Cyber–Physical Systems Security Challenges(Case study: Information Flow Security Analysis in...

احمدیانمحمد مهدی

های حیاتی های کنترل صنعتی و زیرساختفیزیکی سامانه-مشاور امنیت سایبر

1396دی ماه 27

Cyber–Physical Systems Security Challenges

فیزیکی-های سایبرسامانهامنیتی در های چالش(با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)

(Case study: Information Flow Security Analysis in Natural Gas and Oil Pipeline System )

|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م

افزایش ارتقاء امنیت های کنترل سامانه

هایصنعتی و زیرساختبه حیاتی کشور با توجه

تهدیدات و حمالت فراوان


احمدیانمحمدمهدی •امیرکبیردانشگاه صنعتی )گرایش امنیت اطالعات(فناوری اطالعات کاندیدای دکتری تخصصی •های حیاتی های کنترل صنعتی و زیرساختفیزیکی سامانه-مشاور امنیت سایبر•

ICSامنیتفعالیت تخصصی در حوزه سال 4بالغ بر •

بیرامیرکامنیت اطالعات و تجارت الکترونیک دانشگاه صنعتی آزمایشگاه •رآزمایشگاه طراحی و تحلیل سیستم های امن دانشگاه صنعتی امیرکبی•امیرکبیرهای صنعتی دانشگاه صنعتی تیم امنیت سایبری سامانه•امیرکبیرپدافند غیرعامل دانشگاه صنعتی پژوهشکده •گسترش فناوری پارس امین رای شرکت •ایرانشرکت ملی صنایع مس •ملی برق دیسپچینگ •شرکت ملی گاز•

|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م |PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م

مطالبفهرست

های امنیتیو چالشCPSای از مقدمهمحرمانگی و اهمیت آن

4

3

2

1

CPSتحلیل جریان اطالعات در

ریجمع بندی و نتیجه گی 5

اطالعاتجریان راستی آزمایی

/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م

1.Cyber-Physical Systems (CPSs)

2. Life-critical

3. Actuators

4. Center of Embedded Computer

Systems at the University of California,

Irvine

5. Multi-disciplinary

.]12[کنندهای محاسباتی، ارتباطی، نظارتی و کنترلی که به واسطه اجزاء سایبری، اجزاء فیزیکی را کنترل میهایی مرکب از بخشسامانه•

کهه شهامل 2حیهاتییکپارچهه، نهاهم، ،هایی در مقیاس بزرگ، از لحاظ جغرافیایی توزیع شده،سامانه•.]13[ای می باشنداجزاء کنترلی و شبکه،3حس،رها، محرک ها

:4CECSتعریف مرکز •

هها و فیزیکی، که به واسهطه گیرنهدهادراک همراه با تجهیزات دارای ، 5ایشاخهسامانه هایی پیچیده، چند .کندها بخش سایبری و بخش فیزیکی را یکپارچه میمحرک

ل کاربران شام)آندرک دنیای فیزیکی و تعامل با که برای ها عمل،رو ها پردازنده، تعبیه شده های گیرندهدارای تحت شبکه ، هوشمندهای سامانه •.]14[کنندرا تضمی کاربردهای حیاتی ایم بالدرنگو کارایی قابل قبولطراحی شده اند و باید با ( انسانی

5


یفیزیک-های سایبریسامانهCPSهای سامانه

هاسایر سامانه

ICS های هوشمندوشبکه

های هوشمندحمل ونقل وخانه

تجهیزات پزشکی مدرن

هایبخش

CPS

سایبری کنترل ها فیزیکی-سایبرفیزیکیهاآسیب پذیری

حمالتتهدیدات

امنیت6


یفیزیک-های سایبریسامانه

7

1.Cognition, Situational Awareness and Security

2.High Assurance Architecture Challenges.

3.Attack Mitigation, Detection, Restoration and Recovery.

