Architecture-centric support for security orchestration and automation

Security Orchestration, Automation and Response (SOAR) platforms leverage integration and orchestration technologies to (i) automate manual and repetitive labor-intensive tasks, (ii) provide a single panel of control to manage various types of security tools (e.g., intrusion detection system, antivirus and firewall) and (iii) streamline complex Incident Response Process (IRP) responses. SOAR platforms increase the operational efficiency of overwhelmed security teams in a Security Operation Centre (SOC) and accelerate the SOC’s defense and response capacity against ever-growing security incidents. Security tools, IRPs and security requirements form the underlying execution environment of SOAR platforms, which are changing rapidly due to the dynamic nature of security threats. A SOAR platform is expected to adapt continuously to these dynamic changes. Flexible integration, interpretation and interoperability of security tools are essential to ease the adaptation of a SOAR platform. However, most of the effort for designing and developing existing SOAR platforms are ad-hoc in nature, which introduces several engineering challenges and research challenges. For instance, the advancement of a SOAR platform increases its architectural complexity and makes the operation of such platforms difficult for end-users. These challenges come from a lack of a comprehensive view, design space and architectural support for SOAR platforms. This thesis aims to contribute to the growing realization that it is necessary to advance SOAR platforms by designing, implementing and evaluating architecture-centric support to address several of the existing challenges. The envisioned research and development activities require the identification of current practices and challenges of SOAR platforms; hence, a Multivocal Literature Review (MLR) has been designed, conducted and reported. The MLR identifies the functional and non-functional requirements, components and practices of a security orchestration domain, along with the open issues. This thesis advances the domain of a SOAR platform by providing a layered architecture, which considers the key functional and non-functional requirements of a SOAR platform. The proposed architecture is evaluated experimentally with a Proof of Concept (PoC) system, Security Tool Unifier (STUn), using seven security tools, a set of IRPs and playbooks. The research further identifies the need for and design of (i) an Artificial Intelligence (AI) based integration framework to interpret the activities of security tools and enable interoperability automatically, (ii) a semantic-based automated integration process to integrate security tools and (iii) AI-enabled design and generation of a declarative API from user query, namely DecOr, to hide the internal complexity of a SOAR platform from end-users. The experimental evaluation of the proposed approaches demonstrates that (i) consideration of architectural design decisions supports the development of an easy to interact with, modify and update SOAR platform, (ii) an AI-based integration framework and automated integration process provides effective and efficient integration and interpretation of security tools and IRPs and (iii) DecOr increases the usability and flexibility of a SOAR platform. This thesis is a useful resource and guideline for both practitioners and researchers who are working in the security orchestration domain. It provides an insight into how an architecture-centric approach, with incorporation of AI technologies, reduces the operational complexity of SOAR platforms.Thesis (Ph.D.) -- University of Adelaide, School of Computer Science, 202

