SLA-kontrakt för ökad molnsäkerhet : Intervjupersoners uppfattningar om säkerhetsmått och säkerhetsramverk som förtydligar SLA-kontrakt för molnbaserade tjnster

Albeteihi, Wissam

January 2022

Mindre företag och organisationer har uttryckt ovilja att använda molntjänster på grund av otydliga säkerhetsvillkor. Skälet är att de Service Level Agreements (SLA) som reglerar ansvaret för säkerheten i Molnet, bland annat vad gäller datalagring och skydd av personuppgifter, upplevs vara otydliga. Syftet med denna studie var därför att undersöka vad användare av molntjänster anser om de säkerhetsramverk och säkerhetsmått som används i SLA-kontrakt för molntjänster. Genom semistrukturerade intervjuer av fyra personer och analys av intervjuerna visade resultatet att användarna ansåg att de säkerhetsramverk som användes i SLA-kontrakt för molnbaserade tjänster var för otydliga genom att vara alltför generella och inte tillräckligt relevanta för den egna verksamheten. Användarna ansåg att de säkerhetsmått som tillämpades i SLA-kontrakten skulle kunna vara tydligare genom att vara mer detaljerade och relevanta för den egna verksamheten. Slutsatsen blev därför att etablerade säkerhetsramverk som NIST, ISO och COBIT inte tillmötesgick användarnas behov av specifika och relevanta säkerhetsramverk och säkerhetsmått i SLA. En lösning skulle därför vara att använda mjukvara för att automatiskt generera SLA-kontrakt utifrån tydligare samt mer specifika och relevanta säkerhetsmått. En sådan lösning skulle öka användarnas upplevelse av säkerhet genom SLA och öka deras användning av molntjänster.

Sla-kontrakt

molntjänster

molnsäkerhet

Övrig annan teknik

HackerGraph : Creating a knowledge graph for security assessment of AWS systems

Stournaras, Alexios

January 2023

With the rapid adoption of cloud technologies, organizations have benefited from improved scalability, cost efficiency, and flexibility. However, this shift towards cloud computing has raised concerns about the safety and security of sensitive data and applications. Security engineers face significant challenges in protecting cloud environments due to their dynamic nature and complex infrastructures. Traditional security approaches, such as attack graphs that showcase attack vectors in given network topologies, often fall short of capturing the intricate relationships and dependencies of cloud environments. Knowledge graphs, essentially a knowledge base with a directed graph structure, are an alternative to attack graphs. They comprehensively represent contextual information such as network topology information and vulnerabilities, as well as the relationships between all of the entities. By leveraging knowledge graphs’ inherent flexibility and scalability, security engineers can gain deeper insights into the complex interconnections within cloud systems, enabling more effective threat analysis and mitigation strategies. This thesis involves the development of a new tool, HackerGraph, specifically designed to utilize knowledge graphs for cloud security. The tool integrates data from various other tools, gathering information about the cloud system’s architecture and its vulnerabilities and weaknesses. By analyzing and modeling the information using a knowledge graph, the tool provides a holistic view of the cloud ecosystem, identifying potential vulnerabilities, attack vectors, and areas of concern. The results are compared to modern stateof-the-art tools, both in the area of attack graphs and knowledge graphs, and we prove that more information and more attack paths in vulnerable by-design scenarios can be provided. We also discuss how this technology can evolve, to better handle the intricacies of cloud systems and help security engineers in fully protecting their complicated cloud systems. / Organisationers snabba anammande av molnteknologier har låtit dem dra nytta förbättrad skalbarhet, kostnadseffektivitet och flexibilitet. Däremot har detta skifte också lett till nya säkerhetsproblem, speciellt gällande applikationer och behandlingen av känslig information. Molnmiljöers dynamiska natur och komplexa problem skapar markanta problem för de säkerhetstekniker som ansvarar för att skydda miljön. Den typ av invecklade förhållanden som finns i molnet fångas däremot sällan av traditionella säkerhetsmetoder, såsom attackgrafer. Ett alternativ till attackgrafer är därför kunskapsgrafer som utförligt kan representera kontextuell information, förhållanden och domänspecifik kunskap. Genom kunskapsgrafernas naturliga flexibilitet och skalbarhet skulle säkerhetsteknikerna kunna få djupare insikter kring de komplexa förhållanden som råder i molnmiljöer för att på ett mer effektivt sätt analysera hot och hur de kan förebyggas. Det här arbetet involverar därför utvecklingen av ett nytt verktyg specifikt designat för att använda kunskapsgrafer, nämligen HackerGraph. Verktyget integrerar data från flera andra verktyg som samlar information om molnmiljöers arkitektur samt deras sårbarheter eller svagheter. Genom att analysera och modellera informationen som en kunskapsgraf skapar verktyget en holistisk bild av molnekosystemet som kan identifiera potentiella sårbarheter, attackvektorer eller andra problemområden. Resultaten jämförs sedan med moderna verktyg inom både attack- och kunskapsgrafer. Vi bevisar därmed både hur mer information och fler attackvägar kan tillhandahållas från scenarion som är sårbara per design. Vi diskuterar också hur den här teknologin kan utvecklas för att bättre hantera molnmiljöers komplexitet samt hur den kan hjälpa säkerhetstekniker att skydda sina komplicerade molnmiljöer.

