PETRI BERNHARD (DE)
STAMENKOVIC DJORDJE (RS)
WIMMREUTER WILHELM (DE)
CHARZINSKI JOACHIM (DE)
PETRI BERNHARD (DE)
STAMENKOVIC DJORDJE (RS)
WIMMREUTER WILHELM (DE)
| WO2004031953A1 | 2004-04-15 |
| US20030182582A1 | 2003-09-25 |
LI YONGJIAN ET AL: "Using SPIN to model cryptographic protocols" INFORMATION TECHNOLOGY: CODING AND COMPUTING, 2004. PROCEEDINGS. ITCC 2004. INTERNATIONAL CONFERENCE ON LAS VEGAS, NV, USA APRIL 5-7, 2004, PISCATAWAY, NJ, USA,IEEE, Bd. 2, 5. April 2004 (2004-04-05), Seiten 741-745, XP010697313 ISBN: 0-7695-2108-8
Patentansprüche
1. Verfahren zur automatisierten Bewertung der Sicherheit eines Netzes, insbesondere Datennetzes, gegen Ausspähen sensitiver Daten demzufolge
- in einem ersten Schritt das Netz mit seinen Verbindungen sowie Diensten (1), Netzelementen einschließlich Schwachstellen (2) und sensitiven Daten als Netzmodell (3) beschrieben wird,
- in einem zweiten Schritt mit einem Werkzeug zur formalen Verifikation (11) die Erreichbarkeit der sensitiven Daten von außen überprüft wird,
- in einem dritten Schritt im Falle einer Erreichbarkeit sensitiver Daten von dem Werkzeug zur formalen Verifikation die Angriffsvektoren (7), über die ein Zugriff auf die sensitiven Daten gegeben ist, geliefert werden,
- im Falle einer Erreichbarkeit sensitiver Daten die Sys ¬ temspezifikation abgeändert und mit dem zweiten Schritt fortgefahren wird und
- im Falle einer Nicht-Erreichbarkeit sensitiver Daten das Kommunikationsnetz als sicher gegen Ausspähen sensitiver Daten bewertet wird.
2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass im Falle einer neuen Angriffsmethode die Formulierung des
Verifikationszieles (6) angepasst wird.
3. Verfahren nach Anspruch 2 dadurch gekennzeichnet, dass im Falle einer neuen Angriffsmethode die Formulierung des
Netzmodelles (8) angepasst wird.
4. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass neue Schwachstellen (2) über ein Schwachstellen-Berichtssys ¬ tem, insbesondere CERT reports, zuführbar sind.
5. Verfahren nach Anspruch 4 dadurch gekenn z e i chnet , das s die Schwachstellenbeschreibungen ein standardisiertes Format aufweisen.
6. Verfahren nach einem der vorstehenden Ansprüche gekennzeichnet durch
Einbindung in ein Netzmanagementsystem.
7. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass die Beschreibung der Angriffsvektoren (7) in ein grafisches Format umgesetzt wird. |
Beschreibung
Automatisierte Bewertung der Netzsicherheit
Der Anmeldungsgegenstand betrifft ein Verfahren zur automatisierten Bewertung der Sicherheit eines Netzes, insbe ¬ sondere Datennetzes, gegen Ausspähen sensitiver Daten.
