Threat Modeling Framework for Smart Grids
Abstract
Det fremtidige strømnettet, ofte kalt det smarte strømnettet, er forventet å inkludere distribuerte strømproduksjon, toveis flyt av strøm, omfattende innsamling og prosessering av data og et stort antall enheter relatert til informasjons og kommunikasjonsteknologi (IKT). Ifølge en rapport fra EU medfører det smarte strømnettet en økt angrepsflate som kan utnyttes til å angripe kritisk infrastruktur. Hovedmålet til denne oppgaven er å bidra til å identifisere cybertrusler i fremtidens smarte strømnett ved hjelp av trusselmodellering. For å oppnå dette utvikler vi et rammeverk for cybersikkerhet i smart grid. Vi presenterer også en oversikt over relevante cybertrusler mot det smarte strømnettet.
Trusselmodellering handler om å indentifisere og forhindre uønskede hendelser forårsaket av en angriper. Teknikken har bakgrunn i sikkerhet for programvare og har blitt lite brukt i komplekse cyber-fysiske systemer slik som det smarte strømnettet som involverer både informasjons og kommunikasjonsteknologi (IKT) og operasjonell teknologi (OT). I denne oppgaven undersøker vi hvorvidt trusselmodellering er egnet for det komplekse cyber-fysiske systemet som strømnettet er. Trusselmodellering handler generelt om å lage en modell av systemet, analyserer modellen for trusler, adressere disse truslene og verifisere resultatet. Trusselmodellen som utvikles i denne oppgaven bruker en modell av dataflyten i strømnettet. Neste steg er å analysere interaksjonene i modellen for trussler som kan føre til Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service og Elevation of Privilege i strømnettet. Disse trusselkategoriene former mnemonicen STRIDE, som også er navnet på metoden.
I denne oppgaven utvikler vi et generisk rammeverk for det smarte strømnettet som muliggjør automatisk deteksjon av relevante cybertrusler. Rammeverket er enkelt å bruke. Det inneholder moduler som er relevant for det smarte strømnettet og tilbyr et klikk og dra basert brukergrensesnitt for å modellere vilkårlige scenario i det smarte strømnettet. Deretter analyserer rammeverket modellen produserer en systematisk liste over cybertrusler. Hver av truslene relaterer til kommunikasjon mellom to enheter i scenarioet. Det utviklede rammeverket er validert ved hjelp av sikkerhetseksperter fra SINTEF og CINELDI prosjektet .
Rammeverket er utviklet ved bruk av Microsoft Threat Modeling Tool (Microsoft TMT). Dette verktøyet kan brukes til å lage nye rammeverk o analysere scenario ved bruk av eksisterende rammeverk. Microsoft TMT er fritt tilgjengelig og gjør det enkelt for andre å benytte rammeverket utviklet i denne oppgaven. Rammeverket kan lastes ned fra Github . Det er vår intensjon at rammeverket som har blitt utviklet skal kunne tjene som et utgangspunkt for andre aktører relatert til det smarte strømnettet som krever en noe annen funksjonalitet eller et annet sett med trusler. Rammeverket er utviklet på en slik måte at dette lett lar seg gjøre.
Etter at vi har utviklet rammeverket bruker vi det til å analysere et scenario fra det smarte strømnettet som for tiden er realisert i et laboratorium. Dette gjøres for å demonstrere nyttigheten av rammeverket. Scenarioet er lever av SINTEF via CINELDI prosjektet. Scenarioet relaterer til kontroll av en del av det smarte strømnettet, og totalt 355 trusler identifiseres. En liten del av disse velges ut for nærmere analyse.
Denne oppgaven inneholder en studie på tidligere kjente cybertrusler mot det smarte strømnettet. Resultatet av denne studien er brukt som input til de truslene som er lagt til i rammeverket. Studien identifiserer og grupperer trusler etter hvilke deler av det smarte strømnettet de påvirker, og hvilken kategori de tilhører. Resultatene fra studien er presentert på slik en måte at de kan brukes som input til andre prosjekter som omhandler cybersikkerhet i det smarte strømnettet. Dette inkluderer prosjekter som ikke er direkte relatert til trusselmodellering.
Resultatene fra analysen av strømnett-scenarioet indikerer at det utviklede rammeverket kan brukes til å trusselmodulering strømnettet. Vi mener rammeverket har en rekke fordeler. For det første kan det bli brukt av mennesker som ikke besitter spisskompetanse på cybersikkerhet til å gjennomføre en første analyse av et system. Tanken er at aktører i strømnettet kan evaluere konsekvenser av et angrep og klassifisere trusler inn i ulike nivåer. Denne klassifiseringen kan avhenge av aktørens toleranse for risiko og sikkerhetsstandarder. Alle eller en del av truslene kan videresendes for nærmere ettersyn av personer med spisskompetanse på cybersikkerhet i det smarte strømnettet. Dette kan for eksempel være utfordrende trusler i designfasen som enda ikke har blitt håndtert.
