[go: up one dir, main page]

WO2007088120A2 - Automated evaluation of network security - Google Patents

Automated evaluation of network security Download PDF

Info

Publication number
WO2007088120A2
WO2007088120A2 PCT/EP2007/050604 EP2007050604W WO2007088120A2 WO 2007088120 A2 WO2007088120 A2 WO 2007088120A2 EP 2007050604 W EP2007050604 W EP 2007050604W WO 2007088120 A2 WO2007088120 A2 WO 2007088120A2
Authority
WO
WIPO (PCT)
Prior art keywords
network
sensitive data
case
data
tool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2007/050604
Other languages
German (de)
French (fr)
Other versions
WO2007088120A3 (en
Inventor
Joachim Charzinski
Bernhard Petri
Djordje Stamenkovic
Wilhelm Wimmreuter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Nokia Solutions and Networks GmbH and Co KG
Siemens Corp
Original Assignee
Siemens AG
Nokia Siemens Networks GmbH and Co KG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Nokia Siemens Networks GmbH and Co KG, Siemens Corp filed Critical Siemens AG
Publication of WO2007088120A2 publication Critical patent/WO2007088120A2/en
Publication of WO2007088120A3 publication Critical patent/WO2007088120A3/en
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Definitions

  • the subject of the application relates to a method for automated evaluation of the security of a network, in particular ⁇ special data network, against spying sensitive data.
  • IPSs Intrusion detection systems
  • IPSs intrusion prevention systems
  • host IDs can be detected directly on the target computer to detect any attacks.
  • Firewalls are used to restrict access to systems with certain rules. In many cases, firewalls can not detect attacks based on the exploitation of known attacks (eg with the help of worms or taking control of computers). Also, the protective function of a system of firewalls is in Often complex network configurations are not verifiable, so in practice penetration tests (penetration tests) are used, but these endanger the function of the systems. Simple networks have network or security planning tools, but they can not address system vulnerabilities.
  • the application object is an object, a Ver ⁇ go for automated assessment of the security of a network, in particular data network to provide against spying sensitive data that allows the network operator to influence newly identified vulnerabilities in the security sensi ⁇ tive data quickly to verify.
  • a system which, based on a network description and a description of the weak points in network elements and the sensitive data in the network, analyzes the network together with the weak points and checks whether an attacker has the opportunity to obtain sensitive data.
  • the problem is solved by transforming the inherently spatial problem (which service on which node is reachable from a starting point) into an equivalent temporal problem (which state of a system can be reached at some point from a given initial state). Then the accessibility of the sensitive data from outside is checked with already available tools for formal verification.
  • the formal fication to be verified Systemspe ⁇ is formulated to prevent sensitive data may be accessible from the outside. If the specification is met, the system is safe. If it is not met, the verification tool provides the same mög ⁇ union attack vectors that indicate how and through which systems can get an attacker to read sensitive data.
  • the inventive method supports power-on security of a network by the non-reachable ⁇ ness of sensitive data or systems checked it by attackers with line with formal methods.
  • the method according to the invention helps to quickly check the influence of newly recognized weak points on the security of sensitive data or systems in the network.
  • the inventive method helps network operators in the decision between fast (risky) fixing of
  • FIG. 1 shows the sequence of the safety analysis with data (1), (2), (3), (8), (9), (5), (6), (7), processing units (10) according to the invention, ( 4) and standard verification tool (11),
  • FIG. 2 shows equivalent circuit diagrams for servers with multiple services.
  • a network administrator e.g., a corporate network or an IP-based public voice network
  • a network administrator describes its network with its services, network elements, and sensitive data to be formally verified.
  • the network administrator uses the above-described
  • the vulnerability must be remedied quickly (e.g., by patch, if available, or by stopping the appropriate service, if possible), or the attack vector must be disrupted, e.g. by modifying ACLs on routers or firewalls. If access is not possible, the administrator can spend more time resolving the vulnerabilities, e.g. wait until a patch is available and tested.
  • the described method has the advantage of assisting a network administrator in balancing between resolving a vulnerability with a possibly untested patch, disabling services, and deferring a response to newly identified vulnerabilities in elements of his network. This makes his risk calculable.
  • FIG. 1 shows the sequence and the data involved in the security analysis.
  • the connections and services in this network (1), a description of the vulnerabilities in the network elements (network nodes, servers) (2), a network model (3) is generated. This can be done by hand or with the support of one
  • the network model (3) is under zuzz ⁇ acquisition systematic modeling concepts (8) converted by a tool (10) in an extended network description (9) puts. Another tool (4) then translates this description in the time required for the verification Computing Computing Kaysspra ⁇ surface (5).
  • a verification tool (11) determines the set of possible attack vectors on the basis of the network description (5) and a formulation of the protection goals and the possible attack methods (6) and outputs them as a file (7).
  • the second conversion step (4) in Figure 1 can be omitted if the functions of the tools (10) and (4) are combined.
  • Vulnerability descriptions (2) can be automatically added to the network description (3) by another tool if they conform to a standard format.
  • files (1), (2), (9) are XML files
  • (5) is a file in the PROMELA language
  • (6) is LTL
  • (11) is the verification tool SPIN.
  • attack vectors (7) can optionally be implemented by another tool in an easily readable or a graphical format.
  • CERT reports a vulnerability reporting system that automatically evaluates these reports, - tool as part of a network management system
  • the prototype implementation uses the following AttributeDescriptor ⁇ bute (8) for marking the nodes and the following security formulas (6) to confirm the safety objectives:
  • Servers with multiple services, routers and proxies are represented by the equivalent circuits (8) shown in FIG. 2 in the preprocessed network model (9).

