Comparison and Alignment of Access Control Models

Turvasüsteemipoliitikat rakendatakse arvutis juurdepääsu kontrollimehhanismi kaudu. Juurdepääsu kontrollmehhanismi peamised kontrollid on konfidentsiaalsus, terviklikkus ja turvalisus. Juurdepääsu kontrollmehhanismi saab rakendada mistahes juurdepääsu kontrollmudelite kaudu. See on viis, kuidas volitamata kasutaja eest teavet või ressursse kaitsta, tagades juurdepääsu ainult volitatud kasutajale. On olemas erinevad juurdepääsu kontrollimudelid, kus kõik mudelid pole tänapäeva digitaalkeskkonnale piisavad. Seega tekib probleem ülesande lahendamisel, milline juurdepääsukontrolli mudel sobib teatud tüüpi mitme kasutaja infrastruktuuriga, millel on erinevad juurdepääsuvajadused. Juurdepääsu kontrollmudel erineb vastavalt keskkonnale. On olemas keskkond, mis annab juurdepääsu oma kasutajatele konkreetses võrgustikus ja keskkonnas, kus on kasutajaid, kes vahetavad võrke, et kasutada dünaamiliselt erinevaid ressursse. Seega on ressursside ja võrgu tõhusa kasutamise õige mudeli määramine keeruline, välja arvatud juhul, kui on võimalik olemasolevas mudelis kasutada vajalikke kontseptsioone, et muuta meie uus mudel paindlikumaks.Juurdepääsu kontrollimise standardid erinevate juurdepääsupõhiste õiguste haldamiseks on keerukad. Tekkivate tehnoloogiatega muutuvad süsteemi komponendid ajakohastatuks, seega on väljakutse leida sobiv ja paindlik juhtimismudel, mis vastab süsteemile. Isegi kui saadaval on erinevad juurdepääsukontrolli mudelid, on tõeline probleem leidmaks vajalikku juurdepääsu kontrollimehhanismi, mida saab kasutada meie uue juurdepääsukontrolli mudeli täiustamiseks, et turvaliselt juurde pääsedes ressursse tõhusalt kasutada.Lahenduseks on mõista juurdepääsu kontrollimudeli nõrku ja tugevaid omadusi, võrrelda erinevaid mudeleid ja viia nende parimad omadused kokku paindliku juurdepääsu kontrollimudeli koostamiseks. See saavutatakse süstemaatilise küsitluse abil, kus osalejad kinnitavad, et juurdepääsu kontrollimudelit saab mõista ja võrrelda kolme põhikomponendi: subjekti, poliitika ja objektiga, mille aluseks olevad põhimõtted, metamudelid ja kolme erineva juurdepääsu kontrollimudeli näitel.Erinevate juurdepääsukontrolli mudelite analüütiline võrdlus põhineb aruandel selle kohta, kuidas kasutajad sellega erinevatel juhtudel tegelevad. See uuring aitas saada erinevate inimeste arvamust reaalselt nii, et see empiiriline katsete läbiviimise viis suudaks leida tugevaid ja nõrgemaid tegureid. Lõpuks viiakse kõik tugevad tegureid kooskõlla uue paindliku juurdepääsukontrolli mudeli loomisega.Tulemus aitab võrrelda, uurida ja rakendada sobivat ja vajalikku juurdepääsu kontrollisüsteemile. See paneb meid mõtlema ka sellele, kuidas saab uut juurdepääsu kontrollisüsteemi analüüsida ja võrrelda olemasolevatega. Reaalajas vaatajaskonna abil saab selle väljund olla realistlik. Seda uurimustöö tulemust saab kasutada juurdepääsu kontrolli mudelite edasiseks täiustamiseks.Security system policies are implemented in the computer through access control mechanism. The primary controls that the access control mechanism possesses are confidentiality, integrity, and security. Access control mechanism can be applied through any of the access control models. It is is a way of protecting information or resources from the unauthorized user to provide access to authorized user. There exist different access control models in which all models are not adequate for today's digital environment. So, the problem arises in difficulty faced to choose which access control model suits well for a particular type of multi-user infrastructure with various access needs. Access control model differs according to the environment. There is an environment which grants access to its users within a particular network and for an environment which has users, who switch dynamically between different networks to access resources. Hence, determining the right model for the efficient use of resources and network is difficult, unless, there is a way to implement the needed concepts in our existing model as to make our new flexible model. Access control standards for managing different access privileges are complex to understand. With the emerging technologies, components of a system are getting updated, so, it will be a challenge to find out the suitable and flexible access control model that matches the system. Even though there are different access control model available, there is the real problem in finding out the needed access control mechanism which can be employed for the improvement of our new access control model for the efficient use of the resources to be accessed securely.The solution is to understand the weak and strong features of access control model by comparing different models and aligning their best features to compose into a flexible access control model. It is achieved with the help of systematic survey, where a group of audience validated that access control model can be understood and compared with three main components, subject, policy and object with underlying principles, meta-models and examples of three different access control model. Analytical comparison of different access control model is drawn from a report of how the audience deals with it at various cases that were analyzed. This survey helped to receive the opinion of different people realistically, such that this empirical way of conducting experiments concludes with the way for finding strong and weak factors. Finally, all the strong factors are aligned to form a new flexible access control model. The result helps to compare, study and implement a suitable and necessary access control system. It also makes us think in a way how a new access control system can be analyzed and compared with the existing ones. This research work result can be used for further research in future for the potential enhancement of newer access control models