For det andre kan rammeverket bidra til at trusler ikke blir utelatt fra analysen. Rammeverket bidrar videre til å fremme refleksjon over hvordan trusler kan oppstå i det smarte strømnettet. Rammeverket genererer videre en strukturert rapport over alle identifiserte trusler, hvor i systemet de oppstår, hvordan de har blitt evaluert, hvordan de håndtert og begrunnelse for valgene som er tatt.
Flere ulemper er i tillegg identifisert og diskutert. Antallet identifiserte trusler vokser raskt selv for scenario av moderat kompleksitet. Evaluering av truslene som rammeverket identifiserer kan være en omfattende prosess på grunn av det høye antallet trusler. The future power grid, called the smart grid, is expected to include distributed generation, bidirectional flow of power, large scale data gathering and processing, and numerous information and communication technology devices. According to an EU report, the smart grid provides an increased attack surface for adversaries to cause noteworthy disturbance to critical infrastructures. The primary aim of this thesis is to assist in identifying cyber threats in the future power grid infrastructure using threat modeling concepts. In particular, we develop a threat modeling framework for cybersecurity in the smart grid. While developing our framework, we also present a survey of smart grid relevant cyber threats.
Threat modeling is about identifying and mitigating unwanted incidents caused by an attacker. It originates from software security and has seen limited use in complex cyber-physical systems such as the smart grid, involving both Information Technology (IT) and Operation Technology (OT) systems. In this thesis, we investigate the applicability of threat modeling to the complex cyber-physical systems that is smart grid. In general, threat modeling consists of creating a model of the system of interest, analyzing for threats, addressing these threats, and verifying the result. The threat model developed in this thesis uses a model of the data flow of the smart grid. The next step is to analyze each interaction in the model for threats that could lead to Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege types of attacks. These threat categories form the mnemonic STRIDE, which is the name of the threat modeling method.
In this thesis we develop a new generic framework for the smart grid, allowing for automatic detection of relevant cyber threats. The framework is easy to use. It contains modules relevant to the smart grid and provides a drag and drop interface for creating data flow models of arbitrary smart grid use cases. Once the model is created the framework automatically analyzes it and produces a systematically categorized list of relevant cyber threats. Each of the threats in the list applies to an instance of communication between two components in the use case. The developed generic framework and its overall results from the thesis were validated with relevant security experts (from SINTEF and the CINELDI project ).
The framework is developed using the The Microsoft Threat Modeling Tool (Microsoft TMT). Microsoft TMT may be used to both create new frameworks and to analyze use cases using existing frameworks. The Microsoft TMT is freely available and allows for easy use of the framework developed in this thesis by others. The developed framework can be downloaded from Github. It is our intention that the framework developed in this thesis may be used as a starting point for other smart grid actors demanding a slightly different set of threats or functionality. Framework are designed in such a way that this can be done with ease.
After having created the smart grid framework it is then used to analyze a use case from the smart grid realized in a lab environment. This is done to demonstrate feasibility and usability aspects. The smart grid scenario is provided by SINTEF via the CINELDI project. The scenario relates to the control of a portion of the power grid. A total of 355 threats are identified, and a subset is selected for closer review.
The thesis provides a survey of previously known cyber threats affecting the smart grid. The results of this survey are used as input for the threats included in the framework. The survey identifies and groups threats according to the component they affect and threat category. The result of the survey is presented in a way that allows it to be used as input for other cybersecurity projects in the smart grid, not necessarily related to threat modeling.
The results obtained from analyzing the smart grid scenario indicate that the developed framework can be used for threat modeling in the smart grid. We believe that it has several advantages. Firstly, it can be used for an initial analysis performed by people not possessing expert knowledge in cyber-security. The idea is that power grid professionals can look at the potential consequences of an attack and classify threats into different levels. This classification can be made to depend on the grid operator’s security standards and tolerance for risk. All or a subset of the threats may then be forwarded to smart grid cyber-security professionals for closer review. This may, for example, be challenging threats that have not yet been addressed in the design phase.
Secondly, regardless of the security knowledge of the user, the framework helps ensure that threats are not forgotten and encourages reflection on how threats may arise in the smart grid after deployment. The framework generates a structured report that contains all identified threats, where they arise, how they have been evaluated, how they potentially are mitigated, and justification for the choices made.
Several disadvantages are identified and discussed as well. The number of generated threats quickly grow large even for scenario of moderate complexity. Reviewing the threat modeling results provided by the framework may be a laborious process due to number of threats.