. For this reason, a holistic approach allowing developers to consider and implement trust in the IoT is highly desirable. Nevertheless, trust is usually considered among different IoT entities only when they have to interact among them. In fact, without considering it during the whole System Developmente Life Cycle (SDLC) there is the possibility that security issues will be raised. In fact, without a clear conception of the possible threats during the development of the IoT entity, the lack of planning can be insufficient in order to protect the IoT entity. For this reason, we believe that it is fundamental to consider trust during the whole SDLC in order to carefully plan how an IoT entity will perform trust decisions and interact with the other IoT entities. To fulfill this goal, in this thesis work, we propose a trust-by-design framework for the IoT that is composed of a K-Model and several transversal activities. On the one hand, the K-Model covers the SDLC from the need phase to the utilization phase. On the other hand, the transversal activities will be implemented differently depending on the phases. A fundamental aspect that we implement in this framework is the relationship that trust has with other related domains such as security and privacy. Thus we will also consider such domains and their characteristics in order to develop a trusted IoT entity

    Intelligent Enforcemen to fFine-Grained Access Control Policies for SQL Queries

    Full text link
    MĂĄster Interuniversitario en MĂ©todos Formales en IngenierĂ­a InformĂĄticaRecently, we proposed a model-driven methodology to support fine-grained access control (FGAC) at the database level. More specifically, we defined a model transformation function that inputs SQL queries and generates so-called security-aware SQL stored-procedures. As part of the proposal, we developed an application prototype, called SQL Security Injector (SQLSI). In a nutshell, given an FGAC policy S, a user u, with role r, and a query q, SQLSI automatically generates a storedprocedure sp, such that: if the user u is authorized, according to the FGAC policy S, to execute the query q, then calling the stored-procedure sp will return the same result as executing the query q; otherwise, calling the stored-procedure sp will signal an error. As expected, there is a performance overhead when executing an (unsecured) SQL query via the corresponding (secured) stored-procedure generated by SQLSI. The reason is clear: FGAC policies require performing authorization checks on the current state of the system, which, in the case of executing SQL queries, will translate into performing authorization checks at execution-time on the database. SQLSI takes care of generating these checks and makes sure that they are called at execution-time when a protected resource is accessed. There are cases, however, where these authorization checks are unnecessary, and, therefore, the performance overhead can and should be avoided. For example: when the database integrity constraints guarantee that these checks will always be successful; or, when the current state of the database guarantees that these checks will be successful in this state. In this thesis, I propose to develop a formal, model-based methodology for enforcing FGAC policies when executing SQL queries in a smart, efficient way. First of all, I identify situations in which performing authorization checks when executing SQL queries seem unnecessary, based on the invariants of the underlying data model, or based on the known properties of the given scenario, or based on the known properties of the arguments of the given query. Secondly, I formally prove that performing authorization checks when executing SQL queries in these situations is indeed unnecessary. Thirdly, I develop a tool for detecting unnecessary authorization checks when executing SQL queries

    Architectural Alignment of Access Control Requirements Extracted from Business Processes