Context-based Access Control and Attack Modelling and Analysis

In dieser Arbeit haben wir architekturelle Sicherheitsanalysen entwickelt, um Zugriffsverletzungen und Angriffspfade zu ermitteln. Durch die fortschreitende Digitalisierung und die zunehmende Vernetzung steigt die Bedeutung der IT-Sicherheit. Die Sicherheit eines Systems besteht aus mehreren verschiedenen Eigenschaften wie Vertraulichkeit oder Integrität. In unserer Arbeit konzentrieren wir uns auf die Vertraulichkeit. Ein vertrauliches System teilt nur die benötigten Daten mit autorisierten Entitäten. Unbefugte oder böswillige Personen erhalten keinen Zugang zu vertraulichen Daten. Die Entwicklung eines vertraulichen Systems ist jedoch schwierig, da viele verschiedene Eigenschaften Einfluss auf die Vertraulichkeit haben. Ein wichtiger Einflussfaktor ist die Zugangskontrolle. Zugriffskontrollrichtlinien definieren für jedes Element innerhalb eines Systems, unter welchen Bedingungen der Zugriff gewährt werden kann. Diese Zugriffskontrollrichtlinien berücksichtigen oft den Kontext für den Zugriff. Der Kontext kann z.B. die Zeit oder der Standort von Personen sein. Durch die Berücksichtigung steigt die Komplexität der Spezifikation der Zugriffskontrolle. Dies kann zu einer Fehlspezifikation führen. Daher ist es wichtig, die Auswirkungen einer Zugriffskontrollrichtlinie zu ermitteln. Aufgrund der Komplexität ist es jedoch schwierig, die Auswirkungen zu bestimmen, da die Analyse auch den Kontext berücksichtigen muss. Neben Zugriffskontrollrichtlinien können auch Schwachstellen die Vertraulichkeit des Systems beeinflussen. Schwachstellen können von Angreifer:innen ausgenutzt werden, um Zugang zu geschützten Entitäten im System zu erhalten. Sie ermöglichen es den Angreifer:innen also, die Zugangskontrollrichtlinien zu umgehen. Schwachstellen ermöglichen nicht nur den direkten Zugang zu Entitäten, sondern ermöglichen Angreifer:innen auch die Berechtigung anderer Personen zuerlangen. Diese Berechtigung kann dann von Angreifer:innen verwendet werden, um sich bei anderen Elementen Zugang zu verschaffen. Schwachstellen hängen jedoch auch von Zugangskontrollsystemen ab, da für einige Schwachstellen eine Berechtigung erforderlich ist. So können beispielsweise einige Schwachstellen nur von berechtigten Personen ausgenutzt werden. Um die Auswirkungen einer Schwachstelle abschätzen zu können, muss eine Analyse daher auch die Eigenschaften der Zugangskontrolle berücksichtigen. Darüber hinaus ist der Kontext der Angreifer:innen wichtig, da einige Schwachstellen nur dann ausgenutzt werden können, wenn der Angreifer:innen zuvor andere Entitäten im System kompromittiert haben. Daher wird bei Angriffen eine verkettete Liste kompromittierter Entitäten erstellt. Diese Liste wird auch als Angriffspfad bezeichnet. Sie besteht aus einer Kette von Schwachstellen, die die mehrfache Ausnutzung von Schwachstellen und Zugangskontrollrichtlinien durch Angreifer:innen darstellen. Die automatische Ableitung dieser möglichen Angriffspfade kann verwendet werden, um die Auswirkungen auf die Vertraulichkeit abzuschätzen, da sie den Expert:innen eine Rückmeldung darüber gibt, welche Elemente kompromittiert werden können. Bestehende Ansätze zur Abschätzung der Sicherheit oder der Auswirkungen von Zugangskontrollrichtlinien oder Schwachstellen konzentrieren sich oft nur auf eine der beiden Eigenschaften. Ansätze, die beide Eigenschaften berücksichtigen, sind in der Anwendungsdomäne oft sehr begrenzt, z.B. lösen sie es nur für eine Anwendungsdomäne wie Microsoft Active Directory oder sie berücksichtigen nur ein begrenztes Zugangskontrollmodell. Darüber hinaus arbeiten die meisten Ansätze mit einer Netzwerktopologie. Dies kann zwar bei der Modellierung hilfreich sein, doch berücksichtigt eine Netzwerktopologie in der Regel