Cybersäkerhet några utmaningar. Teodor Sommestad, Doktor, Förste forskare Informationssäkerhet & IT-arkitektur Linköping

Relevanta dokument
Cyberförsvarsförmåga genom tekniska cyberförsvarsövningar

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Säkra trådlösa nät - praktiska råd och erfarenheter

Informationssäkerhetskultur forskningsprogrammet SECURIT. Jonas Hallberg

Publika angreppskoder och intrångssignaturer

Övning och experiment för operativ förmåga i cybermiljön

Detektering av IT-attacker

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Teknisk testning för otekniska testare

Locum AB. Anders Gidrup säkerhetschef Locum AB

E-förvaltning som verkligen gör en skillnad. Karl-Oskar Brännström. Just SUCCEED WITH US!

Säkerhet vid konvergens av nät

KRITISK INFRASTRUKTUR OCH CYBERSÄKERHET

Kognitiv psykologi. Vad är psykologi? Psykologi som vetenskap. Vetenskapliga grunder och metoder

File Carving. Obduktion av lagringsmedia. 17 maj 2018 Martin Karresand Informationssäkerhet och IT-arkitektur

Kunskap = sann, berättigad tro (Platon) Om en person P s har en bit kunskap K så måste alltså: Lite kunskaps- och vetenskapsteori

Utvärdering av gränssnitt särskilt befintliga. Hur utvecklar man användbara system? Användbarhet handlar om kvalitet

Nätsäkerhetsverktyg utöver kryptobaserade metoder

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS,

KRAFTFULLA, SKALBARA SÅRBAR- HETSANALYSER. F-Secure Radar

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Erfarenheter av eduroam införande. Michael Lööw

Djuretik. Vetenskap, politik, strategi. moralfrågan. Indirekta vs direkta skäl

Variabler av vikt för förmågan att analysera cybersäkerhetsloggar TEODOR SOMMESTAD OCH HANNES HOLM

Undervisningen i ämnet webbutveckling ska ge eleverna förutsättningar att utveckla följande:

CIO och Chef för Cyberförsvarsfrågor i FM Generalmajor. Fredrik

Cyber security Intrångsgranskning. Danderyds kommun

Matematikens grundvalar och programmering av datorer

DIG IN TO Nätverkssäkerhet

Social Engineering - människan som riskfaktor

F6 Exchange EC Utbildning AB

Forskning för ett säkrare samhälle

Enkät om informations- och cybersäkerhet i Finlands kommuner 2015 Välkommen att svara på enkäten!

Datorrepresentation av vårdriktlinjer

Vad händer med dina kortuppgifter?

EBITS Elförsörjningen i Cyberkriget. Långholmen november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet

Mälardalens högskola

Forskningsprogrammet SECURIT. Security Culture and Information Technology. Jonas Hallberg, FOI. Foto: istockphoto.

Tillämpad experimentalpsykologi [2] Tillämpad experimentalpsykologi [1] Empirisk forskningsansats. Tillämpad experimentalpsykologi [3] Variabler

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Installationsguide för Nimbus Alarm Server

Vägen till en modern. integrations plattform

Säkerhet ur ett testperspektiv

Datorövning 1: Fördelningar

SCADA. Supervisory Control And Data Acquisition. Fritt översatt: Övervakning, styrning och datainsamling

Assessing GIS effects on professionals collaboration processes in an emergency response task

Målet för D2 är att studenterna ska kunna följande: Dra slumptal från olika sannolikhetsfördelningar med hjälp av SAS

Tillämpad experimentalpsykologi [2] Tillämpad experimentalpsykologi [1] Tillämpad experimentalpsykologi [3] Empirisk forskningsansats

KAP 18 SQL SERVER AGENT

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

2D vs 3D? Nya gränssnitt för processindustrins kontrollrum En pilotstudie

information - kunskap - vetenskap - etik

Användarmanual för Pagero Kryptering

för att komma fram till resultat och slutsatser

LEX INSTRUKTION LEX LDAP

Digital Runway Incursion Warning System DRIWS

ISA Informationssäkerhetsavdelningen

Installationsguide för Nimbus Alarm Server

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

Trådlösa nätverk, 7.5 hp. Trådlösa nätverk, 7.5 hp. Torstensson, IDE

Övningshäfte 1: Logik och matematikens språk

Betygskriterier. NS2019, Svenska II, 30 hp. Förväntade studieresultat För godkänt resultat på delkursen ska studenten kunna visa:

Målet för D3 är att studenterna ska kunna följande: Dra slumptal från olika sannolikhetsfördelningar med hjälp av SAS

Evidens = Bevis Bengt-Åke Armelius

Resiliens i en förändrad omvärld

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Windows Server containers och Hyper-V containers

Användarmanual För Lansen Larm- och Miljösystem. Utgåva DA

PACOM UNISON SECURITY MANAGEMENT MADE EASY

STATISTISK POWER OCH STICKPROVSDIMENSIONERING

Spelutveckling Spelbalans. Design och produktion

STYRKAN I ENKELHETEN. Business Suite

Total överblick med webbaserad larmservicecentral.

Erica Schytt. Barnmorska Föreståndare för Centrum för klinisk forskning Dalarna Docent Karolinska Institutet Professor Høgskulen på Vestlandet

Trådlösa nätverk, 7.5 hp. Trådlösa nätverk, 7.5 hp. Olga Torstensson, IDE

Datateknik GR (A), IT-forensik, 7,5 hp

Trimble Communication Network Release notes Page 1

Hur hanterar du säkerhetsincidenter du inte vet om?

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Säker programmering - Java

Årsrapport Itincidentrapportering

Prototypbaserad Inkrementell Diagnos. Anders Holst SICS, Swedish Institute of Computer Science AB

Pass 2: Datahantering och datahanteringsplaner

9 Lägesförståelse i informationssamhället

Föreläsning 2: Datainsamling - Observation, enkät, intervju. Att läsa: Kapitel 2 och 3 i Stone et al.: User Interface design and evaluation

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser

Föreläsning 2: Datainsamling - Observation, enkät, intervju. Att läsa: Kapitel 7 i Rogers et al.: Interaction design

Enkel hantering även för en ovan användare. maximal produktivitet spar tid och kostnader. professionell, utför försändelser av högsta kvalitet

Intrångstester SIG Security, 28 oktober 2014

Kvalitetssäkring av nätverk och iptelefoni för operatörer och tjänsteleverantörer

SÄKRA DIN VERKSAMHET OAVSETT VAR DEN TAR DIG. Protection Service for Business

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Checklista IT Artvise Kundtjänst

Towards Blocking---resistant Communication on the Internet

Li#eratur och empiriska studier kap 12, Rienecker & Jørgensson kap 8-9, 11-12, Robson STEFAN HRASTINSKI STEFANHR@KTH.SE

Å tgä rdsfö rsläg. Angrepp via tjänsteleverantörer. Sammanfattning. Innehåll

ARX på Windows Vista, Windows 7 eller Windows 2008 server

1DV416 Windowsadministration I, 7.5hp MODULE 4 GROUP POLICY, STORAGE AND ACCESS CONTROLS GROUP POLICY

Säkerhetsbrister & intrång

Transkript:

Cybersäkerhet några utmaningar Teodor Sommestad, Doktor, Förste forskare Informationssäkerhet & IT-arkitektur Linköping

Cybersäkerhet: En omogen disciplin Empirisk data är ovanligt, observationer i det vilda är av tveksamt värde och experiment med god validitet är ovanliga i litteraturen. Många viktiga storheter är okända, t.ex. hur väl olika detektionsmetoder fungerar. Design av nya lösningar för aktuella problem dominerar disciplinen. Ordet teori används sällan. Riskreduktion Maximal riskreduktion Investering

Olika typer av utmaningar Om man korrelerar enskilda händelser mot processmodeller för angrepp borde man kunna förstå vad som händer i nätet System av system Jag har ett SIEM-system som jag kan korrelera loggar i. Titta vad fint! State-of-the-art State-of-practice Med mitt språk för att beskriva sårbarheters semantik genom dataflöden kan jag generera signaturer som är bättre än signaturer baserade på attackkoder... Komponenter Jag har skrivit tre signaturer för sårbarheterna vi hittade i Siemens Step 7. Varsågod!