    Get PDF
    GeschĂ€ftsprozesse und IT-Systeme sind einer stĂ€ndigen Evolution unterworfen und beeinflussen sich in hohem Maße gegenseitig. Dies fĂŒhrt zu der Herausforderung, Sicherheitsaspekte innerhalb von GeschĂ€ftsprozessen und Enterprise Application Architectures (EAAs) in Einklang zu bringen. Im Besonderen gilt dies fĂŒr Zugriffskontrollanforderungen, welche sowohl in der IT-Sicherheit als auch im Datenschutz einen hohen Stellenwert haben. Die folgenden drei Ziele der GeschĂ€ftsebene verdeutlichen die Bedeutung von Zugriffskontrollanforderungen: 1) 1) Identifikation und Schutz von kritischen und schĂŒtzenswerten Daten und Assets. 2) 2) EinfĂŒhrung einer organisationsweiten IT-Sicherheit zum Schutz vor cyberkriminellen Attacken. 3) 3) Einhaltung der zunehmenden Flut an Gesetzen, welche die IT-Sicherheit und den Datenschutz betreffen. Alle drei Ziele sind in einem hohen Maß mit Zugriffskontrollanforderungen auf Seiten der GeschĂ€ftsebene verbunden. Aufgrund der FĂŒlle und KomplexitĂ€t stellt die vollstĂ€ndige und korrekte Umsetzung dieser Zugriffskontrollanforderungen eine Herausforderung fĂŒr die IT dar. HierfĂŒr muss das Wissen von der GeschĂ€ftsebene hin zur IT ĂŒbertragen werden. Die unterschiedlichen Terminologien innerhalb der FachdomĂ€nen erschweren diesen Prozess. ZusĂ€tzlich beeinflussen die GrĂ¶ĂŸe von Unternehmen, die KomplexitĂ€t von EAAs sowie die Verflechtung zwischen EAAs und GeschĂ€ftsprozessen die FehleranfĂ€lligkeit im Entwurfsprozess von Zugriffsberechtigungen und EAAs. Dieser Zusammenhang fĂŒhrt zu einer Diskrepanz zwischen ihnen und den GeschĂ€ftsprozessen und wird durch den Umstand der immer wiederkehrenden Anpassungen aufgrund von Evolutionen der GeschĂ€ftsprozesse und IT-Systeme verstĂ€rkt. Bisherige Arbeiten, die auf Erweiterungen von Modellierungssprachen setzen, fordern einen hohen Aufwand von Unternehmen, um vorhandene Modelle zu erweitern und die Erweiterungen zu pflegen. Andere Arbeiten setzen auf manuelle Prozesse. Diese erfordern viel Aufwand, skalieren nicht und sind bei komplexen Systemen fehleranfĂ€llig. Ziel meiner Arbeit ist es, zu untersuchen, wie Zugriffskontrollanforderungen zwischen der GeschĂ€ftsebene und der IT mit möglichst geringem Mehraufwand fĂŒr Unternehmen angeglichen werden können. Im Speziellen erforsche ich, wie Zugriffskontrollanforderungen der GeschĂ€ftsebene, extrahiert aus GeschĂ€ftsprozessen, automatisiert in Zugriffsberechtigungen fĂŒr Systeme der rollenbasierten Zugriffskontrolle (RBAC) ĂŒberfĂŒhrt werden können und wie die EAA zur Entwurfszeit auf die Einhaltung der extrahierten Zugriffskontrollanforderungen ĂŒberprĂŒft werden kann. Hierdurch werden Sicherheitsexperten beim Entwerfen von Zugriffsberechtigungen fĂŒr RBAC Systeme unterstĂŒtzt und die KomplexitĂ€t verringert. Weiterhin werden Enterprise-Architekten in die Lage versetzt, die EAA zur Entwurfszeit auf DatenflĂŒsse von Services zu untersuchen, welche gegen die geschĂ€ftsseitige Zugriffskontrollanforderungen verstoßen und diese Fehler zu beheben. Die KernbeitrĂ€ge meiner Arbeit lassen sich wie folgt zusammenfassen: I)\textbf{I)} Ein Ansatz zur automatisierten Extraktion von geschĂ€ftsseitigen Zugriffskontrollanforderungen aus GeschĂ€ftsprozessen mit anschließender Generierung eines initialen Rollenmodells fĂŒr RBAC. II)\textbf{II)} Ein Ansatz zum automatisierten Erstellen von architekturellen Datenfluss-Bedingungen aus Zugriffskontrollanforderungen zur Identifikation von verbotenen DatenflĂŒssen in Services von IT-Systemen der EAA. III)\textbf{III)} Eine Prozessmodell fĂŒr Unternehmen ĂŒber die Einsatzmöglichkeiten der AnsĂ€tze innerhalb verschiedener Evolutionsszenarien. IV)\textbf{IV)} Ein Modell zur VerknĂŒpfung relevanter Elemente aus GeschĂ€ftsprozessen, RBAC und EAAs im Hinblick auf die Zugriffskontrolle. Dieses wird automatisiert durch die AnsĂ€tze erstellt und dient unter anderem zur Dokumentation von Entwurfsentscheidungen, zur Verbesserung des VerstĂ€ndnisses von Modellen aus anderen DomĂ€nen und zur UnterstĂŒtzung des Enterprise-Architekten bei der Auflösung von Fehlern innerhalb der EAA. Die Anwendbarkeit der AnsĂ€tze wurden in zwei Fallstudien untersucht. Die erste Studie ist eine Real-Welt-Studie, entstanden durch eine Kooperation mit einer staatlichen Kunsthalle, welche ihre IT-Systeme ĂŒberarbeitet. Eine weitere Fallstudie wurde auf Basis von Common Component Modeling Example (CoCoME) durchgefĂŒhrt. CoCoME ist eine durch die Wissenschaftsgemeinde entwickelte Fallstudie einer realistischen Großmarkt-Handelskette, welche speziell fĂŒr die Erforschung von Software-Modellierung entwickelt wurde und um Evolutinsszenarien ergĂ€nzt wurde. Aufgrund verschiedener gesetzlicher Regularien an die IT-Sicherheit und den Datenschutz sowie dem Fluss von sensiblen Daten eignen sich beide Fallstudien fĂŒr die Untersuchung von Zugriffskontrollanforderungen. Beide Fallstudien wurden anhand der Goal Question Metric-Methode durchgefĂŒhrt. Es wurden Validierungsziele definiert. Aus diesen wurden systematisch wissenschaftliche Fragen abgleitet, fĂŒr welche anschließend Metriken aufgestellt wurden, um sie zu untersuchen. Die folgenden Aspekte wurden untersucht: ∙\bullet QualitĂ€t der generierten Zugriffsberechtigungen. ∙\bullet QualitĂ€t der Identifikation von fehlerhaften DatenflĂŒssen in Services der EAA. ∙\bullet VollstĂ€ndigkeit und Korrektheit des generierten Modells zur Nachverfolgbarkeit von Zugriffskontrollanforderungen ĂŒber Modelle hinweg. ∙\bullet Eignung der AnsĂ€tze in Evolutionsszenarien von GeschĂ€ftsprozessen und EAAs. Am Ende dieser Arbeit wird ein Ausblick gegeben, wie sich die vorgestellten AnsĂ€tze dieser Arbeit erweitern lassen. Dabei wird unter anderem darauf eingegangen, wie das Modell zur VerknĂŒpfung relevanter Elemente aus GeschĂ€ftsprozessen, RBAC und EAAs im Hinblick auf die Zugriffskontrolle, um Elemente aus weiteren Modellen der IT und der GeschĂ€ftsebene, erweitert werden kann. Weiterhin wird erörtert wie die AnsĂ€tze der Arbeit mit zusĂ€tzlichen Eingabeinformationen angereichert werden können und wie die extrahierten Zugriffskontrollanforderungen in weiteren DomĂ€nenmodellen der IT und der GeschĂ€ftsebene eingesetzt werden können