Security Management Framework for the Internet of Things

The increase in the design and development of wireless communication technologies offers multiple opportunities for the management and control of cyber-physical systems with connections between smart and autonomous devices, which provide the delivery of simplified data through the use of cloud computing. Given this relationship with the Internet of Things (IoT), it established the concept of pervasive computing that allows any object to communicate with services, sensors, people, and objects without human intervention. However, the rapid growth of connectivity with smart applications through autonomous systems connected to the internet has allowed the exposure of numerous vulnerabilities in IoT systems by malicious users. This dissertation developed a novel ontology-based cybersecurity framework to improve security in IoT systems using an ontological analysis to adapt appropriate security services addressed to threats. The composition of this proposal explores two approaches: (1) design time, which offers a dynamic method to build security services through the application of a methodology directed to models considering existing business processes; and (2) execution time, which involves monitoring the IoT environment, classifying vulnerabilities and threats, and acting in the environment, ensuring the correct adaptation of existing services. The validation approach was used to demonstrate the feasibility of implementing the proposed cybersecurity framework. It implies the evaluation of the ontology to offer a qualitative evaluation based on the analysis of several criteria and also a proof of concept implemented and tested using specific industrial scenarios. This dissertation has been verified by adopting a methodology that follows the acceptance in the research community through technical validation in the application of the concept in an industrial setting.O aumento no projeto e desenvolvimento de tecnologias de comunicação sem fio oferece múltiplas oportunidades para a gestão e controle de sistemas ciber-físicos com conexões entre dispositivos inteligentes e autônomos, os quais proporcionam a entrega de dados simplificados através do uso da computação em nuvem. Diante dessa relação com a Internet das Coisas (IoT) estabeleceu-se o conceito de computação pervasiva que permite que qualquer objeto possa comunicar com os serviços, sensores, pessoas e objetos sem intervenção humana. Entretanto, o rápido crescimento da conectividade com as aplicações inteligentes através de sistemas autônomos conectados com a internet permitiu a exposição de inúmeras vulnerabilidades dos sistemas IoT para usuários maliciosos. Esta dissertação desenvolveu um novo framework de cibersegurança baseada em ontologia para melhorar a segurança em sistemas IoT usando uma análise ontológica para a adaptação de serviços de segurança apropriados endereçados para as ameaças. A composição dessa proposta explora duas abordagens: (1) tempo de projeto, o qual oferece um método dinâmico para construir serviços de segurança através da aplicação de uma metodologia dirigida a modelos, considerando processos empresariais existentes; e (2) tempo de execução, o qual envolve o monitoramento do ambiente IoT, a classificação de vulnerabilidades e ameaças, e a atuação no ambiente garantindo a correta adaptação dos serviços existentes. Duas abordagens de validação foram utilizadas para demonstrar a viabilidade da implementação do framework de cibersegurança proposto. Isto implica na avaliação da ontologia para oferecer uma avaliação qualitativa baseada na análise de diversos critérios e também uma prova de conceito implementada e testada usando cenários específicos. Esta dissertação foi validada adotando uma metodologia que segue a validação na comunidade científica através da validação técnica na aplicação do nosso conceito em um cenário industrial

A Semantic Wiki-based Platform for IT Service Management

The book researches the use of a semantic wiki in the area of IT Service Management within the IT department of an SME. An emphasis of the book lies in the design and prototypical implementation of tools for the integration of ITSM-relevant information into the semantic wiki, as well as tools for interactions between the wiki and external programs. The result of the book is a platform for agile, semantic wiki-based ITSM for IT administration teams of SMEs

A closer look at Intrusion Detection System for web applications

Intrusion Detection System (IDS) is one of the security measures being used as an additional defence mechanism to prevent the security breaches on web. It has been well known methodology for detecting network-based attacks but still immature in the domain of securing web application. The objective of the paper is to thoroughly understand the design methodology of the detection system in respect to web applications. In this paper, we discuss several specific aspects of a web application in detail that makes challenging for a developer to build an efficient web IDS. The paper also provides a comprehensive overview of the existing detection systems exclusively designed to observe web traffic. Furthermore, we identify various dimensions for comparing the IDS from different perspectives based on their design and functionalities. We also provide a conceptual framework of an IDS with prevention mechanism to offer a systematic guidance for the implementation of the system specific to the web applications. We compare its features with five existing detection systems, namely AppSensor, PHPIDS, ModSecurity, Shadow Daemon and AQTRONIX WebKnight. The paper will highly facilitate the interest groups with the cutting edge information to understand the stronger and weaker sections of the web IDS and provide a firm foundation for developing an intelligent and efficient system

Cyber indicators of compromise: a domain ontology for security information and event management

