SlideShare une entreprise Scribd logo

A statistical framework to evaluate the "diversity" impact against Advanced Persistent Threat Stuxnet-like

Davide Cioccia
Davide Cioccia
Internet
1  sur  13
Télécharger pour lire hors ligne
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica tesi di laurea relatore Ch.mo prof. Domenico Cotroneo Correlatore Ing. Antonio Pecchia Candidato Davide Cioccia Matr. M63/122 Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Anno Accademico 2012/2013
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Now we're living in the era of cyber weapons. The world is different. Not just cyber hooligans ,vandals . Not just criminals. But government are in the game and I'm afraid for the worst. I'm still expecting cyber terrorism. Eugene Kaspersky
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Contesto e Contributo ① Cambiamento radicale target malware: da semplici PC a sistemi critici ② Difficoltà nella protezione di questi sistemi • Architetture general purpose (PC,Router) • Sistemi legacy • Connettività esterna • Budget medio stanziato dalle imprese per la sicurezza dei sistemi: 2% ③ Danni catastrofici • Esplosioni centrali • Perdita di vite umane • Tensioni diplomatiche ① Analisi architettura di sistemi SCADA e comportamento del VIRUS per la creazione di un framework ② Ricerca punti critici dell’architettura su cui valutare l’impatto della diversity ③ Abbattimento della probabilità di successo di un attacco tramite diversity Contesto Contributo
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Sistemi SCADA Architettura semplificata per il modello Nodi individuati: • OS (Operator Station) • ES (Engineering Station) • PLC • DB (Database) Reti individuate • Enterprise Network • Control Network Forte interconnessione tra settori diversi • Grande impatto di un cyber-attack Architettura generale di un sistema SCADA • HMI • Diagnostica • Controller • Sensori,Attuatori
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Caso di studio: “Stuxnet” Infezione Installazione Ricerca ES ?? Update C&C & P2P Diffusione  Check su hardware  Escalation Privilege  Check su S.O. Control Net Infezione del PLC Flusso di esecuzione Trasferimento dati da e verso il C&C Server
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Metodologia proposta • Analisi dell’architettura di sistemi SCADA • Analisi del comportamento di un malware di nuova generazione(Stuxnet) • Creazione modello di simulazione attacco tramite reti SAN (tool Mobius) Creazione del modello • Esperimenti sul modello • Sensitivity Analysis • Metriche valutate: • Probabilità di successo di un attacco Stuxnet-like • Tempo di compromissione della mission del sistema • ANOVA sui risultati per individuare in quali punti la diversity ha impatto maggiore Capire dove fare diversity • Esperimenti in presenza di diversity con diverse configurazioni • Analisi delle metriche valutate nei diversi casi Risultati
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Modelli 1/2 Timed Activity λ Probabilità TTS Removable_Media 5.79e-6 0.8 2 giorni Network_Shares 1.39e-4 0.8 2 ore Print_Server 9.25e-5 0.8 3 ore Service_Server_RPC 2.77e-4 0.8 1 ore Database_Vuln 2.77e-4 0.5 1 ore RestorePC 8.36e-7 0.2 1 mese Server_Attack 5.79e-6 0.5 2 giorni Install Remote Server 2.77e-4 0.8 1 ora InfectOtherUsb 5.79e-6 1 2 giorni OpenFileProject 1.16e-5 0.5 1 giorno DataTransfereUpdate 5.79e-6 1 2 giorni Operator Station Engineering Station Timed Activity λ Probabilità TTS InsertUSB 7.7e-7 (0.2+(USB_Infection- >Mark()*0.08)) 15 giorni DatabaseVuln 7.7e-7 1(0.2+(Project_Infected- >Mark()*0.08)) 15 giorni Escalation_Privilege 0 0.7 0 Installing_Rootkit 0 0.8 0 FirewallRouterPermission 0 0.4 0 RestorePC 8.36e-7 0.2 Install Remote Server 5.79e-6 (0.3+(UpdateOK- >Mark()*0.1)) 2 giorni InfectOtherUsb 5.79e-6 0.8 2 giorni OpenProject 5.79e-6 1 2 giorni DataTransferAndUpdate 5.79e-6 1 2 giorni
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Modelli 2/2 Timed Activity λ Probabilità TTS Recording 3.86E-7 1 1 mese Two_H_Timer 1.39E-4 1 2 ore Sending Frames 3.33E-4 1 50 min IA1 Istantanea 0.8 0 Five_h_TImer 5.55E-5 1 5 ore PLC
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Simulazione Modello di simulazione • 6 Operator Station • 1 Database • 4 Engineering Station Simulazione Tempo:12 mesi Valore calcolato:Probabilità di successo di un attacco
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Sensitivity Analysis e ANOVA Label Probabilità L 0.25 M 0.5 H 0.8 Activity sottoposte ad analisi: • Escalation Privilege • Restore PC • Firewall&Router Permission • OpenFileProject,InfectUsb • Server Attack Valutazione di due fattori: • Probabilità successo di un attacco Stuxnet-like • Differenza temporale tra due esperimenti per raggiungere lo stesso valore di probabilità. ANOVA Fattori significativi: • Escalation Privilege • Server Attack • OpenProject & InfectUsb Probabilitàdisuccesso Tempo(mesi)
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Esperimenti con diversity 1/2 %Host %Engineering Station 33% 25% 50% 50% 80% 75% Enterprise Network: poche variazioni Control Network: variazione più consistente • Fattore valutato: Escalation Privilege • Abbattimento probabilità di successo di un attacco Stuxnet-like se si applica diversity nella Control Net • Basso impatto sulla Enterprise Net • Aumento tempo di compromissione mission del sistema di 3 mesi
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Esperimenti con diversity 2/2 %Host %Engineering Station 33% 25% 33% 50% 33% 80% 50% 25% 50% 50% 80% 50% • Variazione % componenti con diversity e analisi della probabilità di compromissione del sistema • Buoni risultati già con 50% di diversity (probabilità=0.28)
Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Conclusioni Risultati Sviluppi futuri  Testing del modello su architettura reale (SCOPE)  Utilizzo del modello su architetture di larga scala  Diversity all’interno della Control Network  Fattori determinanti: o O.S. (Escalation Privilege, Patch USB) o Architettura Hadware (Processore)  Costi ridotti se si investe solo su alcune macchine della Control Network (50%)  Fattori poco determinanti: Firewall,Router,Protezione Database  Aumento temporale consistente ed abbassamento probabilità di successo attacco

