Threat modelling of historical attacks with CySeMoL / Hotmodellering av historiska attacker med CySeMoL

Svensson, Carl

January 2015

This report investigates the modelling power of the Cyber Security Modelling Language, CySeMoL by looking at three documented cyber attacks and attempting to model the respective systems in which they occurred. By doing this, strengths and weaknesses of the model are investigated and proposals for improvements to the CySeMoL model are explored. / Denna rapport undersöker modellingsförmågan hos Cyber Security Modelling Language, CySeMoL genom att titta på tre dokumenterade IT-angrepp och försöka modellera systemen som respektive attack skedde i. Genom att göra detta undersöks styrkor och svagheter i modellen och förslag på förbättringar till modellen utforskas.

threat modelling

CySeMoL

it attacks

hotmodellering

CySeMoL

it-angrepp

Computer Sciences

Datavetenskap (datalogi)

Refining a Network Model Concerning Network Security Risk Analysis / Förfina en nätverksmodul beträffande säkerhetsriskanalys inom nätverkssäkerhet

Kuehn, Daniel, Ljunggren, Sofia

January 2014

P²CySeMoL is a framework in which security risks are calculated and presented with a value referring to the probability that an attack will succeed in a system, mainly SCADA systems. This thesis covers the creation of a more granular network module for the P²CySeMoL security riskanalysis framework to better be able to represent a network in concrete modules and to enable security riskanalysis on a network infrastructure at a greater detail. This paper outlines the creation of a network module with the base in the OSI model. It is replicated in a way that the network module is an extension to the P²CySeMoL metamodel, without interfering and restructuring it. It also covers a smaller survey to verify and get feedback about the created module from security and network experts and analysis of the survey. The conclusion is made that the network module is a good base to build upon and reflects to good degree a model needed to do security risk analysis on a network infrastructure and suggestions about further validation and research to improve the module are outlined. This thesis was produced in cooperation with Spotify AB and parts of the team behind P²CySeMoL at the ICS department at KTH. / P²CySeMoL är ett ramverk där säkerhetsrisker beräknas och redovisas i form av ett värde som hän-visar till sannolikheten att en attack lyckas i ett system, huvudsakligen SCADA system. Den här avhandlingen behandlar skapandet av en mer detaljerad nätverksmodul för säkerhetsriskramverket P²CySeMoL för att bättre representera ett nätverks konkreta moduler och för att möjliggöra analys av säkerhetsrisker rörande en nätverksinfrastruktur på ett mer detaljerat sätt. Den här rapporten beskriver skapandet av en nätverksmodul med en bas i OSI-modellen. Den är replikerad på ett sätt att den är en extension av P²CySeMoL metamodell, utan att omstrukturera den. Det omfattar även en mindre undersökning för att kontrollera och samla återkoppling på den skapade modulen från säkerhet- och nätverksexperter samt en analys av undersökningen. Slutsatsen fastställer att nätverksmodulen är en bra bas att bygga vidare på och den återspeglar till hög grad en modell som behövs för att göra säkerhetsriskanalyser på en infrastruktur, förslag om ytterligare validering och forskning för att förbättra modulnätet beskrivs. Det här arbetet har producerats i samarbete med Spotify och delar av teamet bakom P²CySeMoL vidICS avdelningen på KTH.

Network Security

Risk Analysis

CySeMoL

P2AMF

Nätverkssäkerhet

Riskanalys

CySeMoL

P2AMF

Communication Systems

Kommunikationssystem

OPERATING SYSTEM SECURITYMODELING : An Experimental Study on the CySeMoL model

Cao, Jin

January 2015

In this Master Thesis, several common applications and Windows operating systemservices are modeled within the field of information security. This thesis focuses onapplying the Enterprise Architecture Analysis Tool (EAAT) and the Cyber SecurityModeling Language (CySeMoL), which are developed by the Department of IndustrialInformation and Control System (ICS) at KTH. The overall objective of this study is todetermine the probability of the CySeMol model with a particular kind of attack. Theproject models six common applications on Windows platform and two Windowsoperating system services. The detailed information regarding the applications and defensemechanism are acquired from various sources. A few experiments have been carried out tovalidate the correctness of the predicted probabilities calculated by the CySeMoL. Theresults of the analysis suggest that the CySeMoL model has a good performance onoperating system vulnerability prediction. At last, some possible suggestions in the contextof the CySeMoL model are given.

CySeMoL

EAAT

Operating System

Application Modeling

Information Security

Engineering and Technology

Teknik och teknologier

Empirical Testing of the CySeMoL Tool for Cyber Security Assessment – Case Study of Linux Server and MySQL