Cloud security

Knowledge graph

Attack graph

Vulnerability ssessment

Attack paths

Vulnerable-by-design systems

Cloudgoat

Molnsäkerhet

Kunskapsgraf

Attackgraf

Sårbarhetsanalysis

Sårbara miljöer

Cloudgoat

Elektroteknik och elektronik

Potentiella säkerhetsrisker med växelriktare för solceller / Potential security risks associated with solar inverters

Axelsson, Ebba, Tonell, Vera

January 2024

This thesis investigates the risks associated with connected inverters in solar power installations, focusing on properties owned by Vasakronan, a real estate company with 166 properties, that has invested in solar panel installations on a majority of its buildings. The thesis explores the potential security measures related to both energy and information. Energy security encompasses multiple aspects of ensuring a reliable supply of energy within an infrastructure, necessitating tools for balancing energy production and usage and minimizing dependence on single resources. Robust information security requires the preservation of confidentiality, integrity and availability, which is considered given the organization, cloud and communication security. Interviews were conducted with representatives from Vasakronan’s suppliers of inverters, IT service provider, employees and external field experts. One property served as a case study to understand the internal real estate network structure and data on energy consumption, production and prices was collected. The risk of security breaches was assessed as the sum of factors influencing the likelihood of intrusion, as well as the consequences of such breach. Interviews with employees and IT service providers revealed Vasakronan’s awareness of information security and continuous efforts to enhance it. Interviews with inverter suppliers show varying levels of commitment to information security, with a general recognition of its importance but inconsistent knowledge of mitigation strategies. Many suppliers are cautious about production location, expressing skepticism about Chinese intelligence activities. However, the current risk for Vasakronan and the Swedish power grid is considered low, though the increasing use of solar panels may heighten this risk in the future. Specific threats such as extortion attempts, are identified as more probable, potentially resulting in production interruptions and increased energy costs. The importance of risk diversification through security measures and supplier diversification is concluded from the interviews with field experts. Data analysis indicates that security breaches primarily entail economic losses for Vasakronan, while the societal consequences are seen as potentially serious but unlikely in the short term. The thesis contributes to understanding the risks and the necessity of security measures in solar power installations through an analysis of potential energy and economic consequences of data breaches.

Energisäkerhet

informationssäkerhet

sveriges säkerhetsläge

växelriktare

kommunikationssäkerhet

organisationssäkerhet

molnsäkerhet

säkerhetsintrång

bortfall av energi

riskanalys

sannolikhet säkerhetsintrång

konsekvens säkerhetsintrång

infrastruktur

solcellsanläggning

säker energiförsörjning

solkraft i Sverige

balansmarknaden

Information Systems

Energy Systems

Energisystem

Infrastructure Engineering

Infrastrukturteknik

Communication Systems

Kommunikationssystem