A statistical framework to evaluate the "diversity" impact against Advanced Persistent Threat Stuxnet-like
1. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
tesi di laurea
relatore
Ch.mo prof. Domenico Cotroneo
Correlatore
Ing. Antonio Pecchia
Candidato
Davide Cioccia
Matr. M63/122
Impatto della diversity sulla protezione di infrastrutture critiche: un
framework di valutazione
Anno Accademico 2012/2013
2. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Now we're living in the era of cyber weapons.
The world is different.
Not just cyber hooligans ,vandals .
Not just criminals.
But government are in the game and I'm afraid for the worst.
I'm still expecting cyber terrorism.
Eugene Kaspersky
3. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Contesto e Contributo
① Cambiamento radicale target malware: da semplici PC a sistemi critici
② Difficoltà nella protezione di questi sistemi
• Architetture general purpose (PC,Router)
• Sistemi legacy
• Connettività esterna
• Budget medio stanziato dalle imprese per la sicurezza dei sistemi: 2%
③ Danni catastrofici
• Esplosioni centrali
• Perdita di vite umane
• Tensioni diplomatiche
① Analisi architettura di sistemi SCADA e comportamento del VIRUS
per la creazione di un framework
② Ricerca punti critici dell’architettura su cui valutare l’impatto della
diversity
③ Abbattimento della probabilità di successo di un attacco tramite
diversity
Contesto
Contributo
4. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Sistemi SCADA
Architettura semplificata per il modello
Nodi individuati:
• OS (Operator Station)
• ES (Engineering Station)
• PLC
• DB (Database)
Reti individuate
• Enterprise Network
• Control Network
Forte interconnessione tra settori diversi
• Grande impatto di un cyber-attack
Architettura generale di un sistema SCADA
• HMI
• Diagnostica
• Controller
• Sensori,Attuatori
5. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Caso di studio: “Stuxnet”
Infezione Installazione
Ricerca ES
??
Update C&C &
P2P
Diffusione
Check su hardware
Escalation Privilege
Check su S.O.
Control Net
Infezione del PLC
Flusso di esecuzione
Trasferimento dati da e verso il
C&C Server
6. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Metodologia proposta
• Analisi dell’architettura
di sistemi SCADA
• Analisi del
comportamento di un
malware di nuova
generazione(Stuxnet)
• Creazione modello di
simulazione attacco
tramite reti SAN (tool
Mobius)
Creazione
del modello
• Esperimenti sul modello
• Sensitivity Analysis
• Metriche valutate:
• Probabilità di successo di un
attacco Stuxnet-like
• Tempo di compromissione
della mission del sistema
• ANOVA sui risultati per
individuare in quali punti la
diversity ha impatto maggiore
Capire dove
fare diversity
• Esperimenti in presenza
di diversity con diverse
configurazioni
• Analisi delle metriche
valutate nei diversi casi
Risultati
7. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Modelli 1/2
Timed Activity λ Probabilità TTS
Removable_Media 5.79e-6 0.8 2 giorni
Network_Shares 1.39e-4 0.8 2 ore
Print_Server 9.25e-5 0.8 3 ore
Service_Server_RPC 2.77e-4 0.8 1 ore
Database_Vuln 2.77e-4 0.5 1 ore
RestorePC 8.36e-7 0.2 1 mese
Server_Attack 5.79e-6 0.5 2 giorni
Install Remote Server 2.77e-4 0.8 1 ora
InfectOtherUsb 5.79e-6 1 2 giorni
OpenFileProject 1.16e-5 0.5 1 giorno
DataTransfereUpdate 5.79e-6 1 2 giorni
Operator Station
Engineering Station
Timed Activity λ Probabilità TTS
InsertUSB
7.7e-7 (0.2+(USB_Infection-
>Mark()*0.08))
15 giorni
DatabaseVuln 7.7e-7 1(0.2+(Project_Infected-
>Mark()*0.08))
15 giorni
Escalation_Privilege 0 0.7 0
Installing_Rootkit 0 0.8 0
FirewallRouterPermission 0 0.4 0
RestorePC 8.36e-7 0.2
Install Remote Server
5.79e-6 (0.3+(UpdateOK-
>Mark()*0.1))
2 giorni
InfectOtherUsb 5.79e-6 0.8 2 giorni
OpenProject 5.79e-6 1 2 giorni
DataTransferAndUpdate 5.79e-6 1 2 giorni
8. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Modelli 2/2
Timed Activity λ Probabilità TTS
Recording 3.86E-7 1 1 mese
Two_H_Timer 1.39E-4 1 2 ore
Sending Frames 3.33E-4 1 50 min
IA1 Istantanea 0.8 0
Five_h_TImer 5.55E-5 1 5 ore
PLC
9. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Simulazione
Modello di simulazione
• 6 Operator Station
• 1 Database
• 4 Engineering Station
Simulazione
Tempo:12 mesi
Valore calcolato:Probabilità di
successo di un attacco
10. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Sensitivity Analysis e ANOVA
Label Probabilità
L 0.25
M 0.5
H 0.8
Activity sottoposte ad analisi:
• Escalation Privilege
• Restore PC
• Firewall&Router Permission
• OpenFileProject,InfectUsb
• Server Attack
Valutazione di due fattori:
• Probabilità successo di un attacco Stuxnet-like
• Differenza temporale tra due esperimenti per
raggiungere lo stesso valore di probabilità.
ANOVA
Fattori significativi:
• Escalation Privilege
• Server Attack
• OpenProject & InfectUsb
Probabilitàdisuccesso
Tempo(mesi)
11. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Esperimenti con diversity 1/2
%Host %Engineering Station
33% 25%
50% 50%
80% 75%
Enterprise Network: poche variazioni Control Network: variazione più consistente
• Fattore valutato: Escalation Privilege
• Abbattimento probabilità di successo di un attacco
Stuxnet-like se si applica diversity nella Control Net
• Basso impatto sulla Enterprise Net
• Aumento tempo di compromissione mission
del sistema di 3 mesi
12. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Esperimenti con diversity 2/2
%Host %Engineering
Station
33% 25%
33% 50%
33% 80%
50% 25%
50% 50%
80% 50%
• Variazione % componenti con diversity e analisi della probabilità di compromissione
del sistema
• Buoni risultati già con 50% di diversity (probabilità=0.28)
13. Impatto della diversity sulla protezione di infrastrutture critiche:
un framework di valutazione
Facoltà di Ingegneria
Corso di Studi in Ingegneria Informatica
Conclusioni
Risultati
Sviluppi futuri
Testing del modello su architettura reale (SCOPE)
Utilizzo del modello su architetture di larga scala
Diversity all’interno della Control Network
Fattori determinanti:
o O.S. (Escalation Privilege, Patch USB)
o Architettura Hadware (Processore)
Costi ridotti se si investe solo su alcune macchine della Control
Network (50%)
Fattori poco determinanti: Firewall,Router,Protezione Database
Aumento temporale consistente ed abbassamento probabilità di
successo attacco