Threat modelling of cyber-physical threats: methodology for assessing threats associated with cyber-physical boundaries in systems
Iskanius, Niko (2024)
Iskanius, Niko
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202404237329
https://urn.fi/URN:NBN:fi:amk-202404237329
Tiivistelmä
Kyber-fyysisten järjestelmien (CPS) uhkamallinnus on laajasti tutkittu aihe. Vaikka useita perinteisiä ja moderneja viitekehyksiä on käytetty tehtävässä menestyksekkäästi, kyber-fyysisiä järjestelmiä hyödyntävien teollisuudenalojen sekä käyttötapausten monimuotoisuus on suuri. Helposti käyttöönotettavaa, yleistä lähestymistapaa ei voida tunnistaa saatavilla olevasta tutkimuskirjallisuudesta. Laaja valikoima menetelmiä ja viitekehyksiä on saatavilla, kullakin omat vahvuutensa ja haasteensa.
Tutkimuksessa selvitettiin, onko mahdollista laatia yleiset uhkamallinnus- ja luokittelumenetelmät, jotka kykenevät tehokkaasti tunnistamaan kyber-fyysisiä uhkia ja tukemaan niiden analyysia.
Konstruktiivista tutkimusmenetelmää käyttäen tutkimus analysoi CPS-järjestelmien mallinnuksen ja uhkien tunnistamiseen käytettyjen menetelmien nykytilan, ja vertaili niitä kuvailevalla kirjallisuuskatsauksella. Analyysin pohjalta luotiin vaatimuslista ratkaisulle, jota käytettiin yleisen uhkamallinnusmenetelmän kehittämiseen. Menetelmä sisältää järjestelmän mallinnus-, uhkien tunnistamis- ja -analyysi-, sekä validointivaiheet, yhdistettynä uhkamallinnusprosessiksi.
Opinnäytetyössä ehdotetaan lähestymistapaa kyber-fyysisten rajapintojen (CPB) tunnistamiseksi järjestelmän mallinnusvaiheessa. Näitä rajapintoja hyväksikäytetään osana hyökkäyspuuanalyysiä (Attack Tree Analysis) sellaisten uhkien tunnistamiseksi ja analysoimiseksi, joiden vaikutukset ulottuvat CPB-rajapinnan yli. Uhkia verrataan järjestelmän turvallisuuskontekstiin analyysin tarkkuuden parantamiseksi.
Tutkimus onnistui formalisoimaan kyber-fyysisten uhkien mallintamisprosessin CPS-järjestelmiä varten. Lähestymistapa mahdollistaa joustavan viitekehyksien valinnan uhkien tunnistamiseksi ja analysoimiseksi. Hyökkäyspuumentelmän rajoituksia kompensoidaan osittain kohdistaen analyysi kyber-fyysiseen rajapintaan ja hyödyntäen hyökkääjän tavoitteiden määrittelyssä vikapuuanalyysin (Fault Tree Analysis) lähestymistapaa. Yleispätevää kyber-fyysisten uhkien luokittelumallia ei saavutettu tutkimustuloksena. Luokitteluviitekehyksen toteuttaminen, sekä opinnäytetyön ehdottaman lähestymistavan validointi käytännössä jätettiin tulevan tutkimustyön tehtäväksi. Threat modelling of cyber-physical systems (CPS) is an extensively researched subject. While many traditional and modern frameworks have been successfully utilized for the task, the heterogeneity of industries and use-cases benefiting from cyber-physical capabilities of such systems is high. Easily adoptable, generic methodology cannot be identified from the current literature. Wide variety of frameworks are available, each with their own advantages and challenges.
The research set out to establish whether it is possible to formulate a general threat modelling approach and threat taxonomy capable to efficiently identify cyber-physical threat and support their analysis.
Constructive research method was utilized to analyze the current state of CPS system modelling and threat elicitation methods, comparing their efficiency with descriptive literature review. Set of requirements for the solution construct was formed based on the analysis. These requirements guided the development of a threat methodology combining system modelling, threat elicitation, threat analysis and validation steps, consolidated into a threat modelling process.
