Attack Trees Describing Security in Distributed Internet-Enabled Metrology

Abstract

NORSK: Målsetningen med denne oppgaven har vært å studere angrepstre-metodikken, og noen spesielle egenskaper med denne. Et hovedmål har vært å demonstrere hvordan angrepstrær kan brukes for å analysere sikkerhet i et konkret system. Metoden ble implementert i en sikkerhetsanalyse for et system, iMet, som er utviklet hos Justervesenet for en applikasjon som skal brukes til Internett-støttet kalibrering av instrumenter hos kunder. I analysen ble forskjellige sikkerhetsrelaterte forhold knyttet til konfidensialitet, integritet og tilgjengelighet undersøkt. Analysen startet med å bestemme kritiske aktiva og verdier som skal beskyttes i systemet. Angrepstre-analyse for disse gjorde det mulig å identifisere sårbarheter i systemet. Etter så å vurdere mulige trusler for systemet, kunne det estimeres risiko for disse sårbarhetene. Basert på denne risikoanalysen har det vært mulig å foreslå kontrete mekanismer og strategier for å øke sikkerheten i iMet-systemet. Angrepstre-metodikken har vist seg å være godt egnet for en analyse som denne. Fleksibiliteten i denne semi-formelle metoden gjorde det mulig å oppnå verdifulle resultater, selv for en analyse med konkrete begrensninger når det gjelder tilgjengelige ressurser og informasjon.

ENGELSK: The goal of this master thesis was to perform investigation of the attack tree method, and to study some distinctive characteristics of this method. A main objective was to demonstrate how the attack tree method could be applied as a means for analyzing the security level in a specific system. We implemented the method in a security analysis for a specific system application, iMet, which is a system developed at Justervesenet to facilitate Internet-enabled metrology tasks. Different security issues related to confidentiality, integrity and availability of the system was addressed. In the analysis we identified critical assets and performed an analysis using the attack tree method, resulting in identification of several vulnerabilities to the system. Following this, possible threats to the system were identified and assessments of risk for the vulnerabilities were performed. Based on this assessment some possible countermeasures, aimed to mitigate the vulnerabilities, could be recommended. The attack tree method showed to be suitable for the purpose defined here. The flexibility in this semi-formal method made it possible to perform an analysis with valuable results even for an analysis with limitations in available resources and information.