Exemplet intrångsdetektion: Forskning vs Praxis Akademisk forskning Fokuserar nästan enbart på så kallad anomalidetektion som ska märka avvikelser från det normala/goda. Fokuserar nästan uteslutande på den matematik och modeller som byggs in i detektionslösningen. Slutsatser dras från tester på DARPA:s dataset från 1999 som är från en simulerad miljö. Det är känt sedan 2002 att datasetet inte är representativt. Praxis Använder signaturbaserade lösningar som letar efter kända tecken på missbruk eller angrepp. Systemadministratören har en viktig roll. Hen både konfigurerar lösningar och analyserar de larm som kommer för att identifiera hot. Övervakar system av olika typer i olika typer av miljöer och mot olika typer av hot. Och ganska sällan angrepp på Windows 95-maskiner

Komponentnivå: ofta rättfram & enkelt Tekniker för att skriva/generera signaturer för intrångsdetektion. Hur många falsklarm och korrekta larm skapas för syntetisk testdata? Blir signaturerna bättre med metod A än metod B? Göra sårbarhetsbedömningar och tekniker för kodverifiering. Hur skulle man bedömt den öppen källkod som producerades för nåt år sedan och som vi nu har ett svar för?

System-av-system-nivå: cyber ranges Konfigurationsverktyg Administrationsnät Command & control server Inspel, övervakning & loggning Gamenät Upp till 2048 VLAN Forskning och tester, ofta i samband med övningar: Skapa realistiska situationer, men med loggning av alla händelser. Testa metoder för att bedöma nätverkssäkerhet. T.ex. analys av angrepp i flera steg. ~800 maskiner

Test 1: Nyttan med en operatör Från en övning 2011 samlades data om: Angriparnas aktiviteter Alarm från IDS-systemet Alarm från IDS-systemets operatör Skript skapade bakgrundstrafik enligt samma användningsmönster som riktiga datoranvändare (på FOI, Universitet, etc.). I efterhand kunde alarm markerats som korrekta eller felaktiga. IDS Admin Alarm skapade 2107 70 Recall P(Alarm=Ja Attack=Nej) 69% 58% Precision P(Attack=Ja Alarm=Ja) 11% 57% Administratörens alarm är 5 grr mer precisa. Administratören använde kunskap om: Datornätverket Generell kunskap om säkerhet och IDS:er Kunskap om hotbilden Sommestad & Hunstad, Intrusion Detection and the Role of the System Administrator, Information & Computer Security 21 (1): 30 40, 2012.

Test 2: Korrelera larm med systeminformation Liknande test som innan, men med data från 2012 med mer komplex miljö. Administratörens resonemang om falsklarm automatiseras genom att korrelera larm mot: Systemets arkitektur och tjänster Kända sårbarheter i systemet Gick åt skogen! Inget av de 18 filtren eller någon kombination av dem presterar bra. Sommestad & Franke, A test of intrusion alert filtering based on network information, Security and Communication Networks, 8(3), 2291 2301, 2015.

Test 3: Korrelera larm med en attackmodell SnIPS är en av få existerande lösningar för att resonera som en operatör. Gissar om en maskin blivit komprometterad baserat på: 1. Skanningar mot den 2. Angrepp mot den 3. Skanningar från den 4. Angrepp från den Ger en skattning av hur säker man kan vara på att maskinen blivit komprometterad. Ger ett en intuitiv lösning för att höja relevansen i alarmen, men till kostnad av andelen upptäckta komprometteringar. Konfidensvärdena stämmer inte med vår data Sommestad, T. & Holm, H., Alert verification through alert correlation an empirical test of SnIPS, forthcoming

Utmaningar: Mer rigorös kunskap Skaffa tid och resurser att testa om metoder/idéer funkar. Skapa incitament för forskare, utvecklare och praktiker att bevisa sina förslags braighet. Hantera hemlighetsaspekten, som inte finns inom exempelvis medicin.