Towards Automatic Repair of XACML Policies

In a complex information system, controlling the access to resources is challenging. As a new generation of access control techniques, Attribute-Based Access Control (ABAC) can provide more flexible and fine-grained access control than Role-Based-Access Control (RBAC). XACML (eXtensible Access Control Markup Language) is an industrial standard for specifying ABAC policies. XACML policies tend to be complex because of the great variety of attribute types for fine-grained access control. This means that XACML policies are prone to errors and difficult to debug. This paper presents a first attempt at automating the debugging process of XACML policies. Two techniques are used for this purpose: fault localization and mutation-based policy repair. Fault localization produces an ordered list of suspicious policy elements by correlating the test results and the test coverage information. Mutation-based policy repair searches for potential fixes by mutating suspicious policy elements with predefined mutation operators. Empirical studies show that the proposed approach is able to repair various faulty XACML policies with one or two seeded faults. Among the scoring methods for fault localization that are studied in the experiment, Naish2 and CBI-Inc are the most efficient

Dagstuhl Reports : Volume 1, Issue 2, February 2011

Online Privacy: Towards Informational Self-Determination on the Internet (Dagstuhl Perspectives Workshop 11061) : Simone Fischer-Hübner, Chris Hoofnagle, Kai Rannenberg, Michael Waidner, Ioannis Krontiris and Michael Marhöfer Self-Repairing Programs (Dagstuhl Seminar 11062) : Mauro Pezzé, Martin C. Rinard, Westley Weimer and Andreas Zeller Theory and Applications of Graph Searching Problems (Dagstuhl Seminar 11071) : Fedor V. Fomin, Pierre Fraigniaud, Stephan Kreutzer and Dimitrios M. Thilikos Combinatorial and Algorithmic Aspects of Sequence Processing (Dagstuhl Seminar 11081) : Maxime Crochemore, Lila Kari, Mehryar Mohri and Dirk Nowotka Packing and Scheduling Algorithms for Information and Communication Services (Dagstuhl Seminar 11091) Klaus Jansen, Claire Mathieu, Hadas Shachnai and Neal E. Youn

Automation for network security configuration: state of the art and research trends

The size and complexity of modern computer networks are progressively increasing, as a consequence of novel architectural paradigms such as the Internet of Things and network virtualization. Consequently, a manual orchestration and configuration of network security functions is no more feasible, in an environment where cyber attacks can dramatically exploit breaches related to any minimum configuration error. A new frontier is then the introduction of automation in network security configuration, i.e., automatically designing the architecture of security services and the configurations of network security functions, such as firewalls, VPN gateways, etc. This opportunity has been enabled by modern computer networks technologies, such as virtualization. In view of these considerations, the motivations for the introduction of automation in network security configuration are first introduced, alongside with the key automation enablers. Then, the current state of the art in this context is surveyed, focusing on both the achieved improvements and the current limitations. Finally, possible future trends in the field are illustrated

A knowledge-based, secure and dependable self-healing architecture for the smart grid