Recommandé

CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hatwalk2talk srl
 
Nessus
NessusNessus
NessusFrancesco Taurino
 
Advanced Persistent Threats: Reality or Myth
Advanced Persistent Threats: Reality or MythAdvanced Persistent Threats: Reality or Myth
Advanced Persistent Threats: Reality or MythRahul Mohandas
 
Windows Mobile 6.5: Client for a multimedia conferencing platform
Windows Mobile 6.5: Client for a multimedia conferencing platform Windows Mobile 6.5: Client for a multimedia conferencing platform
Windows Mobile 6.5: Client for a multimedia conferencing platform Davide Cioccia
 
Nfn diy workshop
Nfn diy workshopNfn diy workshop
Nfn diy workshopAdm Pages
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiProject Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiEnzo M. Tieghi
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
 
Smart grid 4 novembre
Smart grid 4 novembreSmart grid 4 novembre
Smart grid 4 novembrecanaleenergia
 

Recommandé

CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hatwalk2talk srl
 
Nessus
NessusNessus
NessusFrancesco Taurino
 
Advanced Persistent Threats: Reality or Myth
Advanced Persistent Threats: Reality or MythAdvanced Persistent Threats: Reality or Myth
Advanced Persistent Threats: Reality or MythRahul Mohandas
 
Windows Mobile 6.5: Client for a multimedia conferencing platform
Windows Mobile 6.5: Client for a multimedia conferencing platform Windows Mobile 6.5: Client for a multimedia conferencing platform
Windows Mobile 6.5: Client for a multimedia conferencing platform Davide Cioccia
 
Nfn diy workshop
Nfn diy workshopNfn diy workshop
Nfn diy workshopAdm Pages
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiProject Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiEnzo M. Tieghi
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
 
Smart grid 4 novembre
Smart grid 4 novembreSmart grid 4 novembre
Smart grid 4 novembrecanaleenergia
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 
Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...
Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...
Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...Giovanni Ciandrini
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeCONFINDUSTRIA TOSCANA NORD
 
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!DotNetCampus
 
Signal r to the-max
Signal r to the-maxSignal r to the-max
Signal r to the-maxDotNetCampus
 
Del furia signalr-to-the-max
Del furia signalr-to-the-maxDel furia signalr-to-the-max
Del furia signalr-to-the-maxDotNetCampus
 
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...walk2talk srl
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"DanieleMaijnelli
 
La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4Gianmarco Beato
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingfrancesco pesare
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA SecurityEnzo M. Tieghi
 
IENA
IENAIENA
IENACe.Se.N.A. Security
 
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0 Antonio Capobianco
 
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...Alessandro Umek
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Sardegna Ricerche
 
03 sicurezza per i sistemi scada
03 sicurezza per i sistemi scada03 sicurezza per i sistemi scada
03 sicurezza per i sistemi scadaIBM Italia Web Team
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
Avoiding GraphQL insecurities with OWASP SKF - OWASP HU meetup
Avoiding GraphQL insecurities with OWASP SKF - OWASP HU meetupAvoiding GraphQL insecurities with OWASP SKF - OWASP HU meetup
Avoiding GraphQL insecurities with OWASP SKF - OWASP HU meetupDavide Cioccia
 
Attacking and defending GraphQL applications: a hands-on approach
Attacking and defending GraphQL applications: a hands-on approach Attacking and defending GraphQL applications: a hands-on approach
Attacking and defending GraphQL applications: a hands-on approachDavide Cioccia
 

Contenu connexe

Similaire à A statistical framework to evaluate the "diversity" impact against Advanced Persistent Threat Stuxnet-like

Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...
Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...
Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...Giovanni Ciandrini
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeCONFINDUSTRIA TOSCANA NORD
 
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!DotNetCampus
 
Signal r to the-max
Signal r to the-maxSignal r to the-max
Signal r to the-maxDotNetCampus
 
Del furia signalr-to-the-max
Del furia signalr-to-the-maxDel furia signalr-to-the-max
Del furia signalr-to-the-maxDotNetCampus
 
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...walk2talk srl
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"DanieleMaijnelli
 
La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4Gianmarco Beato
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingfrancesco pesare
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA SecurityEnzo M. Tieghi
 
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...Alessandro Umek
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Sardegna Ricerche
 
03 sicurezza per i sistemi scada
03 sicurezza per i sistemi scada03 sicurezza per i sistemi scada
03 sicurezza per i sistemi scadaIBM Italia Web Team
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 

Similaire à A statistical framework to evaluate the "diversity" impact against Advanced Persistent Threat Stuxnet-like (20)

Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...
Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...
Progettazione e Realizzazione di un sistema di sicurezza in ambiente IoT con ...
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
 
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
 
Signal r to the-max
Signal r to the-maxSignal r to the-max
Signal r to the-max
 
Del furia signalr-to-the-max
Del furia signalr-to-the-maxDel furia signalr-to-the-max
Del furia signalr-to-the-max
 
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
 
La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computing
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
 
IENA
IENAIENA
IENA
 
Sentinet3 ver4.0
Sentinet3 ver4.0 Sentinet3 ver4.0
Sentinet3 ver4.0
 
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
Integrazione e sviluppo di una piattaforma per la gestione delle conformità a...
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
 