It has been said that cyber attackers are attacking at wire speed (very fast), while cyber defenders are defending at human speed (very slow). Researchers have been working to improve this asymmetry by automating a greater portion of what has traditionally been very labor-intensive work. This work is involved in both the monitoring of live system events (to detect attacks), and the review of historical system events (to investigate attacks). One technology that is helping to automate this work is Security Information and Event Management (SIEM). In short, SIEM technology works by aggregating log information, and then sifting through this information looking for event correlations that are highly indicative of attack activity. For example: Administrator successful local logon and (concurrently) Administrator successful remote logon. Such correlations are sometimes referred to as indicators of compromise (IOCs). Though IOCs for network-based data (i.e., packet headers and payload) are fairly mature (e.g., Snort's large rule-base), the field of end-device IOCs is still evolving and lacks any well-defined go-to standard accepted by all. This report addresses ontological issues pertaining to end-device IOCs development, including what they are, how they are defined, and what dominant early standards already exist.http://archive.org/details/cyberindicatorso1094553041Lieutenant, United States NavyApproved for public release; distribution is unlimited

A knowledge-based, secure and dependable self-healing architecture for the smart grid

Tese de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2016As redes de distribuição de eletricidade são infraestruturas críticas que, em casos de incapacitação ou destruição, provocariam um efeito debilitante na economia e na segurança pública. Estas redes são cada vez mais suportadas por sistemas complexos e redes de comunicações, ganhando desta forma alguma inteligência e autonomia. A informação que estes sistemas geram e as decisões e ações que tomam são limitadas pela informação que têm. Em casos nos quais não tenham, por desenho, toda a informação relevante para o seu contexto de atuação, podem enganar os operadores e tomar ações prejudiciais. A dependência dos sistemas e comunicações levanta também preocupações sobre o desempenho, privacidade, segurança e confiabilidade, que se estendem além de possíveis faltas na rede elétrica. Neste sentido, existem soluções dedicadas ao tratamento automático de faltas na rede elétrica, existindo também soluções dedicadas ao tratamento de faltas nos sistemas e comunicações, fazendo-o separadamente. No entanto, como demonstrado pelos incidentes na Ucrânia, no final de 2015, faltas e falhas em diferentes camadas da rede inteligente podem estar relacionadas. Adicionalmente, embora exista alguma preocupação com a segurança e a confiabilidade das soluções de tratamento automático de faltas na rede elétrica no âmbito de alguns projetos europeus, os projetos piloto focam-se maioritariamente nos aspetos funcionais destas soluções, o que poderá comprometer a segurança de futuras instalações. Em resposta aos problemas acima descritos, nesta tese utiliza-se uma abordagem com base em conhecimento e segurança para desenhar e propor um sistema de tratamento automático de faltas na rede inteligente, que explora as ligações atrás mencionadas. Inicialmente, são definidos requisitos de alto nível para as componentes funcional, segurança e confiabilidade, desempenho, operação e manutenção. Estes requisitos são desagregados em requisitos de baixo nível para os quais ´e proposta uma arquitetura de sistema com módulos funcionais e não funcionais. No caso específico dos requisitos de segurança e confiabilidade, foi realizado um levantamento das ameaças e vulnerabilidades `a componente aplicacional do sistema, com o objetivo de identificar os controlos necessários e propor um conjunto de componentes que, sendo eles próprios conformes, garantem conformidade com os controlos identificados. A análise inicia-se com a identificação dos ativos relevantes, a que se segue a identificação das ameaças e vulnerabilidades correspondentes, com maior foco nas ameaças para a aplicação e na ameaça que esta, se e quando comprometida, pode constituir para a rede inteligente. Dos controlos identificados, são apenas incluídos no desenho aqueles que têm de ser implementados através de componentes aplicacionais ou para os quais a aplicação tem de dar algum tipo de suporte. Os