Rabbani, Talvia

January 2016

In this Master Thesis, several common applications used with MySQL and Linux server are modelled using the Enterprise Architecture Analysis Tool (EAAT) and the Cyber Security Modelling Language (CySeMoL), both developed by the Department of Industrial Information and Control System (ICS) at KTH. The objective of this study is to use the CySeMoL tool to evaluate the feasibility and correctness of the tool by simulating some particular type of attacks on a real life Linux server. A few common applications with MySQL on a Linux server and two Linux operating system services are modelled and explained together with their detailed information and defense mechanisms. A real life penetration test has then been carried out in order to validate the simulated results from the tool. The results of the analysis suggest that the security vulnerability predictions done by CySeMoL on a Linux server has good predictive performance. / I denna Masteruppsats modelleras ett antal vanliga applikationer på en MySQL- och Linuxplattform med hjälp av Enterprise Architecture Analysis Tool (EAAT) tillsammans med Cybersecurity Modeling Language (CySeMoL). Båda dessa är utvecklade vid avdelningen för industriella informations- och styrsystem (ICS) på KTH. Syftet med denna studie är att validera korrektheten av CySeMoL-verktygets sårbarhetsprediktioner genom att simulera ett antal specifika cyberattacker mot en Linuxplattform. Ett antal vanligt förekommande applikationer på en MySQL-plattform samt två operativsystemstjänster i en Linuxserver modelleras. Penetrationstest utförs därefter för att validera resultaten som simuleras i CySeMoL-verktyget. Studien visar att CySeMols förutsägelser stämmer väl med resultaten av penetrationstesterna.

Cyber Security

CySeMoL

EAAT

Operating System

Server

Application Modeling.

Elektroteknik och elektronik

Empirical test of a tool for cyber security vulnerability assessment / Empiriskt test av ett verktyg för sårbarhetsanalys inom IT-säkerhet

Johansson, Dan

January 2015

This report describes a study aimed at verifying a cyber security modeling language named the Predictive, Probabilistic Cyber Security Modelling Language. This modeling language together with the Enterprise Architecture Analysis Tool acts as a tool for cyber security evaluations of system architectures. To verify the accuracy and readiness of the tool, a generic model of a real life Supervisory Control And Data Acquisition System’s system architecture was modeled using the tool and later evaluated. The evaluation process consisted of a Turing test, which was the same method used for evaluation of the Predictive, Probabilistic Cyber Security Modelling Language predecessor the Cyber Security Modelling Language. For the Turing test, interviews were held with five domain experts within cyber security. Four of which were tasked with creating attack paths given a scenario in the modeled system architecture. The Predictive, Probabilistic Cyber Security Modelling Language was given the same task as the four experts. The attack paths created were consolidated in a standardized form for the last internal company expert within cyber security to evaluate. An expert evaluator was tasked with grading the attack paths produced by the four experts and the Predictive, Probabilistic Cyber Security Modelling Language. The grading was based on how probable the attack paths were perceived by the internal expert.  The conclusion was made that given the limitations of the study, the Predictive, Probabilistic Cyber Security Modelling Language produced a cyber security evaluation that was as probable as those created by the human cyber security experts. The results produced were also consistent with the results produced by the Predictive, Probabilistic Cyber Security Modelling Language predecessor the Cyber Security Modelling Language in a previous study. Suggestions for further studies were also introduced which could complement this study and further strengthen the results. This thesis was a collaboration between ABB Enterprise Software and the members of the team behind the Predictive, Probabilistic Cyber Security Modelling Language at ICS at KTH. / Denna rapport beskriver en studie vars mål var att verifiera ett modelleringsspråk för datasäkerhet vid namn Predictive, Probabilistic Cyber Security Modelling Language. Detta modelleringsspråk tillsammans med Enterprise Architecture Analysis Tool utgör ett verktyg för datasäkerhetsutvärderingar av systemarkitekturer. För att verifiera exaktheten och mognadsnivån på verktyget så skapades en generisk modell av ett verkligt Supervisory Control And Data Acquisition System-systems arkitektur. Denna modell utvärderades i ett senare skede. Utvärderingsprocessen bestod av ett Turingtest, som är samma metod som användes i en tidigare utvärdering av Predictive, Probabilistic Cyber Security Modelling Languages föregångare Cyber Security Modelling Language. För Turingtestet hölls fem intervjuer med domänexperter inom datasäkerhet. Fyra av dessa fick i uppgift att skapa attackvägar givet ett scenario i den modellerade systemarkitekturen. Attackvägarna som skapades sammanställdes i ett standardiserat formulär för den sista interna företagsexperten inom datasäkerhet att utvärdera. En expertutvärderare fick i uppgift att betygsätta de attackvägar som hade producerats av de fyra experterna och Predictive, Probabilistic Cyber Security Modelling Language. Betygsättningen baserades på hur sannolika de olika attackvägarna uppfattades av den interna experten. Slutsatsen som gjordes var att givet begränsningarna i studien, så producerade Predictive, Probabilistic Cyber Security Modelling Language en datasäkerhetsutvärdering som var likvärdigt sannolik jämfört med de som skapades av mänskliga experter. Resultaten som producerades var också konsistenta med resultaten som producerades av Predictive, Probabilistic Cyber Security Modelling Language föregångare Cyber Security Modelling Language i en tidigare studie. Förslag på kommande studier som skulle komplettera denna studie och stärka resultaten ytterligare introducerades också. Detta examensarbete var ett samarbete mellan ABB Enterprise Software och medlemmarna i teamet bakom Predictive, Probabilistic Cyber Security Modelling Language på ICS på KTH.

cyber

security

SCADA

cysemol

p2cysemol

eaat

ABB

tool

empirical

test

vulnerability

assessment

turing

Computer Sciences

Datavetenskap (datalogi)