03 sicurezza per i sistemi scada
03 sicurezza per i sistemi scada03 sicurezza per i sistemi scada
03 sicurezza per i sistemi scada
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
 

Plus de Davide Cioccia

Avoiding GraphQL insecurities with OWASP SKF - OWASP HU meetup
Avoiding GraphQL insecurities with OWASP SKF - OWASP HU meetupAvoiding GraphQL insecurities with OWASP SKF - OWASP HU meetup
Avoiding GraphQL insecurities with OWASP SKF - OWASP HU meetupDavide Cioccia
 
Attacking and defending GraphQL applications: a hands-on approach
Attacking and defending GraphQL applications: a hands-on approach Attacking and defending GraphQL applications: a hands-on approach
Attacking and defending GraphQL applications: a hands-on approachDavide Cioccia
 
DevSecCon Boston2018 - advanced mobile security automation with bdd
DevSecCon Boston2018 - advanced mobile security automation with bddDevSecCon Boston2018 - advanced mobile security automation with bdd
DevSecCon Boston2018 - advanced mobile security automation with bddDavide Cioccia
 
Black Hat Europe 2018 Arsenal Tools - Squatm3
Black Hat Europe 2018 Arsenal Tools - Squatm3Black Hat Europe 2018 Arsenal Tools - Squatm3
Black Hat Europe 2018 Arsenal Tools - Squatm3Davide Cioccia
 
BH ASIA 2019 Arsenal Tools - Squatm3 and Squatm3gator
BH ASIA 2019 Arsenal Tools - Squatm3 and Squatm3gatorBH ASIA 2019 Arsenal Tools - Squatm3 and Squatm3gator
BH ASIA 2019 Arsenal Tools - Squatm3 and Squatm3gatorDavide Cioccia
 
BDD Mobile Security Testing (OWASP AppSec Bucharest 2017)
BDD Mobile Security Testing (OWASP AppSec Bucharest 2017)BDD Mobile Security Testing (OWASP AppSec Bucharest 2017)
BDD Mobile Security Testing (OWASP AppSec Bucharest 2017)Davide Cioccia
 
NAS Botnet Revealed - Mining Bitcoin
NAS Botnet Revealed - Mining Bitcoin NAS Botnet Revealed - Mining Bitcoin
NAS Botnet Revealed - Mining Bitcoin Davide Cioccia
 
Inside TorrentLocker (Cryptolocker) Malware C&C Server
Inside TorrentLocker (Cryptolocker) Malware C&C Server Inside TorrentLocker (Cryptolocker) Malware C&C Server
Inside TorrentLocker (Cryptolocker) Malware C&C Server Davide Cioccia
 

Plus de Davide Cioccia (9)

Avoiding GraphQL insecurities with OWASP SKF - OWASP HU meetup
Avoiding GraphQL insecurities with OWASP SKF - OWASP HU meetupAvoiding GraphQL insecurities with OWASP SKF - OWASP HU meetup
Avoiding GraphQL insecurities with OWASP SKF - OWASP HU meetup
 
Attacking and defending GraphQL applications: a hands-on approach
Attacking and defending GraphQL applications: a hands-on approach Attacking and defending GraphQL applications: a hands-on approach
Attacking and defending GraphQL applications: a hands-on approach
 
DevSecCon Boston2018 - advanced mobile security automation with bdd
DevSecCon Boston2018 - advanced mobile security automation with bddDevSecCon Boston2018 - advanced mobile security automation with bdd
DevSecCon Boston2018 - advanced mobile security automation with bdd
 
Black Hat Europe 2018 Arsenal Tools - Squatm3
Black Hat Europe 2018 Arsenal Tools - Squatm3Black Hat Europe 2018 Arsenal Tools - Squatm3
Black Hat Europe 2018 Arsenal Tools - Squatm3
 