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2016As redes de distribuição de eletricidade são infraestruturas críticas que, em casos de incapacitação ou destruição, provocariam um efeito debilitante na economia e na segurança pública. Estas redes são cada vez mais suportadas por sistemas complexos e redes de comunicações, ganhando desta forma alguma inteligência e autonomia. A informação que estes sistemas geram e as decisões e ações que tomam são limitadas pela informação que têm. Em casos nos quais não tenham, por desenho, toda a informação relevante para o seu contexto de atuação, podem enganar os operadores e tomar ações prejudiciais. A dependência dos sistemas e comunicações levanta também preocupações sobre o desempenho, privacidade, segurança e confiabilidade, que se estendem além de possíveis faltas na rede elétrica. Neste sentido, existem soluções dedicadas ao tratamento automático de faltas na rede elétrica, existindo também soluções dedicadas ao tratamento de faltas nos sistemas e comunicações, fazendo-o separadamente. No entanto, como demonstrado pelos incidentes na Ucrânia, no final de 2015, faltas e falhas em diferentes camadas da rede inteligente podem estar relacionadas. Adicionalmente, embora exista alguma preocupação com a segurança e a confiabilidade das soluções de tratamento automático de faltas na rede elétrica no âmbito de alguns projetos europeus, os projetos piloto focam-se maioritariamente nos aspetos funcionais destas soluções, o que poderá comprometer a segurança de futuras instalações. Em resposta aos problemas acima descritos, nesta tese utiliza-se uma abordagem com base em conhecimento e segurança para desenhar e propor um sistema de tratamento automático de faltas na rede inteligente, que explora as ligações atrás mencionadas. Inicialmente, são definidos requisitos de alto nível para as componentes funcional, segurança e confiabilidade, desempenho, operação e manutenção. Estes requisitos são desagregados em requisitos de baixo nível para os quais ´e proposta uma arquitetura de sistema com módulos funcionais e não funcionais. No caso específico dos requisitos de segurança e confiabilidade, foi realizado um levantamento das ameaças e vulnerabilidades `a componente aplicacional do sistema, com o objetivo de identificar os controlos necessários e propor um conjunto de componentes que, sendo eles próprios conformes, garantem conformidade com os controlos identificados. A análise inicia-se com a identificação dos ativos relevantes, a que se segue a identificação das ameaças e vulnerabilidades correspondentes, com maior foco nas ameaças para a aplicação e na ameaça que esta, se e quando comprometida, pode constituir para a rede inteligente. Dos controlos identificados, são apenas incluídos no desenho aqueles que têm de ser implementados através de componentes aplicacionais ou para os quais a aplicação tem de dar algum tipo de suporte. Os controlos externos não são cobertos por esta investigação. Ainda sobre o desenho funcional, ´e feito um modelo da rede inteligente, incluindo os sistemas e componentes das suas várias camadas, com o objetivo de identificar as configurações que cada um suporta e as ligações entre eles. São também modelados, com o objetivo de identificar ligações e dependências: o processo de operação da rede elétrica, um processo genérico representativo dos processos e serviços dependentes do estado operacional da rede elétrica e o processo de tratamento automático. Estes modelos são utilizados na fase de implementação. A arquitetura resultante é a de um sistema multi-agente com agentes geograficamente distribuídos e replicados, designados por entidades especialistas em tratamento de faltas. Cada entidade é responsável por um domínio de tratamento limitado, correspondendo a um conjunto de sistemas, componentes e serviços da rede inteligente que fazem parte do seu âmbito de supervisão. Raciocina sobre conhecimento assente em factos e regras. Supervisiona o seu domínio, diagnosticando faltas, criando planos de recuperação e reconfigurando a rede inteligente com base nesses planos. Coopera com outras entidades. Aprende com os resultados e consequências da sua atuação. Integra componentes de segurança e confiabilidade para prevenir e tolerar faltas e intrusões nos seus próprios componentes. O sistema é implementado parcialmente para prova do conceito. A implementação inclui a definição de um domínio de tratamento, da ontologia correspondente, do modelo de conhecimento com factos e regras, dos objetivos de tratamento e de um conjunto de queries aplicáveis ao modelo. O domínio de tratamento inclui componentes da rede elétrica, equipamentos de rede, computadores e um sistema de controlo de acessos físicos, cobrindo desta forma diferentes camadas da rede inteligente. Para validação da implementação, os objetivos e queries são submetidos a um motor de inferência, no qual o modelo de conhecimento é previamente carregado, simulando o comportamento de uma réplica nos diferentes estados do processo de tratamento. O processo é repetido para quatro cenários de faltas e falhas de complexidade crescente, incluindo um cenário de falta de conhecimento em que o resultado da inferência, demonstrando a necessidade de manter as bases de conhecimento atualizadas. A implementação dos restantes módulos e integração do módulo de conhecimento é deixada para trabalho futuro, o que limita a validação da segurança da solução. Por definição, os controlos incluídos na arquitetura proposta respondem aos requisitos do sistema, dado que o desenho da solução utiliza módulos de segurança e confiabilidade identificados através de uma análise de ameaças e vulnerabilidades. No entanto, a verificação de que estes controlos são corretamente implementados e a validação da robustez dessa implementação está dependente da implementação dos módulos e, por esta razão, é deixada também para trabalho futuro. Validamos também a robustez