مدل سازی اعتماد

معماری با قابلیت

2اطمینان باال

آگاهی بخشی مبتنی بر

موقعیت و 1ادراک

کنترل جریان اطالعات

ل ایمنی ، تحمپذیری خطا و

امنیت

مدل سازی CPSصوری

پیشگیری و کاهش اثرات ، حمله، تشخیص

3یترمیم و بازیاب

تشخیص آسیب

هاپذیری

تعامل در عینحفظ حریم

خصوصی

[12,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37]




4

3

2

1





اصول امنیت سایبری•محرمان،ی•صحت•دسترس پذیری•

C

I

A

ICSاصول •پذیریکنترل •پایداری•پذیریمشاهده•

C

S

O

9


OTو ITتفاوت

10

استاکسنت•دوکو•فلیم••Industroyer

PetroICT2018www.mmAhmadian.ir|47/11فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م

جریان اطالعات•

جریان مواد•

هاداراییاطالعات •

هاجریان•

فیزیکی•

منطقی•

ارتباطات•

فرایند•

اطالعاتسایر •

پیمانکاران•

پرسنل•

زنجیره تامی •

مواد اولیه•

مواد درگیر در فرایند•

محصوالت پلنت•

مواد باطله یا جنبی•

تمواد منابع انرژی پلن•

•...


!!!هشدار

سازندگان،تجهیزات،)هاداراییاطالعات•(...وافزارهانرمها،پروتکل

هافراینداطالعات•ارتباطاتاطالعات•پیمانکاراناطالعات•هاداراییفیلموتصاویر••

هتابعهایشرکتوصنایعرسمیهایسایتوب•(اهپروژهوبازدیدهاتصاویر)خبریهایسایتوب•مجالتهاوها،ژورنالکنفرانسمقاالت•اجتماعیهایشبکهدیگروتلگرامیهاگروه••...


بردنوالزیرسقصدونداریمراعزیزاناین

PetroICT2018www.mmAhmadian.ir|47/38 /10فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م


. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی، ای آدرس


به دلیل برخی مالحضات در امنیتی، ای آدرس

نسخه عمومی منتشر شده فایل سخنرانی حذف شده

. است



در نسخه عمومی منتشر شده فایل سخنرانی حذف شده است به دلیل برخی مالحضات ای آدرس

. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی ای آدرس



در نسخه عمومی منتشر به دلیل برخی مالحضات امنیتی، ای آدرس. شده فایل سخنرانی حذف شده است




4

3

2

1





Cyber-Physical Systems Formal Methods

Information Security

27

Craft

Science


.استدشوارCPSتشخیص جریان اطالعات در •.وجود بخش سایبری•

.تعامالت پیچیده بی ای دو بخش•

1.Specification

2.Semantic

3.Trace-based

مهمتری بخش

.)عالوه بر بخش سایبری(وجود بخش فیزیکی •

فرایندهای رخدادی گسسته

فرایندهای زمانی پیوسته

28

:جریان اطالعات•

Highسطح

Lowسطح


هاروی سایر بخشتاثیر، عمل یک بخش منجر به CPSتنیده به دلیل ساختار درهم•

امکان نشت اطالعات

]12[(2005-مجادله گازی اکرای و روسیه )

29

در صورت تضمین امنیت در بخش سایبری•

فیزیکیدر صورت تضمین امنیت در بخش •.داشتنخواهیملزوما ترکیب امنی


.محتوای ای صفحه در نسخه عمومی فایل سخنرانی حذف شده است

ارائه و ( طراحی، مشاوره و اجرا) خدمات امن سازی و ارزیابی آماده ارائه و ها روزترین روشآموزشی بر اساس به پیشرفته مقدماتی و های دوره

های زیرساخت، صنایع و هاسازمانبرای دنیا دستاوردهای علمی و عملی .مهمحیاتی، حساس و


1. smart grid

گاز و نفت( خطوط لوله)سامانه انتقال 1شبکه هوشمند توزیع برق

Observer

Observer

32


:پیشفرض ها

.هستندFCS1تجهیزات نظارتی و کنترلی ها دارای هایی از لولهبخش•

•FCS اندهم در ارتباط ها جهت کنترل هدفمند، متعادل نمودن مجدد و خودکار سازی با.

