Efficient Semantic Representation of Network Access Control Configuration for Ontology-based Security Analysis

Assessing countermeasures and the sufficiency of security-relevant configurations within networked system architectures is a very complex task. Even the configuration of single network access control (NAC) instances can be too complex to analyse manually. Therefore, model-based approaches have manifested themselves as a solution for computer-aided configuration analysis. Unfortunately, current approaches suffer from various issues like coping with configuration-language heterogeneity or the analysis of multiple NAC instances as one overall system configuration, which is the case for the maturity of analysis goals. In this paper, we show how deriving and modelling NAC configurations’ effects solves the majority of these issues by allowing generic and simplified security analysis and model extension. The paper further presents the underlying modelling strategy to create such configuration effect representations (hereafter referred to as effective configuration) and explains how analyses based on previous approaches can still be performed. Moreover, the linking between rule representations and effective configuration is demonstrated, which enables the tracing of issues, found in the effective configuration, back to specific rules. Copyright © 2021 by SCITEPRESS – Science and Technology Publications, Lda. All rights reserve

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Industrielle Steuerungs- und Automatisierungssysteme erleben in den letzten Jahren eine zunehmende Vernetzung und bestehen mehr und mehr aus Komponenten, bei denen Off-the-Shelf-Software und offene Standards zum Einsatz kommen. Neben den unbestreitbaren Vorteilen, die diese Entwicklungen mit sich bringen, vergrößert sich damit jedoch auch die Angriffsfläche solcher Systeme. Gleichzeitig führt die, durch diese Evolution entstehende, zusätzliche Flexibilität zu zusätzlicher Komplexität in der Konfiguration und einer Zunahme von ausnutzbaren Schwachstellen. Die Homogenität der Soft- und Hardware macht die Ausnutzung dieser Schwachstellen für Angreifer zudem attraktiver, da weniger Aufwand in Individualangriffe fließen muss. Es ist so nicht verwunderlich, dass die Anzahl von Angriffen betroffener industrieller Systeme in den letzten fünfzehn Jahren einen deutlichen Zuwachs erfahren hat. Dies ist besonders bedenklich, weil erfolgreiche Angriffe auf diese Systeme, anders als in der Büro-IT, oft gefährliche Auswirkungen auf ihre Umwelt haben. Wie auch in anderen Domänen mit hoher technologischer Komplexität, haben sich computergestützte Verfahren zu einem wichtigen Bestandteil industrieller Systeme entwickelt. Sie werden dabei u.a. zur Sicherstellung korrekter Konfiguration, Identifikation von Schwachstellen, Bedrohungen und Gegenmaßnahmen, sowie Angriffsdetektion und -reaktion eingesetzt. Allerdings bestehen aufgrund der Garantien industrieller Systeme und ihrer Netzwerke bezüglich Aspekten wie Echtzeitverarbeitung, Ausfallsicherheit und Redundanz, Einschränkungen im Einsatz von Werkzeugen und Maßnahmen. Um also möglichst wenig in das System einzugreifen, müssen beispielsweise Sicherheitsanalysen und Vorfallreaktionen so wenig invasiv wie möglich (minimalinvasiv) durchgeführt werden. Für automatisierte Sicherheitsanalysen hat es sich daher zur guten Praxis entwickelt, Modelle der Systeme zu erstellen und diese computergestützt zu analysieren. Als besonders geeignet haben sich in der Forschung dabei wissensbasierte, bzw. ontologiebasierte, Ansätze erwiesen. Existierende Lösungen leiden jedoch unter Problemen wie der fehlenden Konfigurierbarkeit für unterschiedliche Umgebungen, der fehlenden Optimierbarkeit (da in der Regel nur bestimmte Inferenzmechanismen anwendbar sind), der fehlenden Wiederverwendbarkeit und Austauschbarkeit von Modellerweiterungsschritten und Analysen, der fehlenden Unterstützung verschiedener Akteure und mehrerer Analysearten wie Bedrohungs-, Schwachstellen-, Konfigurations- und Konformitätsanalysen, sowie der mangelnden technischen Detailtiefe und Komponentenabdeckung, um bestimmte Analysen überhaupt durchführen zu können. Bei der Vorfallreaktion sind die genannten Garantien sogar der Grund für den Mangel an Lösungen, die in industriellen Systemen eingesetzt werden können. Denn der Großteil der automatisierbaren Reaktionen liegt im Gebiet der Abschottung und greift somit garantiegefährdend in das entsprechende System ein. In dieser Dissertation werden die eben aufgezählten Probleme der Sicherheitsanalyse und Vorfallreaktion adressiert. Für die Sicherheitsanalyse wurden Konzepte und Methoden entwickelt, die jedes der aufgezählten Probleme mindern oder lösen. Dafür wird unter anderem eine auf den offenen Standards AutomationML und OPC UA basierende Methode zur Modellierung und Extraktion von Netzwerkinformationen aus Engineering-Werkzeugen, Untersuchungsergebnisse verschiedener Abbildungsstrategien zur Erstellung ontologiebasierter Digitaler Zwillinge, ein Konzept zur Sprachenunabhängigen Modellerzeugung für Netzwerkzugriffskontrollinstanzen und Konzepte und Methoden zur wiederverwendbaren, austauschbaren, automatisierten Modellverarbeitung und Sicherheitsanalyse für mehrere Analysearten vorgestellt. Für diese und damit verbundene Konzepte und Methoden wurde zudem ein konsistentes, auf Separation-of-Concerns basierendes Rahmenwerk für wissensbasierte Sicherheitsanalyselösungen entworfen, prototypisch implementiert und evaluiert. Das Rahmenwerk, die Implementierung und die Ergebnisse der Evaluationen werden ebenfalls in dieser Arbeit vorgestellt. Damit wird die erste Lösung für die zuvor genannten Probleme präsentiert und eine Basis für eine neue Art von kollaborativ verwalt- und optimierbaren Sicherheitsanalysen geschaffen. Des Weiteren wird ein Konzept zur automatisierten Vorfallreaktion auf Basis des Netzwerkparadigmas Software-Defined-Networking (SDN) vorgestellt. Dabei wird ein Ansatz gewählt, der auf vordefinierten Reaktionen auf sicherheitsrelevante Ereignisse basiert und diese über Restriktionen individuell und automatisiert einschränkt. Wobei sich die Restriktionen auf explizit modelliertes Wissen über zu schützende Endgeräte, Netzwerkkomponenten und Verbindungen stützen. Das Konzept nutzt außerdem aus, dass die Netzwerksteuerung durch den SDN-Controller auf detaillierten Daten über die aktuelle Netzwerktopologie verfügt und verwendet die optimierten Algorithmen des SDN-Controllers zur Neukonfiguration. Mit dem Konzept wird ein Ansatz präsentiert, der es erstmals ermöglicht, auch in industriellen Systemen die Vorteile automatisierter Vorfallreaktion, wie die kurze Reaktionszeit und verfügbare Topologiekenntnis, zu nutzen