do desenho proposto em termos de liveness e safety. Neste sentido, apresentamos uma definição para cada uma destas propriedades no contexto da solução proposta, apresentamos um conjunto de cenários em que as mesmas são comprometidas e justificamos o porquê de esses cenários não serem possíveis. No caso da liveness, o sistema deve executar continuamente desde a sua instalação até ao fim do seu ciclo de vida, entre eventuais interrupções programadas. Para a sua validação focamo-nos nas interações entre os vários módulos, com os sistemas e componentes da rede inteligente e entre entidades. No caso da safety, as ações do sistema devem basear-se apenas em informação atualizada, recolhida dos sistemas e componentes da rede inteligente. Neste caso, o foco é no conteúdo do modelo de conhecimento, na coordenação entre réplicas e a execução de comandos nos sistemas e componentes da rede inteligente. Por último, discutimos um conjunto de tópicos de desenho e implementação que, sendo críticos para a segurança e robustez do sistema proposto, dependem do contexto específico da cada rede inteligente e fornecemos recomendações e orientações para os mesmos. Assumindo a existência de outros sistemas instalados na rede inteligente com atuação possivelmente concorrente com a aqui considerada, é necessário definir qual é o âmbito de cada um esse haverá ou não interação entre o sistema aqui proposto e esses sistemas. O sistema aqui proposto poderá utilizar os sensores, atuadores e redes de comunicações já existentes, dependendo de garantias funcionais, desempenho, capacidade e segurança dados pelos mesmos, para adquirir a informação necessária e controlar os sistemas e componentes da rede inteligente, sendo necessário identificar as necessidades de implementação associadas. A alternativa ´e construir completa ou parcialmente uma infraestrutura dedicada. Este sistema poderá ser criado de raiz ou a partir de outros sistemas já existentes e que contenham módulos com funcionalidades semelhantes às identificadas no desenho da solução. É necessário instalar, operar e manter o sistema com o conhecimento necessário à tomada de decisão. Se tal não for feito, o sistema poderá tomar decisões prejudiciais. A distribuição do sistema, em termos de número de domínios, e a sua replicação, em termos de número de réplicas, tendo previsivelmente um impacto elevado nos custos da solução, deverão ter em conta análises de risco e de custo-benefício. Uma distribuição com granularidade apropriada e um número suficiente de réplicas com distribuição adequada permitem que o sistema funcione corretamente também em casos de partição de comunicações e/ou conectividade. As decisões tomadas, relacionadas com estes tópicos, têm impacto direto no desempenho, segurança e confiabilidade da solução. Para trabalho futuro, a nível de desenho, é proposto: a evolução de alguns módulos já incluídos no desenho da solução e o desenvolvimento de novos módulos, a modelação de mais sistemas, componentes e serviços e a atualização e extensão da análise de ameaças e vulnerabilidades. A nível de implementação, é proposto: a formalização e manutenção¸ de uma ontologia de suporte à descrição dos sistemas, componentes e serviços, a atualização dos factos, com base na ontologia, e a melhoria das regras, aproximando-as incrementalmente da realidade, o desenvolvimento do código de software associado a cada módulo e a extensão das recomendações e orientações apresentadas na discussão para incluírem exemplos práticos.The increasing complexity of the smart grid raises concerns with performance, privacy, security and dependability that go further beyond electrical network faults. In this regard, electrical network self-healing and commercially available security solutions are capable of handling a set of electrical network, systems and communications faults automatically, but separately. However, as shown by the Ukrainian incidents, in 2015, there can be cause-effect connections between faults and failures in different smart grid layers. Additionally, although a set of European projects is addressing the security and dependability of self-healing use cases, the pilot projects focus mainly on functional issues, possibly compromising the security of future roll-outs. We use a knowledge-based and security-by-design approach to design and propose a secure and dependable Self-Healing System (SHS) with awareness of the aforementioned connections. It is a Multi Agent System (MAS) with replicated Self-Healing Expert Entity (SHEE) agents. Each SHEE is responsible for the self-healing process in a limited domain, corresponding to a set of systems, components and processes assigned to its scope of supervision. It reasons with knowledge based on facts and rules. It monitors the domain, diagnoses eventual faults, creates recovery plans and reconfigures the smart grid based on these plans. It cooperates with other SHEEs. It learns from the results and consequences of its actions. It comprises a set of security and dependability features to prevent and tolerate faults and intrusions, resulting from a threat and vulnerability assessment. We perform a partial implementation of our system, consisting in the definition of a self-healing domain, the corresponding ontology, the knowledge model with facts and reasoning rules and a set of goals and queries. We successfully validate the SHS concept as a solution to the described problems. The goals and queries are submitted to a standalone inference engine, which is previously loaded with the knowledge model, simulating the behavior of a SHEE replica through the different states of the self-healing process. The process is repeated for four different complexity increasing fault and failure scenarios. We discuss and provide guidance for a set of design and implementation issues that, being critical to the security and robustness of the SHS, depend on each smart grid specific context