BH ASIA 2019 Arsenal Tools - Squatm3 and Squatm3gator
BH ASIA 2019 Arsenal Tools - Squatm3 and Squatm3gatorBH ASIA 2019 Arsenal Tools - Squatm3 and Squatm3gator
BH ASIA 2019 Arsenal Tools - Squatm3 and Squatm3gator
 
BDD Mobile Security Testing (OWASP AppSec Bucharest 2017)
BDD Mobile Security Testing (OWASP AppSec Bucharest 2017)BDD Mobile Security Testing (OWASP AppSec Bucharest 2017)
BDD Mobile Security Testing (OWASP AppSec Bucharest 2017)
 
NAS Botnet Revealed - Mining Bitcoin
NAS Botnet Revealed - Mining Bitcoin NAS Botnet Revealed - Mining Bitcoin
NAS Botnet Revealed - Mining Bitcoin
 
Inside TorrentLocker (Cryptolocker) Malware C&C Server
Inside TorrentLocker (Cryptolocker) Malware C&C Server Inside TorrentLocker (Cryptolocker) Malware C&C Server
Inside TorrentLocker (Cryptolocker) Malware C&C Server
 
One shot eight banks
One shot eight banksOne shot eight banks
One shot eight banks
 

A statistical framework to evaluate the "diversity" impact against Advanced Persistent Threat Stuxnet-like