controlos externos não são cobertos por esta investigação. Ainda sobre o desenho funcional, ´e feito um modelo da rede inteligente, incluindo os sistemas e componentes das suas várias camadas, com o objetivo de identificar as configurações que cada um suporta e as ligações entre eles. São também modelados, com o objetivo de identificar ligações e dependências: o processo de operação da rede elétrica, um processo genérico representativo dos processos e serviços dependentes do estado operacional da rede elétrica e o processo de tratamento automático. Estes modelos são utilizados na fase de implementação. A arquitetura resultante é a de um sistema multi-agente com agentes geograficamente distribuídos e replicados, designados por entidades especialistas em tratamento de faltas. Cada entidade é responsável por um domínio de tratamento limitado, correspondendo a um conjunto de sistemas, componentes e serviços da rede inteligente que fazem parte do seu âmbito de supervisão. Raciocina sobre conhecimento assente em factos e regras. Supervisiona o seu domínio, diagnosticando faltas, criando planos de recuperação e reconfigurando a rede inteligente com base nesses planos. Coopera com outras entidades. Aprende com os resultados e consequências da sua atuação. Integra componentes de segurança e confiabilidade para prevenir e tolerar faltas e intrusões nos seus próprios componentes. O sistema é implementado parcialmente para prova do conceito. A implementação inclui a definição de um domínio de tratamento, da ontologia correspondente, do modelo de conhecimento com factos e regras, dos objetivos de tratamento e de um conjunto de queries aplicáveis ao modelo. O domínio de tratamento inclui componentes da rede elétrica, equipamentos de rede, computadores e um sistema de controlo de acessos físicos, cobrindo desta forma diferentes camadas da rede inteligente. Para validação da implementação, os objetivos e queries são submetidos a um motor de inferência, no qual o modelo de conhecimento é previamente carregado, simulando o comportamento de uma réplica nos diferentes estados do processo de tratamento. O processo é repetido para quatro cenários de faltas e falhas de complexidade crescente, incluindo um cenário de falta de conhecimento em que o resultado da inferência, demonstrando a necessidade de manter as bases de conhecimento atualizadas. A implementação dos restantes módulos e integração do módulo de conhecimento é deixada para trabalho futuro, o que limita a validação da segurança da solução. Por definição, os controlos incluídos na arquitetura proposta respondem aos requisitos do sistema, dado que o desenho da solução utiliza módulos de segurança e confiabilidade identificados através de uma análise de ameaças e vulnerabilidades. No entanto, a verificação de que estes controlos são corretamente implementados e a validação da robustez dessa implementação está dependente da implementação dos módulos e, por esta razão, é deixada também para trabalho futuro. Validamos também a robustez do desenho proposto em termos de liveness e safety. Neste sentido, apresentamos uma definição para cada uma destas propriedades no contexto da solução proposta, apresentamos um conjunto de cenários em que as mesmas são comprometidas e justificamos o porquê de esses cenários não serem possíveis. No caso da liveness, o sistema deve executar continuamente desde a sua instalação até ao fim do seu ciclo de vida, entre eventuais interrupções programadas. Para a sua validação focamo-nos nas interações entre os vários módulos, com os sistemas e componentes da rede inteligente e entre entidades. No caso da safety, as ações do sistema devem basear-se apenas em informação atualizada, recolhida dos sistemas e componentes da rede inteligente. Neste caso, o foco é no conteúdo do modelo de conhecimento, na coordenação entre réplicas e a execução de comandos nos sistemas e componentes da rede inteligente. Por último, discutimos um conjunto de tópicos de desenho e implementação que, sendo críticos para a segurança e robustez do sistema proposto, dependem do contexto específico da cada rede inteligente e fornecemos recomendações e orientações para os mesmos. Assumindo a existência de outros sistemas instalados na rede inteligente com atuação possivelmente concorrente com a aqui considerada, é necessário definir qual é o âmbito de cada um esse haverá ou não interação entre o sistema aqui proposto e esses sistemas. O sistema aqui proposto poderá utilizar