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)

Abstract

The invention relates to a method for automatically evaluating the security of a network, in particular a data network, to prevent the spying out of sensitive data. According to said method, the network and its associated connections, together with its services, network elements containing weak points and sensitive data are represented as a network model and the attainability of the sensitive data from the exterior is tested. In the event of the sensitive data being attainable, the attack vectors indicating a potential attack on the sensitive data are given. The method according to the invention permits the autonomous and rapid testing of the influence of newly identified weak points on the security of sensitive data or systems in the network.

Description

Beschreibungdescription

Automatisierte Bewertung der NetzsicherheitAutomated assessment of network security

Der Anmeldungsgegenstand betrifft ein Verfahren zur automatisierten Bewertung der Sicherheit eines Netzes, insbe¬ sondere Datennetzes, gegen Ausspähen sensitiver Daten.The subject of the application relates to a method for automated evaluation of the security of a network, in particular ¬ special data network, against spying sensitive data.

In den Elementen von Computernetzen (z.B. Client Computer, Router, Switch, Application Server) werden immer wiederIn the elements of computer networks (e.g., client computers, routers, switches, application servers) are recurring

Schwachstellen entdeckt, sowohl in Betriebssystemen als auch in Anwendungsprogrammen und -protokollen . Gleichzeitig werden immer mehr sensitive Daten auf Systemen gespeichert, die an solche Netze angeschlossen sind. Neu entdeckte Schwachstellen werden regelmäßig z.B. von CERTs (Computer emergency response teams) veröffentlicht. Netzadministratoren müssen daraufhin entscheiden, ob sie Patches zur Behebung der Schwachstellen (falls überhaupt angeboten) sofort ungetestet einspielen und damit die Funktion der Dienste riskieren, ob sie die Dienste vom Netz nehmen, oder ob sie die Schwachstelle eine Zeitlang ignorieren. Letzteres ist nur sinnvoll, wenn durch Schutzme¬ chanismen im Netz (z.B. Firewall-Regeln) ein Ausnützen der Schwachstelle durch externe Angreifer ausgeschlossen ist. Dies zu beurteilen, ist aber bereits in kleinen Netzen sehr schwierig, in größeren unmöglich. Insbesondere bei Schwachstellen, für die kurze Zeit nach dem ersten Bericht bereits ausnützende Programme oder andere Attacken existieren, ist daher eine Entscheidungshilfe für die Netzbetreiber nötig.Vulnerabilities discovered in both operating systems and application programs and protocols. At the same time, more and more sensitive data is being stored on systems connected to such networks. Newly discovered vulnerabilities are regularly published eg by CERTs (Computer Emergency Response Teams). Network administrators must then decide whether to patch the vulnerabilities (if any) immediately untested, risking service function, disconnecting the services, or ignoring the vulnerability for a while. The latter is only useful if mechanisms by Schutzme ¬ in the network (eg firewall) is excluded exploiting the vulnerability by external attackers. To judge this, however, is already very difficult in small networks, impossible in larger ones. In particular, for vulnerabilities for which a short time after the first report already exploiting programs or other attacks exist, a decision-making for the network operators is therefore necessary.