  • 1. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica tesi di laurea relatore Ch.mo prof. Domenico Cotroneo Correlatore Ing. Antonio Pecchia Candidato Davide Cioccia Matr. M63/122 Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Anno Accademico 2012/2013
  • 2. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Now we're living in the era of cyber weapons. The world is different. Not just cyber hooligans ,vandals . Not just criminals. But government are in the game and I'm afraid for the worst. I'm still expecting cyber terrorism. Eugene Kaspersky
  • 3. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Contesto e Contributo ① Cambiamento radicale target malware: da semplici PC a sistemi critici ② Difficoltà nella protezione di questi sistemi • Architetture general purpose (PC,Router) • Sistemi legacy • Connettività esterna • Budget medio stanziato dalle imprese per la sicurezza dei sistemi: 2% ③ Danni catastrofici • Esplosioni centrali • Perdita di vite umane • Tensioni diplomatiche ① Analisi architettura di sistemi SCADA e comportamento del VIRUS per la creazione di un framework ② Ricerca punti critici dell’architettura su cui valutare l’impatto della diversity ③ Abbattimento della probabilità di successo di un attacco tramite diversity Contesto Contributo
  • 4. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Sistemi SCADA Architettura semplificata per il modello Nodi individuati: • OS (Operator Station) • ES (Engineering Station) • PLC • DB (Database) Reti individuate • Enterprise Network • Control Network Forte interconnessione tra settori diversi • Grande impatto di un cyber-attack Architettura generale di un sistema SCADA • HMI • Diagnostica • Controller • Sensori,Attuatori
  • 5. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Caso di studio: “Stuxnet” Infezione Installazione Ricerca ES ?? Update C&C & P2P Diffusione  Check su hardware  Escalation Privilege  Check su S.O. Control Net Infezione del PLC Flusso di esecuzione Trasferimento dati da e verso il C&C Server
  • 6. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Metodologia proposta • Analisi dell’architettura di sistemi SCADA • Analisi del comportamento di un malware di nuova generazione(Stuxnet) • Creazione modello di simulazione attacco tramite reti SAN (tool Mobius) Creazione del modello • Esperimenti sul modello • Sensitivity Analysis • Metriche valutate: • Probabilità di successo di un attacco Stuxnet-like • Tempo di compromissione della mission del sistema • ANOVA sui risultati per individuare in quali punti la diversity ha impatto maggiore Capire dove fare diversity • Esperimenti in presenza di diversity con diverse configurazioni • Analisi delle metriche valutate nei diversi casi Risultati