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Identification and Characterization of Microcin S, a New Antibacterial Peptide Produced by Probiotic Escherichia coli G3/10

Escherichia coli G3/10 is a component of the probiotic drug Symbioflor 2. In an in vitro assay with human intestinal epithelial cells, E. coli G3/10 is capable of suppressing adherence of enteropathogenic E. coli E2348/69. In this study, we demonstrate that a completely novel class II microcin, produced by probiotic E. coli G3/10, is responsible for this behavior. We named this antibacterial peptide microcin S (MccS). Microcin S is coded on a 50.6 kb megaplasmid of E. coli G3/10, which we have completely sequenced and annotated. The microcin S operon is about 4.7 kb in size and is comprised of four genes. Subcloning of the genes and gene fragments followed by gene expression experiments enabled us to functionally characterize all members of this operon, and to clearly identify the nucleotide sequences encoding the microcin itself (mcsS), its transport apparatus and the gene mcsI conferring self immunity against microcin S. Overexpression of cloned mcsI antagonizes MccS activity, thus protecting indicator strain E. coli E2348/69 in the in vitro adherence assay. Moreover, growth of E. coli transformed with a plasmid containing mcsS under control of an araC PBAD activator-promoter is inhibited upon mcsS induction. Our data provide further mechanistic insight into the probiotic behavior of E. coli G3/10

The host response to the probiotic Escherichia coli strain Nissle 1917: Specific up-regulation of the proinflammatory chemokine MCP-1