    Automating Security Risk and Requirements Management for Cyber-Physical Systems

    Get PDF
    Cyber-physische Systeme ermöglichen zahlreiche moderne AnwendungsfĂ€lle und GeschĂ€ftsmodelle wie vernetzte Fahrzeuge, das intelligente Stromnetz (Smart Grid) oder das industrielle Internet der Dinge. Ihre SchlĂŒsselmerkmale KomplexitĂ€t, HeterogenitĂ€t und Langlebigkeit machen den langfristigen Schutz dieser Systeme zu einer anspruchsvollen, aber unverzichtbaren Aufgabe. In der physischen Welt stellen die Gesetze der Physik einen festen Rahmen fĂŒr Risiken und deren Behandlung dar. Im Cyberspace gibt es dagegen keine vergleichbare Konstante, die der Erosion von Sicherheitsmerkmalen entgegenwirkt. Hierdurch können sich bestehende Sicherheitsrisiken laufend Ă€ndern und neue entstehen. Um SchĂ€den durch böswillige Handlungen zu verhindern, ist es notwendig, hohe und unbekannte Risiken frĂŒhzeitig zu erkennen und ihnen angemessen zu begegnen. Die BerĂŒcksichtigung der zahlreichen dynamischen sicherheitsrelevanten Faktoren erfordert einen neuen Automatisierungsgrad im Management von Sicherheitsrisiken und -anforderungen, der ĂŒber den aktuellen Stand der Wissenschaft und Technik hinausgeht. Nur so kann langfristig ein angemessenes, umfassendes und konsistentes Sicherheitsniveau erreicht werden. Diese Arbeit adressiert den dringenden Bedarf an einer Automatisierungsmethodik bei der Analyse von Sicherheitsrisiken sowie der Erzeugung und dem Management von Sicherheitsanforderungen fĂŒr Cyber-physische Systeme. Das dazu vorgestellte Rahmenwerk umfasst drei Komponenten: (1) eine modelbasierte Methodik zur Ermittlung und Bewertung von Sicherheitsrisiken; (2) Methoden zur Vereinheitlichung, Ableitung und Verwaltung von Sicherheitsanforderungen sowie (3) eine Reihe von Werkzeugen und Verfahren zur Erkennung und Reaktion auf sicherheitsrelevante Situationen. Der Schutzbedarf und die angemessene Stringenz werden durch die Sicherheitsrisikobewertung mit Hilfe von Graphen und einer sicherheitsspezifischen Modellierung ermittelt und bewertet. Basierend auf dem Modell und den bewerteten Risiken werden anschließend fundierte Sicherheitsanforderungen zum Schutz des Gesamtsystems und seiner FunktionalitĂ€t systematisch abgeleitet und in einer einheitlichen, maschinenlesbaren Struktur formuliert. Diese maschinenlesbare Struktur ermöglicht es, Sicherheitsanforderungen automatisiert entlang der Lieferkette zu propagieren. Ebenso ermöglicht sie den effizienten Abgleich der vorhandenen FĂ€higkeiten mit externen Sicherheitsanforderungen aus Vorschriften, Prozessen und von GeschĂ€ftspartnern. Trotz aller getroffenen Maßnahmen verbleibt immer ein gewisses Restrisiko einer Kompromittierung, worauf angemessen reagiert werden muss. Dieses Restrisiko wird durch Werkzeuge und Prozesse adressiert, die sowohl die lokale und als auch die großrĂ€umige Erkennung, Klassifizierung und Korrelation von VorfĂ€llen verbessern. Die Integration der Erkenntnisse aus solchen VorfĂ€llen in das Modell fĂŒhrt hĂ€ufig zu aktualisierten Bewertungen, neuen Anforderungen und verbessert weitere Analysen. Abschließend wird das vorgestellte Rahmenwerk anhand eines aktuellen Anwendungsfalls aus dem Automobilbereich demonstriert.Cyber-Physical Systems enable various modern use cases and business models such as connected vehicles, the Smart (power) Grid, or the Industrial Internet of Things. Their key characteristics, complexity, heterogeneity, and longevity make the long-term protection of these systems a demanding but indispensable task. In the physical world, the laws of physics provide a constant scope for risks and their treatment. In cyberspace, on the other hand, there is no such constant to counteract the erosion of security features. As a result, existing security risks can constantly change and new ones can arise. To prevent damage caused by malicious acts, it is necessary to identify high and unknown risks early and counter them appropriately. Considering the numerous dynamic security-relevant factors requires a new level of automation in the management of security risks and requirements, which goes beyond the current state of the art. Only in this way can an appropriate, comprehensive, and consistent level of security be achieved in the long term. This work addresses the pressing lack of an automation methodology for the security-risk assessment as well as the generation and management of security requirements for Cyber-Physical Systems. The presented framework accordingly comprises three components: (1) a model-based security risk assessment methodology, (2) methods to unify, deduce and manage security requirements, and (3) a set of tools and procedures to detect and respond to security-relevant situations. The need for protection and the appropriate rigor are determined and evaluated by the security risk assessment using graphs and a security-specific modeling. Based on the model and the assessed risks, well-founded security requirements for protecting the overall system and its functionality are systematically derived and formulated in a uniform, machine-readable structure. This machine-readable structure makes it possible to propagate security requirements automatically along the supply chain. Furthermore, they enable the efficient reconciliation of present capabilities with external security requirements from regulations, processes, and business partners. Despite all measures taken, there is always a slight risk of compromise, which requires an appropriate response. This residual risk is addressed by tools and processes that improve the local and large-scale detection, classification, and correlation of incidents. Integrating the findings from such incidents into the model often leads to updated assessments, new requirements, and improves further analyses. Finally, the presented framework is demonstrated by a recent application example from the automotive domain

    A systematic development of a secure architecture for the European Rail Traffic Management System

    Get PDF
    The European Rail Traffic Management System (ERTMS) is a new signalling scheme that is being implemented worldwide with the aim of improving interoperability and cross-border operation. It is also an example of an Industrial Control System, a safety-critical system which, in recent years, has been subject to a number of attacks and threats. In these systems, safety is the primary concern of the system designers, whilst security is sometimes an afterthought. It is therefore prudent to assure the security for current and future threats, which could affect the safe operation of the railway. In this thesis, we present a systematic security analysis of parts of the ERTMS standard, firstly reviewing the security offered by the protocols used in ERTMS using the ProVerif tool. We will then assess the custom MAC algorithm used by the platform and identify issues that exist in each of the ERTMS protocol layers, and aim to propose solutions to those issues. We also identify a challenge presented by the introduction of ERTMS to National Infrastructure Managers surrounding key management, where we also propose a novel key management scheme, TRAKS, which reduces its complexity. We then define a holistic process for asset owners to carry out their own security assessments for their architectures and consider the unique challenges that are presented by Industrial Control Systems and how these can be mitigated to ensure security of these systems. Drawing conclusions from these analyses, we introduce the notion of a `secure architecture' and review the current compliance of ERTMS against this definition, identifying the changes required in order for it to have a secure architecture, both now and also in the future
    • 

    corecore