keine weiteren Eigenschaften wie Bereitstellung von Diensten auf Servern oder die Nutzung von Komponenten. Software-Architekturmodelle können diese Informationen jedoch liefern. Darüber hinaus ermöglicht die Verwendung von Modellen, ein System bereits während der Entwicklung oder während eines Ausfalls zu analysieren. Daher hilft es bei der Verwirklichung von Security by Design. Im Einzelnen sind unsere Beiträge: Wir haben ein Metamodell für die Zugriffskontrolle entwickelt, um kontextbasierte Zugriffskontrollrichtlinien in der Software-Architektur zu spezifizieren. Zusätzlich haben wir ein Schwachstellen-Metamodell entwickelt, um Schwachstellen in Software-Architekturen zu spezifizieren. Die Zugriffskontrollrichtlinien können in einer szenariobasierten Zugriffskontrollanalyse analysiert werden, um Zugriffsverletzungen zu identifizieren. Wir haben zwei Angriffsanalysen entwickelt. Beide können Angriffspfade auf einem Architekturmodell generieren und Schwachstellen und Zugangskontrollrichtlinien verwenden. Die eine Analyse betrachtet die Angriffsausbreitung von einem bestimmten Startpunkt in der Software-Architektur. Die andere findet Angriffspfade, die zu einem bestimmten Architekturelement führen. Wir haben unsere Sicherheitsanalysen anhand verschiedener Evaluierungsszenarien evaluiert. Diese Szenarien wurden auf der Grundlage von Evaluierungsfällen aus verwandten Arbeiten oder realen Sicherheitsvorfällen erstellt. Für die erste Analyse haben wir die Genauigkeit bei der Identifizierung von Zugriffsverletzungen untersucht. Unsere Ergebnisse deuten auf eine hohe Genauigkeit hin. Für die beiden Angriffsanalysen untersuchten wir die Genauigkeit hinsichtlich der gefundenen kompromittierten Elemente, die Aufwandsreduzierung bei der Verwendung unserer Analysen und die Skalierbarkeit. Unsere Ergebnisse deuten auf eine hohe Genauigkeit und eine Aufwandsreduzierung hin. Allerdings ist die Skalierbarkeit für beide Ansätze nicht ideal. Für kleinere Software-Architekturen ist sie jedoch akzeptabel. Der von uns entwickelte Ansatz kann Software-Architekt:innen dabei helfen, sicherere Systeme zu entwerfen. Der Ansatz kann die Auswirkungen von Zugriffskontrollrichtlinien anhand von Zugriffsverletzungen und für Schwachstellen zusammen mit Zugriffskontrollrichtlinien anhand von Angriffspfaden aufzeigen. Durch die Verwendung von Software-Architekturmodellen kann unser Ansatz dieses Feedback bereits während des Entwurfs der Software liefern. Dies kann helfen, nach "Security by Design" zu entwickeln

Architectural Attack Propagation Analysis for Identifying Confidentiality Issues

Exchanging data between different systems enables us to build new smart services and digitise various areas of our daily life. This digitalisation leads to more efficient usage of resources, and an increased monetary value. However, the connection of different systems also increases the number of potential vulnerabilities. The vulnerabilities on their own might be harmless, but attackers could build attack paths based on the combination of different vulnerabilities. Additionally, attackers might exploit existing access control policies to further propagate through the system. For analysing this dependency between vulnerabilities and access control policies, we extended an architecture description language (ADL) to model access control policies and specify vulnerabilities. We developed an attack propagation analysis operating on the extended ADL, which can help to determine confidentiality violations in a system. We evaluated our approach by analysing the accuracy and the effort compared to a manual analysis using different scenarios in three case studies. The results indicate that our analysis is capable of identifying attack paths and reducing the effort compared to manual detection