os sensores, atuadores e redes de comunicações já existentes, dependendo de garantias funcionais, desempenho, capacidade e segurança dados pelos mesmos, para adquirir a informação necessária e controlar os sistemas e componentes da rede inteligente, sendo necessário identificar as necessidades de implementação associadas. A alternativa ´e construir completa ou parcialmente uma infraestrutura dedicada. Este sistema poderá ser criado de raiz ou a partir de outros sistemas já existentes e que contenham módulos com funcionalidades semelhantes às identificadas no desenho da solução. É necessário instalar, operar e manter o sistema com o conhecimento necessário à tomada de decisão. Se tal não for feito, o sistema poderá tomar decisões prejudiciais. A distribuição do sistema, em termos de número de domínios, e a sua replicação, em termos de número de réplicas, tendo previsivelmente um impacto elevado nos custos da solução, deverão ter em conta análises de risco e de custo-benefício. Uma distribuição com granularidade apropriada e um número suficiente de réplicas com distribuição adequada permitem que o sistema funcione corretamente também em casos de partição de comunicações e/ou conectividade. As decisões tomadas, relacionadas com estes tópicos, têm impacto direto no desempenho, segurança e confiabilidade da solução. Para trabalho futuro, a nível de desenho, é proposto: a evolução de alguns módulos já incluídos no desenho da solução e o desenvolvimento de novos módulos, a modelação de mais sistemas, componentes e serviços e a atualização e extensão da análise de ameaças e vulnerabilidades. A nível de implementação, é proposto: a formalização e manutenção¸ de uma ontologia de suporte à descrição dos sistemas, componentes e serviços, a atualização dos factos, com base na ontologia, e a melhoria das regras, aproximando-as incrementalmente da realidade, o desenvolvimento do código de software associado a cada módulo e a extensão das recomendações e orientações apresentadas na discussão para incluírem exemplos práticos.The increasing complexity of the smart grid raises concerns with performance, privacy, security and dependability that go further beyond electrical network faults. In this regard, electrical network self-healing and commercially available security solutions are capable of handling a set of electrical network, systems and communications faults automatically, but separately. However, as shown by the Ukrainian incidents, in 2015, there can be cause-effect connections between faults and failures in different smart grid layers. Additionally, although a set of European projects is addressing the security and dependability of self-healing use cases, the pilot projects focus mainly on functional issues, possibly compromising the security of future roll-outs. We use a knowledge-based and security-by-design approach to design and propose a secure and dependable Self-Healing System (SHS) with awareness of the aforementioned connections. It is a Multi Agent System (MAS) with replicated Self-Healing Expert Entity (SHEE) agents. Each SHEE is responsible for the self-healing process in a limited domain, corresponding to a set of systems, components and processes assigned to its scope of supervision. It reasons with knowledge based on facts and rules. It monitors the domain, diagnoses eventual faults, creates recovery plans and reconfigures the smart grid based on these plans. It cooperates with other SHEEs. It learns from the results and consequences of its actions. It comprises a set of security and dependability features to prevent and tolerate faults and intrusions, resulting from a threat and vulnerability assessment. We perform a partial implementation of our system, consisting in the definition of a self-healing domain, the corresponding ontology, the knowledge model with facts and reasoning rules and a set of goals and queries. We successfully validate the SHS concept as a solution to the described problems. The goals and queries are submitted to a standalone inference engine, which is previously loaded with the knowledge model, simulating the behavior of a SHEE replica through the different states of the self-healing process. The process is repeated for four different complexity increasing fault and failure scenarios. We discuss and provide guidance for a set of design and implementation issues that, being critical to the security and robustness of the SHS, depend on each smart grid specific context