Zum Erkennen durchgeführter Angriffe gibt es IDS (intrusion detection System) , IPS (intrusion prevention System) , teils auch als host IDS direkt auf dem Zielrechner.Intrusion detection systems (IPSs), IPSs (intrusion prevention systems), and host IDs can be detected directly on the target computer to detect any attacks.

Firewalls werden eingesetzt, um mit bestimmten Regeln den Zugang zu Systemen zu beschränken. In vielen Fällen können Firewalls Angriffe, die auf dem Ausnutzen bekannt gewordener Angriffe beruhen (z.B. mit Hilfe von Würmern oder durch die Übernahme der Kontrolle von Rechnern), nicht erkennen. Außerdem ist die Schutzfunktion eines Systems von Firewalls in komplexeren Netzkonfigurationen oft nicht verifizierbar, so dass in der Praxis auf Eindring-Tests (penetration tests) zurückgegriffen wird, die allerdings die Funktion der Systeme gefährden. Für einfache Netze gibt es Netz- oder Sicherheits- planungswerkzeuge, die allerdings keine Schwachstellen von Systemen berücksichtigen können.Firewalls are used to restrict access to systems with certain rules. In many cases, firewalls can not detect attacks based on the exploitation of known attacks (eg with the help of worms or taking control of computers). Also, the protective function of a system of firewalls is in Often complex network configurations are not verifiable, so in practice penetration tests (penetration tests) are used, but these endanger the function of the systems. Simple networks have network or security planning tools, but they can not address system vulnerabilities.

Dem Anmeldungsgegenstand liegt das Problem zugrunde, ein Ver¬ fahren zur automatisierten Bewertung der Sicherheit eines Netzes, insbesondere Datennetzes, gegen Ausspähen sensitiver Daten anzugeben, das es dem Netzbetreiber gestattet, den Ein- fluss neu erkannter Schwachstellen auf die Sicherheit sensi¬ tiver Daten schnell zu überprüfen.The application object is an object, a Ver ¬ go for automated assessment of the security of a network, in particular data network to provide against spying sensitive data that allows the network operator to influence newly identified vulnerabilities in the security sensi ¬ tive data quickly to verify.

Das Problem wird durch ein Verfahren mit den Merkmalen des Anspruchs 1 gelöst .The problem is solved by a method having the features of claim 1.

Erfindungsgemäß wird ein System vorgeschlagen, das auf Basis einer Netzbeschreibung sowie einer Beschreibung der Schwach- stellen in Netzelementen und der sensitiven Daten im Netz das Netz mitsamt den Schwachstellen analysiert und prüft, ob ein Angreifer die Möglichkeit hat, dadurch an sensitive Daten zu gelangen .According to the invention, a system is proposed which, based on a network description and a description of the weak points in network elements and the sensitive data in the network, analyzes the network together with the weak points and checks whether an attacker has the opportunity to obtain sensitive data.