Architectural Attack Propagation Analysis for Identifying Confidentiality Issues

Exchanging data between different systems enables us to build new smart services and digitise various areas of our daily life. This digitalisation leads to more efficient usage of resources, and an increased monetary value. However, the connection of different systems also increases the number of potential vulnerabilities. The vulnerabilities on their own might be harmless, but attackers could build attack paths based on the combination of different vulnerabilities. Additionally, attackers might exploit existing access control policies to further propagate through the system. For analysing this dependency between vulnerabilities and access control policies, we extended an architecture description language (ADL) to model access control policies and specify vulnerabilities. We developed an attack propagation analysis operating on the extended ADL, which can help to determine confidentiality violations in a system. We evaluated our approach by analysing the accuracy and the effort compared to a manual analysis using different scenarios in three case studies. The results indicate that our analysis is capable of identifying attack paths and reducing the effort compared to manual detection

Tool-Based Attack Graph Estimation and Scenario Analysis for Software Architectures

With the increase of connected systems and the ongoing digitalization of various aspects of our life, the security demands for software increase. Software architects should design a secure and resistant system. One solution can be the identification of attack paths or the usage of an access control policy analysis. However, due to the system complexity identifying an attack path or analyzing access control policies is hard. Current attack path calculation approaches, often only focus on the network topology and do not consider the more fine-grained information a software architecture can provide, such as the components or deployment. In addition, the impact of access control policies for a given scenario is unclear. We developed an open-source attack propagation tool, which can calculate an attack graph based on the software architecture. This tool could help software architects to identify potential critical attack paths. Additionally, we extended the used access control metamodel to support a scenario-based access control analysis

Detecting Violations of Access Control and Information Flow Policies in Data Flow Diagrams

The security of software-intensive systems is frequently attacked. High fines or loss in reputation are potential consequences of not maintaining confidentiality, which is an important security objective. Detecting confidentiality issues in early software designs enables cost-efficient fixes. A Data Flow Diagram (DFD) is a modeling notation, which focuses on essential, functional aspects of such early software designs. Existing confidentiality analyses on DFDs support either information flow control or access control, which are the most common confidentiality mechanisms. Combining both mechanisms can be beneficial but existing DFD analyses do not support this. This lack of expressiveness requires designers to switch modeling languages to consider both mechanisms, which can lead to inconsistencies. In this article, we present an extended DFD syntax that supports modeling both, information flow and access control, in the same language. This improves expressiveness compared to related work and avoids inconsistencies. We define the semantics of extended DFDs by clauses in first-order logic. A logic program made of these clauses enables the automated detection of confidentiality violations by querying it. We evaluate the expressiveness of the syntax in a case study. We attempt to model nine information flow cases and six access control cases. We successfully modeled fourteen out of these fifteen cases, which indicates good expressiveness. We evaluate the reusability of models when switching confidentiality mechanisms by comparing the cases that share the same system design, which are three pairs of cases. We successfully show improved reusability compared to the state of the art. We evaluated the accuracy of confidentiality analyses by executing them for the fourteen cases that we could model. We experienced good accuracy

Detecting Violations of Access Control and Information Flow Policies in Data Flow Diagrams

The security of software-intensive systems is frequently attacked. High fines or loss in reputation are potential consequences of not maintaining confidentiality, which is an important security objective. Detecting confidentiality issues in early software designs enables cost-efficient fixes. A Data Flow Diagram (DFD) is a modeling notation, which focuses on essential, functional aspects of such early software designs. Existing confidentiality analyses on DFDs support either information flow control or access control, which are the most common confidentiality mechanisms. Combining both mechanisms can be beneficial but existing DFD analyses do not support this. This lack of expressiveness requires designers to switch modeling languages to consider both mechanisms, which can lead to inconsistencies. In this article, we present an extended DFD syntax that supports modeling both, information flow and access control, in the same language. This improves expressiveness compared to related work and avoids inconsistencies. We define the semantics of extended DFDs by clauses in first-order logic. A logic program made of these clauses enables the automated detection of confidentiality violations by querying it. We evaluate the expressiveness of the syntax in a case study. We attempt to model nine information flow cases and six access control cases. We successfully modeled fourteen out of these fifteen cases, which indicates good expressiveness. We evaluate the reusability of models when switching confidentiality mechanisms by comparing the cases that share the same system design, which are three pairs of cases. We successfully show improved reusability compared to the state of the art. We evaluated the accuracy of confidentiality analyses by executing them for the fourteen cases that we could model. We experienced good accuracy