  • 7. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Modelli 1/2 Timed Activity λ Probabilità TTS Removable_Media 5.79e-6 0.8 2 giorni Network_Shares 1.39e-4 0.8 2 ore Print_Server 9.25e-5 0.8 3 ore Service_Server_RPC 2.77e-4 0.8 1 ore Database_Vuln 2.77e-4 0.5 1 ore RestorePC 8.36e-7 0.2 1 mese Server_Attack 5.79e-6 0.5 2 giorni Install Remote Server 2.77e-4 0.8 1 ora InfectOtherUsb 5.79e-6 1 2 giorni OpenFileProject 1.16e-5 0.5 1 giorno DataTransfereUpdate 5.79e-6 1 2 giorni Operator Station Engineering Station Timed Activity λ Probabilità TTS InsertUSB 7.7e-7 (0.2+(USB_Infection- >Mark()*0.08)) 15 giorni DatabaseVuln 7.7e-7 1(0.2+(Project_Infected- >Mark()*0.08)) 15 giorni Escalation_Privilege 0 0.7 0 Installing_Rootkit 0 0.8 0 FirewallRouterPermission 0 0.4 0 RestorePC 8.36e-7 0.2 Install Remote Server 5.79e-6 (0.3+(UpdateOK- >Mark()*0.1)) 2 giorni InfectOtherUsb 5.79e-6 0.8 2 giorni OpenProject 5.79e-6 1 2 giorni DataTransferAndUpdate 5.79e-6 1 2 giorni
  • 8. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Modelli 2/2 Timed Activity λ Probabilità TTS Recording 3.86E-7 1 1 mese Two_H_Timer 1.39E-4 1 2 ore Sending Frames 3.33E-4 1 50 min IA1 Istantanea 0.8 0 Five_h_TImer 5.55E-5 1 5 ore PLC
  • 9. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Simulazione Modello di simulazione • 6 Operator Station • 1 Database • 4 Engineering Station Simulazione Tempo:12 mesi Valore calcolato:Probabilità di successo di un attacco
  • 10. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Sensitivity Analysis e ANOVA Label Probabilità L 0.25 M 0.5 H 0.8 Activity sottoposte ad analisi: • Escalation Privilege • Restore PC • Firewall&Router Permission • OpenFileProject,InfectUsb • Server Attack Valutazione di due fattori: • Probabilità successo di un attacco Stuxnet-like • Differenza temporale tra due esperimenti per raggiungere lo stesso valore di probabilità. ANOVA Fattori significativi: • Escalation Privilege • Server Attack • OpenProject & InfectUsb Probabilitàdisuccesso Tempo(mesi)
  • 11. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Esperimenti con diversity 1/2 %Host %Engineering Station 33% 25% 50% 50% 80% 75% Enterprise Network: poche variazioni Control Network: variazione più consistente • Fattore valutato: Escalation Privilege • Abbattimento probabilità di successo di un attacco Stuxnet-like se si applica diversity nella Control Net • Basso impatto sulla Enterprise Net • Aumento tempo di compromissione mission del sistema di 3 mesi
  • 12. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Esperimenti con diversity 2/2 %Host %Engineering Station 33% 25% 33% 50% 33% 80% 50% 25% 50% 50% 80% 50% • Variazione % componenti con diversity e analisi della probabilità di compromissione del sistema • Buoni risultati già con 50% di diversity (probabilità=0.28)
  • 13. Impatto della diversity sulla protezione di infrastrutture critiche: un framework di valutazione Facoltà di Ingegneria Corso di Studi in Ingegneria Informatica Conclusioni Risultati Sviluppi futuri  Testing del modello su architettura reale (SCOPE)  Utilizzo del modello su architetture di larga scala  Diversity all’interno della Control Network  Fattori determinanti: o O.S. (Escalation Privilege, Patch USB) o Architettura Hadware (Processore)  Costi ridotti se si investe solo su alcune macchine della Control Network (50%)  Fattori poco determinanti: Firewall,Router,Protezione Database  Aumento temporale consistente ed abbassamento probabilità di successo attacco