Automating Cyber Analytics

Model based security metrics are a growing area of cyber security research concerned with measuring the risk exposure of an information system. These metrics are typically studied in isolation, with the formulation of the test itself being the primary finding in publications. As a result, there is a flood of metric specifications available in the literature but a corresponding dearth of analyses verifying results for a given metric calculation under different conditions or comparing the efficacy of one measurement technique over another. The motivation of this thesis is to create a systematic methodology for model based security metric development, analysis, integration, and validation. In doing so we hope to fill a critical gap in the way we view and improve a system’s security. In order to understand the security posture of a system before it is rolled out and as it evolves, we present in this dissertation an end to end solution for the automated measurement of security metrics needed to identify risk early and accurately. To our knowledge this is a novel capability in design time security analysis which provides the foundation for ongoing research into predictive cyber security analytics. Modern development environments contain a wealth of information in infrastructure-as-code repositories, continuous build systems, and container descriptions that could inform security models, but risk evaluation based on these sources is ad-hoc at best, and often simply left until deployment. Our goal in this work is to lay the groundwork for security measurement to be a practical part of the system design, development, and integration lifecycle. In this thesis we provide a framework for the systematic validation of the existing security metrics body of knowledge. In doing so we endeavour not only to survey the current state of the art, but to create a common platform for future research in the area to be conducted. We then demonstrate the utility of our framework through the evaluation of leading security metrics against a reference set of system models we have created. We investigate how to calibrate security metrics for different use cases and establish a new methodology for security metric benchmarking. We further explore the research avenues unlocked by automation through our concept of an API driven S-MaaS (Security Metrics-as-a-Service) offering. We review our design considerations in packaging security metrics for programmatic access, and discuss how various client access-patterns are anticipated in our implementation strategy. Using existing metric processing pipelines as reference, we show how the simple, modular interfaces in S-MaaS support dynamic composition and orchestration. Next we review aspects of our framework which can benefit from optimization and further automation through machine learning. First we create a dataset of network models labeled with the corresponding security metrics. By training classifiers to predict security values based only on network inputs, we can avoid the computationally expensive attack graph generation steps. We use our findings from this simple experiment to motivate our current lines of research into supervised and unsupervised techniques such as network embeddings, interaction rule synthesis, and reinforcement learning environments. Finally, we examine the results of our case studies. We summarize our security analysis of a large scale network migration, and list the friction points along the way which are remediated by this work. We relate how our research for a large-scale performance benchmarking project has influenced our vision for the future of security metrics collection and analysis through dev-ops automation. We then describe how we applied our framework to measure the incremental security impact of running a distributed stream processing system inside a hardware trusted execution environment

AVOIDIT IRS: An Issue Resolution System To Resolve Cyber Attacks

Cyber attacks have greatly increased over the years and the attackers have progressively improved in devising attacks against specific targets. Cyber attacks are considered a malicious activity launched against networks to gain unauthorized access causing modification, destruction, or even deletion of data. This dissertation highlights the need to assist defenders with identifying and defending against cyber attacks. In this dissertation an attack issue resolution system is developed called AVOIDIT IRS (AIRS). AVOIDIT IRS is based on the attack taxonomy AVOIDIT (Attack Vector, Operational Impact, Defense, Information Impact, and Target). Attacks are collected by AIRS and classified into their respective category using AVOIDIT.Accordingly, an organizational cyber attack ontology was developed using feedback from security professionals to improve the communication and reusability amongst cyber security stakeholders. AIRS is developed as a semi-autonomous application that extracts unstructured external and internal attack data to classify attacks in sequential form. In doing so, we designed and implemented a frequent pattern and sequential classification algorithm associated with the five classifications in AVOIDIT. The issue resolution approach uses inference to educate the defender on the plausible cyber attacks. The AIRS can work in conjunction with an intrusion detection system (IDS) to provide a heuristic to cyber security breaches within an organization. AVOIDIT provides a framework for classifying appropriate attack information, which is fundamental in devising defense strategies against such cyber attacks. The AIRS is further used as a knowledge base in a game inspired defense architecture to promote game model selection upon attack identification. Future work will incorporate honeypot attack information to improve attack identification, classification, and defense propagation.In this dissertation, 1,025 common vulnerabilities and exposures (CVEs) and over 5,000 lines of log files instances were captured in the AIRS for analysis. Security experts were consulted to create rules to extract pertinent information and algorithms to correlate identified data for notification. The AIRS was developed using the Codeigniter [74] framework to provide a seamless visualization tool for data mining regarding potential cyber attacks relative to web applications. Testing of the AVOIDIT IRS revealed a recall of 88%, precision of 93%, and a 66% correlation metric