Quantifiable Assurance: From IPs to Platforms

Hardware vulnerabilities are generally considered more difficult to fix than software ones because they are persistent after fabrication. Thus, it is crucial to assess the security and fix the vulnerabilities at earlier design phases, such as Register Transfer Level (RTL) and gate level. The focus of the existing security assessment techniques is mainly twofold. First, they check the security of Intellectual Property (IP) blocks separately. Second, they aim to assess the security against individual threats considering the threats are orthogonal. We argue that IP-level security assessment is not sufficient. Eventually, the IPs are placed in a platform, such as a system-on-chip (SoC), where each IP is surrounded by other IPs connected through glue logic and shared/private buses. Hence, we must develop a methodology to assess the platform-level security by considering both the IP-level security and the impact of the additional parameters introduced during platform integration. Another important factor to consider is that the threats are not always orthogonal. Improving security against one threat may affect the security against other threats. Hence, to build a secure platform, we must first answer the following questions: What additional parameters are introduced during the platform integration? How do we define and characterize the impact of these parameters on security? How do the mitigation techniques of one threat impact others? This paper aims to answer these important questions and proposes techniques for quantifiable assurance by quantitatively estimating and measuring the security of a platform at the pre-silicon stages. We also touch upon the term security optimization and present the challenges for future research directions