•LTC کنترل توزیع مواد و ارتباط با مسئولFCS(دستورا ت تغییر جریان.)های همسایه

.انددرستو قانونیLTCهای ارسالی از پیام•

در مبحثی دی،ر قابل بررسیLTCامنیت خود •

.استام ها LTCشبکه ارتباطی انتقال پیام بی •

.قابل اندازه گیریجریان مواد در خطوط تحت کنترل •

.برای همه سطوحتوپولوژی محلی قابل مشاهده •

ی هاکند اما رفتارش می تواند روی زیرشبکهرا کنترل میزیر شبکه خودش LTCهر •.ب،ذاردتاثیردی،ر

رابطه فیزیکی حاکم بر مواد•

33


3. Security Process Algebra

•SPA3:• یک توسعه ازCCS4است.

ر آنهاهای توزیع شده و واررسی خواص امنیتی دیک زبان مناسب تعییی مشخصات سامانه•

4 . Calculus of Communicating Systems

CPSرویکردهای مختلفی برای مدلسازی •

1اتوماتای ترکیبی•

1. Hybrid automata

فرایندهای رخدادی گسسته در قالب حالت ها و جابجایی بی آنها•

کیهای فیزیکی و قوانی فیزیفرایندهای زمانی پیوسته در قالب جریان•

]15،16[2قابل وارسی توسط ابزارهای بررسی مدل•

2. Model Checking

.محل چالش است و هنوز دشوار ها CPSمدل سازی ارتباطات ، همرندی و عدم قطعیت در -•

.همرندی، ارتباطات و عد قطعیتمدل کردن مطلوب + •

•π-calculus : نسخه تقویت شدهCCS

.کنداستفاده می5باالاز عمل،رهای جبری با رویکرد پایی به •

5 .Bottom-up

.اندمتفاوت از محرمان،یمتعلق به دو سطح هایی که شامل عمل CCSبرخالف + •

34


SPA:در تعریف سامانه •

notation Description

Z performs the actions that E performs if Z ≡ E

Tr legal trace set of the system

L the set of low-level events

H the set of high-level events

τ \x is a trace purged of all events in the domain of x

τ |x is a trace restricted to events in the domain of x

I the set of inputs

O the set of outputs

notation Description

0 is the empty process that cannot perform any ction(specifically defines termination of a process)

µ.E performs action µ and then behaves like E

E1 + E2 can alternatively choose to behave like E1 or E2

E1|E2 is the parallel composition of events E1 and E2, where the executions of the two systems are interleaved

E\L executes all the actions that can be performed by E, provided that they do not belong to L ∪ L ¯ (where L ¯ refers

to the output)

E\IL requires that the actions of E do not belong to L ∩ I

E/L transforms all the actions in L into internal actions

E[f] if E can execute action µ, then E[f] performs f(µ)

Operational semantics :

35


• A system ES is said to be non-deducibility secure secure if:

• A system ES is said to be non-inference secure if: This imposes two conditions on the system.• First, for any system trace, the restriction of the

trace to low-level events alone is also a validsystem trace. That is, just by observing low-levelevents, one cannot infer with certainty if a highlevel event occurred.

• Second, purging high-level events from any systemtrace should yield a valid trace comprising thelow-level events.

• A system is considered non-deducible secure ifnothing can be deduced about the sequenceof input events, I, in the H domain based onlyon observation of events in the L domain.