In den Elementen von Computernetzen (z.B. Client Computer, Router, Switch, Application Server) werden immer wieder
Schwachstellen entdeckt, sowohl in Betriebssystemen als auch in Anwendungsprogrammen und -protokollen . Gleichzeitig werden immer mehr sensitive Daten auf Systemen gespeichert, die an solche Netze angeschlossen sind. Neu entdeckte Schwachstellen werden regelmäßig z.B. von CERTs (Computer emergency response teams) veröffentlicht. Netzadministratoren müssen daraufhin entscheiden, ob sie Patches zur Behebung der Schwachstellen (falls überhaupt angeboten) sofort ungetestet einspielen und damit die Funktion der Dienste riskieren, ob sie die Dienste vom Netz nehmen, oder ob sie die Schwachstelle eine Zeitlang ignorieren. Letzteres ist nur sinnvoll, wenn durch Schutzme ¬ chanismen im Netz (z.B. Firewall-Regeln) ein Ausnützen der Schwachstelle durch externe Angreifer ausgeschlossen ist. Dies zu beurteilen, ist aber bereits in kleinen Netzen sehr schwierig, in größeren unmöglich. Insbesondere bei Schwachstellen, für die kurze Zeit nach dem ersten Bericht bereits ausnützende Programme oder andere Attacken existieren, ist daher eine Entscheidungshilfe für die Netzbetreiber nötig.
Zum Erkennen durchgeführter Angriffe gibt es IDS (intrusion detection System) , IPS (intrusion prevention System) , teils auch als host IDS direkt auf dem Zielrechner.
Firewalls werden eingesetzt, um mit bestimmten Regeln den Zugang zu Systemen zu beschränken. In vielen Fällen können Firewalls Angriffe, die auf dem Ausnutzen bekannt gewordener Angriffe beruhen (z.B. mit Hilfe von Würmern oder durch die übernahme der Kontrolle von Rechnern), nicht erkennen. Außerdem ist die Schutzfunktion eines Systems von Firewalls in
komplexeren Netzkonfigurationen oft nicht verifizierbar, so dass in der Praxis auf Eindring-Tests (penetration tests) zurückgegriffen wird, die allerdings die Funktion der Systeme gefährden. Für einfache Netze gibt es Netz- oder Sicherheits- planungswerkzeuge, die allerdings keine Schwachstellen von Systemen berücksichtigen können.
Dem Anmeldungsgegenstand liegt das Problem zugrunde, ein Ver ¬ fahren zur automatisierten Bewertung der Sicherheit eines Netzes, insbesondere Datennetzes, gegen Ausspähen sensitiver Daten anzugeben, das es dem Netzbetreiber gestattet, den Ein- fluss neu erkannter Schwachstellen auf die Sicherheit sensi ¬ tiver Daten schnell zu überprüfen.
Das Problem wird durch ein Verfahren mit den Merkmalen des Anspruchs 1 gelöst .
Erfindungsgemäß wird ein System vorgeschlagen, das auf Basis einer Netzbeschreibung sowie einer Beschreibung der Schwach- stellen in Netzelementen und der sensitiven Daten im Netz das Netz mitsamt den Schwachstellen analysiert und prüft, ob ein Angreifer die Möglichkeit hat, dadurch an sensitive Daten zu gelangen .
Die Problemstellung wird gelöst, indem das an sich räumliche Problem (welcher Dienst auf welchem Knoten ist von einem Startpunkt aus erreichbar) in ein äquivalentes zeitliches Problem transformiert wird (welcher Zustand eines Systems ist irgendwann von einem gegebenen Anfangszustand aus erreich- bar) . Daraufhin wird mit bereits verfügbaren Werkzeugen zur formalen Verifikation die Erreichbarkeit der sensitiven Daten von außen überprüft. Die formal zu verifizierende Systemspe ¬ zifikation wird so formuliert, dass keine sensitiven Daten von außen erreichbar sein dürfen. Wenn die Spezifikation erfüllt ist, ist das System sicher. Wenn sie nicht erfüllt ist, liefert das Verifikationswerkzeug gleichzeitig die mög ¬ lichen Angriffsvektoren, die angeben, wie und über welche Systeme ein Angreifer an die sensitiven Daten gelangen kann.
Das erfindungsgemäße Verfahren unterstützt die Sicherheit bei Inbetriebnahme eines Netzes, indem es die Nicht-Erreichbar ¬ keit sensitiver Daten oder Systeme durch Angreifer mit forma- len Methoden überprüft .
Das erfindungsgemäße Verfahren hilft, den Einfluss neu erkannter Schwachstellen auf die Sicherheit sensitiver Daten oder Systeme im Netz schnell zu überprüfen.