Cyber risk modeling and attack-resilient control for power grid

The electric power grid is a cyber-physical system (CPS) that forms the lifeline of modern society. Sophisticated control applications that constantly monitor critical power system variables, such as voltage and frequency, enable system operators to deliver reliable and high-quality power. The advanced devices and communication infrastructure of the Supervisory Control and Data Acquisition (SCADA) system enable control applications ranging from substation-level voltage control schemes to system-wide automatic generation control (AGC). However, inherent cyber security vulnerabilities in the infrastructure put system operation at risk by providing an attack surface to cyber threat actors. A smart attacker, that is, a cyber threat actor with expertise in physical power system operation could cause severe damage to the power grid infrastructure and its reliability by stealthily manipulating SCADA operation. This dissertation explores such impacts to power grid operation from cyber attacks and more importantly, introduces novel mitigation schemes to minimize or negate the impacts. It has two primary components - risk modeling of coordinated cyber attacks and attack resilient control. The first component of this thesis focuses on coordinated cyber attacks, that is, attacks target multiple power system components simultaneously. The notion of spatial and temporal coordinated cyber attacks and their impact on power system transmission infrastructure is introduced. The impact from these attacks was captured in terms of traditional power system stability metrics. The results reveal that these extreme events demand a rethink of both power system planning and operations methods by way of including cyber-originated contingencies within the scope. To this end, a systematic risk modeling framework is proposed as mitigation to be used in power systems planning. The risk for a substation is modeled as the product of the vulnerability of its SCADA infrastructure and the impact from its compromise. The vulnerability is obtained by modeling the SCADA network using Stochastic Petri Nets. Impact to system reliability is quantified in terms of transmission line overloads and the resulting forced load shedding. The methodology is applied to a test power system and the attack vectors are ranked according to risk. This methodology could therefore employed by system planners to evaluate infrastructural upgrade requirements and identify security enhancements. An enhancement to the contingency analysis application is proposed as mitigation during online operation. The proposed algorithm efficiently captures impactful coordinated vectors by significantly reducing the number of cases to be evaluated. Results reveal the algorithm\u27s ability to identify almost all impactful attack vectors for a line under review without the need for a complete study. The second component of the thesis explores the impact of data integrity attacks on power system control applications. Specifically, the impact of data integrity attacks on Automatic Generation Control (AGC) is examined and Attack-Resilient Control (ARC) is proposed as mitigation. ARC for AGC proposes the use of physical system information to design algorithms for detect and mitigation of cyber attacks. Specifically, model-based anomaly detection and attack mitigation algorithm was developed for AGC using short-term load forecast data. The performance of AGC was tested on a standard test system with and without ARC. The results show that ARC for AGC is able to detect data integrity attacks, maintain system within stability margins and enhance overall system security by providing defense-in-depth. Future work includes expanding the risk analysis framework to include different types of coordinated attacks and to compare impact expressed in different power system metrics. Mitigation of temporal coordinated attacks and transient stability analysis of spatial and temporal attacks are also a part of future work. Finally, the attack resilient control framework should be enhanced to differentiate abnormal measurements due to cyber attacks from legitimate aberrations due to power system contingencies

How to accelerate your internet : a practical guide to bandwidth management and optimisation using open source software

xiii, 298 p. : ill. ; 24 cm.Libro ElectrónicoAccess to sufficient Internet bandwidth enables worldwide electronic collaboration, access to informational resources, rapid and effective communication, and grants membership to a global community. Therefore, bandwidth is probably the single most critical resource at the disposal of a modern organisation. The goal of this book is to provide practical information on how to gain the largest possible benefit from your connection to the Internet. By applying the monitoring and optimisation techniques discussed here, the effectiveness of your network can be significantly improved

Network Security Automation

L'abstract è presente nell'allegato / the abstract is in the attachmen

ExplainIt! -- A declarative root-cause analysis engine for time series data (extended version)

We present ExplainIt!, a declarative, unsupervised root-cause analysis engine that uses time series monitoring data from large complex systems such as data centres. ExplainIt! empowers operators to succinctly specify a large number of causal hypotheses to search for causes of interesting events. ExplainIt! then ranks these hypotheses, reducing the number of causal dependencies from hundreds of thousands to a handful for human understanding. We show how a declarative language, such as SQL, can be effective in declaratively enumerating hypotheses that probe the structure of an unknown probabilistic graphical causal model of the underlying system. Our thesis is that databases are in a unique position to enable users to rapidly explore the possible causal mechanisms in data collected from diverse sources. We empirically demonstrate how ExplainIt! had helped us resolve over 30 performance issues in a commercial product since late 2014, of which we discuss a few cases in detail.Comment: SIGMOD Industry Track 201