• In other words, a system is non-deduciblesecure if a L observation is compatible withany H input event

36


• A system is satisfied BNDC if it can preserve its security after composition with other processes

1. Bisimulation-based Non-Deducibility on Composition

• BNDC property uses weak bisimulation equivalence

• A system ES is BNDC if, for every Hprocess, Π, a L observation cannotdistinguish ES from the process EScomposed with any other process.

• In other words, a system ES is BNDC if a Lobservation is not modified by composingany H process, Π with ES.

• A system is BNDC-preserving if the above property holds for all possible system behaviors.

37


• Theorem 1. The gas flow in the pipeline system is not non-inference secure.

• Proof. The valid traces of the system are

Purging a legal trace of events that are not in the low-level securitydomain yields the traces

This system does not satisfy the definition of non-inference because a flowchange in the controlled line (e4) with no accompanying high-level event isnot a valid trace of the system. Hence, an observer at the controlled linecould infer high-level events associated with other FCSs.

• The system is also not secure according to the BLP model becausehigh-level information is written to the low-level domain.

38

Inputs Outputs


• Theorem 2. The gas flow in the pipeline system is non-deducibility secure.

• Proof. Considering the same set of event traces listed :

every high-level event (e2 or e3) is compatible with a low-level output (e4).In other words, changes experienced at a controlled line could be the resultof the stochastic demand or LTC setting at a neighboring FCS. Thus, a low-level observer could not determine which neighboring FCS performed whatchange. Hence, the gas flow in the pipeline system is non-deducibilitysecure.

39


و مستقلمنفردFCSتحلیل با درنظر گرفتن یک •سناریوهای تحلیل

(FCSچند )ها FCSبی بدون وجود هماهن،ی تحلیل •

(FCSچند )هاFCSبی با وجود هماهن،ی تحلیل •

40


• The implicit flow of information can be minimized by controlling the physical flow via cyberactions (through coordinated message passing) by FCS devices.

• x|l :expresses the fact that object x is able tocommunicate with object

41

• invariant(): captures the atomic actions ofrecomputing the physical flows as governed byinvariant laws of physics.

• y: is the value (or state) of the object.

• M_Change(l, x) : events that a subject of securitylevel l changes to an object of security level x.


1. Checker of Persistent Security

• CoPS1

• Concurrency Workbench

• CWB-NC

• CADP




4

3

2

1





.شودمدل میفرایندهاها یا عاملسیستم در قالب CoPSخودکار از ابزار نمونه مدلسازی استفاده


نحوه بررسی مدل

:و ماشی حالتCoPSنحوه مدل سازی در •• Protecting flow against Low partition {B} from a physical

change at High partition {A,C}• This code satisfies SBNDC Property in both the cases and

also with compositionality

45



Protecting flow against Low partition {B} from a physical

change at High partition {A,C}

46



47




4

3

2

1





جمع بندی و نتیجه گیری

.تاسممک های امنیتی در سامانه انتقال مواد بر مبنای مدلحفظ محرمان،ی •ت سازی حاالگسستهبا •

یکی موادقانون فیزمنطبق بر تحلیل معنایی برگرفته از •

.بوده استکمترین توجه های کنترل صنعتی مورد این اصل در سامانهعلیرغم اهمیت محرمانگی، •

های مجازیفضای اینترنت و شبکههای تابعه در صنایع کشور و شرکتهای مهم حجم عظیمی از اطالعات و داده•

49

|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م 47/50روش های تشخیص بدافزار

.محتوای ای صفحه در نسخه عمومی فایل سخنرانی حذف شده است

ارائه و ( طراحی، مشاوره و اجرا) خدمات امن سازی و ارزیابی آماده ارائه و ها روزترین روشآموزشی بر اساس به پیشرفته مقدماتی و های دوره

های زیرساخت، صنایع و هاسازمانبرای دنیا دستاوردهای علمی و عملی .مهمحیاتی، حساس و

...باتشکر از حسن توجه شما

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards.