Das erfindungsgemäße Verfahren hilft Netzbetreibern bei der Entscheidung zwischen schnellem (riskantem) Beheben von
Schwachstellen, Abschalten von Diensten und Aufschieben der Reaktion (Ignorieren der Schwachstellen) .
Der Anmeldungsgegenstand wird im folgenden als Ausführungs- beispiel in einem zum Verständnis erforderlichen Umfang anhand von Figuren näher erläutert. Dabei zeigen: Fig 1 den Ablauf der Sicherheitsanalyse mit Daten (1), (2), (3), (8), (9), (5), (6), (7), erfindungsgemäßen Verarbeitungseinheiten (10), (4) sowie Standard-Verifika- tionswerkzeug (11),
Fig 2 Ersatzschaltbilder für Server mit mehreren Diensten,
Router und Proxies und
Fig 3 eine Darstellung der Ausgabe (5) nach der automatischen Umsetzung (4) in PROMELA
Ein Netzadministrator (z.B. eines Firmennetzes oder eines IP- basierten öffentlichen Sprachnetzes) beschreibt sein Netz mit seinen Diensten, Netzelementen und zu schützenden (sensitiven) Daten so, dass es formal überprüft werden kann. Der Netzadministrator verwendet das eingangs beschriebene
System zur formalen überprüfung seines Netzes. Wenn Sicherheitslücken identifiziert werden, eliminiert er diese durch Beheben von Schwachstellen oder Konfigurationsänderungen im Netz (z.B. Zugriffskontrolllisten ACL (Access Control List), auf Routern oder Firewalls) . Daraufhin überprüft er nochmals mit dem Werkzeug das Netz. Diese Schritte werden wiederholt, bis sichergestellt ist, dass externe Angreifer keine sensiti ¬ ven Daten mehr erreichen können.
Wird von einem Schwachstellenberichtsdienst (z.B. CERT, Com ¬ puter Emergency Response Team) eine neue Meldung über eine neu entdeckte Schwachstelle in bestimmten Systemen verteilt, dann überprüft der Administrator seine Netzelemente und doku ¬ mentiert die neu identifizierten Schwachstellen in der Netzbeschreibung. Anschließend lässt er das Netz wieder durch das Werkzeug überprüfen. Abhängig davon, ob das Werkzeug dabei neue Angriffsmöglich- keiten identifiziert, mit denen ein Angreifer Zugang zu sensitiven Daten erhalten könnte, wählt der Netzadministrator seine Reaktion:
Falls durch die Schwachstellen ein Zugang zu sensitiven Daten möglich wird, muss die Schwachstelle schnell behoben werden (z.B. durch Patch, sofern verfügbar, oder durch Abstellen des entsprechenden Dienstes, falls möglich), oder es muss der Angriffsvektor unterbrochen werden, z.B. durch Modifikation von ACLs auf Routern oder Firewalls. Falls kein Zugang möglich ist, kann der Administrator sich mehr Zeit beim Beheben der Schwachstellen lassen, z.B. warten, bis ein Patch verfügbar und getestet ist. Das beschriebene Verfahren hat den Vorteil, dass es einem Netzadministrator Hilfestellung gibt bei der Abwägung zwischen dem Beheben einer Schwachstelle mit einem eventuell ungetesteten Patch, dem Deaktivieren von Diensten und dem Aufschieben einer Reaktion auf neu identifizierte Schwachstellen in Elementen seines Netzes. Dadurch wird sein Risiko kalkulierbarer .
