Achieving Full Attack Coverage and Compiling Guidelines for enterpriseLang

Sadiq, Joshua, Hagelberg, Anton

January 2021

As the number of digital systems grows yearly, thereis a need for good cyber security. Lack of such security can beattributed to the demand on resources or even knowledge. To fillthis gap, tools such as enterpriseLang can be used by the enduserto find flaws within his system, which he can revise. Thisallows a user with inadequate knowledge of cyber security tocreate safer IT architecture. The authors of this paper took partin the development of enterpriseLang and its improvement. Thiswas done by suggesting improvements based on certain designguidelines, as well as attempting to achieve 100% attack coverageand improving the defense coverage.The results show a coverage increase of 0.6% for a specificmodel’s attack steps. Further more, we find that nearly 84.6%of the compiled guidelines are met, followed by 7.7% that werenot fully met and a similar amount that were non-applicable toenterpriseLang. As the language is still in development, thereremains much work that can improve it. A few suggestionswould be to increase the attack coverage by 100%, increasingthe defense coverage and improving enterpriseLang to fulfill thedesign guidelines, which would ultimately ease future projectswithin this domain. / Då antalet digitala system ständigt ökar göräven behovet för cybersäkerhet. Avsaknad av sådan säkerhet kanåläggas avsaknaden av kunskap och resurser. För att fylla dettagap utvecklas ständigt nya medel. Ett sådant är enterpriseLangsom kan användas av en utvecklare för att hitta säkerhetsbristeri sitt system. Detta tillåter en utvecklare med låg kunskap inomcybersäkerhet att utveckla säkrare system, applikationer och produkter.Skribenterna av denna avhandling tog del i utvecklingenoch förbättringen av enterpriseLang. Detta gjordes genom attföreslå förbättringar baserade på särskilda designriktlinjer ochett försök att uppnå 100 % täckning av attack-steg.Resultaten visar på en ökning av 0.6% anfallstäckning för enspecifik modell. Vidare visar de att 84.6 % av riktlinjerna äruppfyllda, 7.7% var inte uppfyllda och 7.7% var inte relevantaför enterpriseLang. Då språket ännu är i utvecklingsstadietfinns ännu mycket arbete kvar att göra. Några förslag är attöka anfallstäckningen till 100%, öka försvarstäckningen samtförbättra språket så den når upp till alla designriktlinjer. / Kandidatexjobb i elektroteknik 2021, KTH, Stockholm

Threat Modeling

Cyber Security

Domain Specific Language

Meta Attack Language

enterpriseLang

Elektroteknik och elektronik