Gene Spafford

احمدیانمحمد مهدی

:کانال تلگرامt.me/MohammadMehdiAhmadian

صفحات تکمیلی بحث


:SPAبرای نشان دادن نحوه استفاده از •

از شهی سهطح ( BLP)نشت اطالعاتدارای ESسامانه •!باال به پایی

• N : event set that ES does not allow

• y : current status of the object

• l: security level {H or L}

• read and write : allowed actions

• R: final output of reading a result• W: the input of writing a result

:دنباله منجر به نشت•

:را بخواند5تواند مقدار حال هر شی سطح پایی می•

L H

53



:و ماشی حالتCoPSنحوه مدل سازی در •system to check if events changing flow at B would allow a

causal flow change at other

1. bisimulation equivalence

54



55

:و ماشی حالتCoPSنحوه مدل سازی در •

Protecting flow within Low partition {B} against High partition {A,C}



:و ماشی حالتCoPSنحوه مدل سازی در •• This code satisfies SBNDC Property in synchronous

partition

• This code satisfies SBNDC Property in both the

cases and also with compositionality

56







• e1 : change-in-flow event at a pipe segment with asingle FCS. (at the physical level)

• r1 : be the change in the reading of the pipeline dueto the triggered event e1 (e1⇔ r1) (at the cyber level)

• The following model encodes this system in SPA:

• Such a system can be represented simply as:

38 /23



• c :stands for ‘controlled;’ 1 if object l controls or iscontrolled.

38 /24






• FCSs can be represented as an event-based system in which each event represents a flowchange as follows: e1: change of flow (A), e2: change of flow (B), e3: change of flow (C).

• The behavior of the system is captured in SPA as:

• ⊓ : indicates a non-deterministic choice betweenprocesses.

• The readings at the cyber level change non-deterministically as:

38 /24







• e1 : change-in-flow event at a pipe segment with asingle FCS. (at the physical level)

• r1 : be the change in the reading of the pipeline dueto the triggered event e1 (e1⇔ r1) (at the cyber level)

• The following model encodes this system in SPA:

• Such a system can be represented simply as:

38 /23




38 /24






• FCSs can be represented as an event-based system in which each event represents a flowchange as follows: e1: change of flow (A), e2: change of flow (B), e3: change of flow (C).

• The behavior of the system is captured in SPA as:

• ⊓ : indicates a non-deterministic choice betweenprocesses.

• The readings at the cyber level change non-deterministically as:

38 /24


Focardi, Riccardo, and Roberto Gorrieri. "A Classification of Security

Properties for Process Algebras." Journal of Computer security

notation Stands for

NNI Non-deterministic Non-Interference

BNNI Bisimulation NNI

SNNI Strong NNI

BSNNI Bisimulation SNNI

BNDC Bisimulation-based Non-Deducibility on Composition

SBNDC Strong BNDC

38 /19


• The implicit flow of information can be minimized by controlling the physical flow via cyberactions (through coordinated message passing) by FCS devices.

• The SPA model to prevent pipe C from interfering with the actions of pipes A and B is:

• x|l :expresses the fact that object x is able tocommunicate with object

38 /26


.طبقه بندی شوددر سطح پایی Bو در سطح باال Aو Cکنیم فرض می•

• In this case,

Notation Description

The events(inputs)

their respective outputs

High-level observation.

High-level action set.

System definition.

System prevented from actions in ActH.

Interference of Π with low-level execution of system E.

• This scenario fails to satisfy the BNDC property, indicating that the system reveals changes made by one groupof users to other users. This information flow is due to the flow dependence in the composite system expressedby Eq. (1).

38 /28



Protecting flow within Low partition {B} against High partition {A,C}

Protecting flow against Low partition {B} from a physical

change at High partition {A,C}

38 /34

Cyber–Physical Systems Security Challenges(Case study: Information Flow Security Analysis in...

Technology

Transcript of Cyber–Physical Systems Security Challenges(Case study: Information Flow Security Analysis in...