The thesis proposes an approach to identify cyber-physical boundaries (CPB) during system modelling phase. These boundaries are exploited as part of Attack Tree Analysis to elicit and analyze threats with effects traversing the CPB. Identified threats are compared to system’s documented security context to improve accuracy of the analysis.
The research achieved a formalized process of eliciting cyber-physical threats in CPS. The approach enables flexible selection of frameworks for threat elicitation and analysis. The approach partially compensates limitations of Attack Tree Analysis by basing the analysis on CPB and exploiting attacker goal generation in the approach of Fault Tree Analysis. A generic attack taxonomy for CPS was not achieved during the research. Feasibility of such taxonomy, as well as testing feasibility of proposed methodology in practice was left for the future research efforts.
Tutkimuksessa selvitettiin, onko mahdollista laatia yleiset uhkamallinnus- ja luokittelumenetelmät, jotka kykenevät tehokkaasti tunnistamaan kyber-fyysisiä uhkia ja tukemaan niiden analyysia.
Konstruktiivista tutkimusmenetelmää käyttäen tutkimus analysoi CPS-järjestelmien mallinnuksen ja uhkien tunnistamiseen käytettyjen menetelmien nykytilan, ja vertaili niitä kuvailevalla kirjallisuuskatsauksella. Analyysin pohjalta luotiin vaatimuslista ratkaisulle, jota käytettiin yleisen uhkamallinnusmenetelmän kehittämiseen. Menetelmä sisältää järjestelmän mallinnus-, uhkien tunnistamis- ja -analyysi-, sekä validointivaiheet, yhdistettynä uhkamallinnusprosessiksi.
Opinnäytetyössä ehdotetaan lähestymistapaa kyber-fyysisten rajapintojen (CPB) tunnistamiseksi järjestelmän mallinnusvaiheessa. Näitä rajapintoja hyväksikäytetään osana hyökkäyspuuanalyysiä (Attack Tree Analysis) sellaisten uhkien tunnistamiseksi ja analysoimiseksi, joiden vaikutukset ulottuvat CPB-rajapinnan yli. Uhkia verrataan järjestelmän turvallisuuskontekstiin analyysin tarkkuuden parantamiseksi.
Tutkimus onnistui formalisoimaan kyber-fyysisten uhkien mallintamisprosessin CPS-järjestelmiä varten. Lähestymistapa mahdollistaa joustavan viitekehyksien valinnan uhkien tunnistamiseksi ja analysoimiseksi. Hyökkäyspuumentelmän rajoituksia kompensoidaan osittain kohdistaen analyysi kyber-fyysiseen rajapintaan ja hyödyntäen hyökkääjän tavoitteiden määrittelyssä vikapuuanalyysin (Fault Tree Analysis) lähestymistapaa. Yleispätevää kyber-fyysisten uhkien luokittelumallia ei saavutettu tutkimustuloksena. Luokitteluviitekehyksen toteuttaminen, sekä opinnäytetyön ehdottaman lähestymistavan validointi käytännössä jätettiin tulevan tutkimustyön tehtäväksi.
The research set out to establish whether it is possible to formulate a general threat modelling approach and threat taxonomy capable to efficiently identify cyber-physical threat and support their analysis.
Constructive research method was utilized to analyze the current state of CPS system modelling and threat elicitation methods, comparing their efficiency with descriptive literature review. Set of requirements for the solution construct was formed based on the analysis. These requirements guided the development of a threat methodology combining system modelling, threat elicitation, threat analysis and validation steps, consolidated into a threat modelling process.
The thesis proposes an approach to identify cyber-physical boundaries (CPB) during system modelling phase. These boundaries are exploited as part of Attack Tree Analysis to elicit and analyze threats with effects traversing the CPB. Identified threats are compared to system’s documented security context to improve accuracy of the analysis.
The research achieved a formalized process of eliciting cyber-physical threats in CPS. The approach enables flexible selection of frameworks for threat elicitation and analysis. The approach partially compensates limitations of Attack Tree Analysis by basing the analysis on CPB and exploiting attacker goal generation in the approach of Fault Tree Analysis. A generic attack taxonomy for CPS was not achieved during the research. Feasibility of such taxonomy, as well as testing feasibility of proposed methodology in practice was left for the future research efforts.