Figur 1 zeigt den Ablauf und die an der Sicherheitsanalyse beteiligten Daten. Als Basis dienen eine Beschreibung des zu untersuchenden Netzes, der Verbindungen und Dienste in diesem Netz (1), eine Beschreibung der Schwachstellen in den Netz- Elementen (Netzknoten, Server) (2) wird ein Netzmodell (3) erzeugt. Dies kann von Hand oder mit Unterstützung eines
Werkzeuges geschehen. Das Netzmodell (3) wird unter Zuhilfe ¬ nahme systematischer Modellierungskonzepte (8) durch ein Werkzeug (10) in eine erweiterte Netzbeschreibung (9) umge-
setzt. Ein weiteres Werkzeug (4) übersetzt diese Beschreibung dann in die für die Verifikation benötigte Beschreibungsspra ¬ che (5) . Ein Verifikationswerkzeug (11) bestimmt auf Basis der Netzbeschreibung (5) und einer Formulierung der Schutz- ziele und der prinzipiell möglichen Angriffsverfahren (6) die Menge der möglichen Angriffsvektoren und gibt diese als Datei (7) aus .
Falls prinzipiell neue Angriffsmethoden bekannt werden, werden die Formulierung des Verifikationszieles (6) und even ¬ tuell auch die Netzmodellierung (8) darauf angepasst.
Optionen und Erweiterungen
Der zweite Umsetzungsschritt (4) in Figur 1 kann entfallen, wenn die Funktionen der Werkzeuge (10) und (4) vereint werden .
Schwachstellenbeschreibungen (2) können durch ein weiteres Werkzeug automatisch in die Netzbeschreibung (3) eingebracht werden, wenn sie einem Standard-Format entsprechen.
Im aufgebauten Prototyp handelt es sich bei den Dateien (1), (2), (9) um XML-Dateien, (5) ist eine Datei in der Sprache PROMELA, (6) ist in LTL beschrieben und (11) ist das Verifikationswerkzeug SPIN.
Die Beschreibung der Angriffsvektoren (7) kann optional durch ein weiteres Werkzeug in ein leicht lesbares oder ein grafisches Format umgesetzt werden.
Ausführungsbeispiele als
- eigenständiges Werkzeug zur Bewertung der Sicherheit eines Netzes,
- Werkzeug zur Bewertung der Sicherheit eines Netzes, das an ein Schwachstellen-Berichtssystem (zB CERT reports) angeschlossen ist und diese Berichte automatisch auswertet,
- Werkzeug als Teil eines Netzmanagementsystems,
- Zusatzfunktion eines Netzplanungswerkzeuges,
- Sicherheitsplanungstool .
Beschreibung des Prototypen
Die prototypische Realisierung verwendet die folgenden Attri ¬ bute (8) zur Markierung der Knoten und die folgenden Sicherheitsformeln (6) zur Bestätigung der Schutzziele:
Attribute Schutzziele t - Transit ! ((acx || 1 1| ade) U (Ide && sdu)) acx - Arbitrary Code Execution ! ((acx || t |j ade) U (gde && sdsj)
Ide - Local Data Exposure ι ((acx || 1 1| ade) U ss gde- Global Data Exposure ! ((acx || 1 1| ade) U (acx && sd)) ade - Access Data Exposure ! ((acx || 1 1| ade) U (ade && sds)) sdu - Sensitive Data of the User sds - Sensitive Data on the System ss - Sensitive Service sd - Sensitive Domain
Server mit mehreren Diensten, Router und Proxies werden durch die in Fig 2 dargestellten Ersatzschaltungen (8) im vorverar- beiteten Netzmodell (9) repräsentiert.
Die Darstellung eines kleinen Beispielnetzes in xml (9) sieht folgendermaßen aus :
<?xml version="l .0" encoding="ISO-8859-l" ?> <network>
<node id="rl" type="router">
Attributes t="0" acx="0" lde="0" gde="0" sd="0"/> </node> <node id="s3" type="server">
Attributes t="0" acx="0" lde="0" gde="0" sd="0"/>
<service id="iis-http" type="relay"/>
<link>
<to_node>s5</to_node> </link> </node> <node id="s5" type=" Server" >
<service id="microsoft_sql" type="normal">
<attributes t="0" lde="0" sd="O"/> </service> </node> </network>