BACKGROUND: The use of live microorganisms to influence positively the course of intestinal disorders such as infectious diarrhea or chronic inflammatory conditions has recently gained increasing interest as a therapeutic alternative. In vitro and in vivo investigations have demonstrated that probiotic-host eukaryotic cell interactions evoke a large number of responses potentially responsible for the effects of probiotics. The aim of this study was to improve our understanding of the E. coli Nissle 1917-host interaction by analyzing the gene expression pattern initiated by this probiotic in human intestinal epithelial cells. METHODS: Gene expression profiles of Caco-2 cells treated with E. coli Nissle 1917 were analyzed with microarrays. A second human intestinal cell line and also pieces of small intestine from BALB/c mice were used to confirm regulatory data of selected genes by real-time RT-PCR and cytometric bead array (CBA) to detect secretion of corresponding proteins. RESULTS: Whole genome expression analysis revealed 126 genes specifically regulated after treatment of confluent Caco-2 cells with E. coli Nissle 1917. Among others, expression of genes encoding the proinflammatory molecules monocyte chemoattractant protein-1 ligand 2 (MCP-1), macrophage inflammatory protein-2 alpha (MIP-2α) and macrophage inflammatory protein-2 beta (MIP-2β) was increased up to 10 fold. Caco-2 cells cocultured with E. coli Nissle 1917 also secreted high amounts of MCP-1 protein. Elevated levels of MCP-1 and MIP-2α mRNA could be confirmed with Lovo cells. MCP-1 gene expression was also up-regulated in mouse intestinal tissue. CONCLUSION: Thus, probiotic E. coli Nissle 1917 specifically upregulates expression of proinflammatory genes and proteins in human and mouse intestinal epithelial cells

Towards the modelling of complex communication networks in AutomationML

For several decades production systems were considered as closed and decoupled units, where information and network security has not been an issue. This is changing rapidly, since in the age of smart factories, production systems and office IT are growing together so as to transform entire value chains into interconnected distributed systems. By this means, production systems inherit the security challenges of office IT networks connected over the Internet. Therefore and as they tend to be operated for a much longer period of time, a prospective design of security mechanisms is mandatory. For some time, the design process of production systems gets modernised by the Automation Markup Language (AutomationML, IEC 62714). AutomationML incorporates formats of all engineering phases of production systems, thus allowing engineers to model production systems on various levels of abstraction. The language also provides building blocks for modelling the network infrastructure, which are presented in the AutomationML Communication whitepaper. However, the level of detail that can be captured is currently not sufficient for modelling most network protocols and therefore any network security concept. Therefore, we propose an extension to the AutomationML Communication whitepaper and its best practice recommendations, which allows us to model networks according to the established ISO/OSI model. Using this extension we show that concepts like network separation can be modelled and validated

Towards Computer-Aided Security Life Cycle Management for Critical Industrial Control Systems

Critical infrastructure experienced a transformation from isolated towards highly (inter-)connected systems. This development introduced a variety of new cyber threats, causing high financial damage, threatening lives and affecting the society. Known examples are Stuxnet, WannaCry and the attacks on the Ukrainian power grid. To prevent such attacks, it is indispensable to properly design, assess and maintain countermeasures and security strategies throughout the whole life cycle of the critical systems. For this, security has to be considered and assessed for every system design and redesign. However, common assessment tools and methodologies are not executed on a detailed system knowledge and therefore they are enhanced with penetration tests. Unfortunately, performing only abstract assessments is inadequate and penetration tests endanger the availability of the tested systems. Therefore, the latter cannot be performed on live systems executing critical processes. In this paper, we address these issues for Industrial Control Systems and explain how new concepts for continuous security-by-design or model-based system monitoring and automated vulnerability assessments can resolve them by exploiting new Industry 4.0 developments

The Industrie 4.0 Asset Administration Shell as Information Source for Security Analysis

One of the essential concepts of the Reference Architecture Model Industrie 4.0 (RAMI4.0) is the uniform modelling of assets by means of a common meta-data model called the Asset Administration Shell (AAS). However, important practical experience with this concept is still missing, as not many use cases for the AAS have yet been implemented. Thus, practical issues within the AAS concept and respective solutions are hard to identify. In this paper, presents our experience with the implementation of an AAS use case. The AAS is used as information source to create an ontology, which is then used for security analysis. The paper discusses the use-case specific modelling language selection and provides a practical examination of several of our implementations that use OWL and OPC UA together. Furthermore, it provides recommendations for the implementation of Asset Administration Shells for this and similar use cases

Review Of Combat Identification Training: Technologies, Metrics, And Individual Differences

Combat identification (CID) has been studied throughout the 20th and into the 21st century, with a renewed interest in the topic in the past few decades. CID research has demonstrated that an emerging set of technologies could potentially mitigate some of the negative battlefield outcomes of failures in CID, including high rates of fratricide due to friendly fire. This paper discusses major CID research and provides an update on previous CID research by the authors. We review training technologies, effective measurement tools in this research, and important individual differences to consider for others researching training outcomes in relation to learning to differentiate between highly similar combat vehicles