Die Problemstellung wird gelöst, indem das an sich räumliche Problem (welcher Dienst auf welchem Knoten ist von einem Startpunkt aus erreichbar) in ein äquivalentes zeitliches Problem transformiert wird (welcher Zustand eines Systems ist irgendwann von einem gegebenen Anfangszustand aus erreich- bar) . Daraufhin wird mit bereits verfügbaren Werkzeugen zur formalen Verifikation die Erreichbarkeit der sensitiven Daten von außen überprüft. Die formal zu verifizierende Systemspe¬ zifikation wird so formuliert, dass keine sensitiven Daten von außen erreichbar sein dürfen. Wenn die Spezifikation erfüllt ist, ist das System sicher. Wenn sie nicht erfüllt ist, liefert das Verifikationswerkzeug gleichzeitig die mög¬ lichen Angriffsvektoren, die angeben, wie und über welche Systeme ein Angreifer an die sensitiven Daten gelangen kann. Das erfindungsgemäße Verfahren unterstützt die Sicherheit bei Inbetriebnahme eines Netzes, indem es die Nicht-Erreichbar¬ keit sensitiver Daten oder Systeme durch Angreifer mit forma- len Methoden überprüft .The problem is solved by transforming the inherently spatial problem (which service on which node is reachable from a starting point) into an equivalent temporal problem (which state of a system can be reached at some point from a given initial state). Then the accessibility of the sensitive data from outside is checked with already available tools for formal verification. The formal fication to be verified Systemspe ¬ is formulated to prevent sensitive data may be accessible from the outside. If the specification is met, the system is safe. If it is not met, the verification tool provides the same mög ¬ union attack vectors that indicate how and through which systems can get an attacker to read sensitive data. The inventive method supports power-on security of a network by the non-reachable ¬ ness of sensitive data or systems checked it by attackers with line with formal methods.

Das erfindungsgemäße Verfahren hilft, den Einfluss neu erkannter Schwachstellen auf die Sicherheit sensitiver Daten oder Systeme im Netz schnell zu überprüfen.The method according to the invention helps to quickly check the influence of newly recognized weak points on the security of sensitive data or systems in the network.

Das erfindungsgemäße Verfahren hilft Netzbetreibern bei der Entscheidung zwischen schnellem (riskantem) Beheben vonThe inventive method helps network operators in the decision between fast (risky) fixing of

Schwachstellen, Abschalten von Diensten und Aufschieben der Reaktion (Ignorieren der Schwachstellen) .Vulnerabilities, shutdown of services and postponing the reaction (ignoring the vulnerabilities).

Der Anmeldungsgegenstand wird im folgenden als Ausführungs- beispiel in einem zum Verständnis erforderlichen Umfang anhand von Figuren näher erläutert. Dabei zeigen: Fig 1 den Ablauf der Sicherheitsanalyse mit Daten (1), (2), (3), (8), (9), (5), (6), (7), erfindungsgemäßen Verarbeitungseinheiten (10), (4) sowie Standard-Verifika- tionswerkzeug (11),The subject of the application is explained in more detail below as an exemplary embodiment in a scope necessary for understanding with reference to figures. 1 shows the sequence of the safety analysis with data (1), (2), (3), (8), (9), (5), (6), (7), processing units (10) according to the invention, ( 4) and standard verification tool (11),

Fig 2 Ersatzschaltbilder für Server mit mehreren Diensten,FIG. 2 shows equivalent circuit diagrams for servers with multiple services.

Router und Proxies undRouters and proxies and

Fig 3 eine Darstellung der Ausgabe (5) nach der automatischen Umsetzung (4) in PROMELA3 shows a representation of the output (5) after the automatic conversion (4) in PROMELA

Ein Netzadministrator (z.B. eines Firmennetzes oder eines IP- basierten öffentlichen Sprachnetzes) beschreibt sein Netz mit seinen Diensten, Netzelementen und zu schützenden (sensitiven) Daten so, dass es formal überprüft werden kann. Der Netzadministrator verwendet das eingangs beschriebeneA network administrator (e.g., a corporate network or an IP-based public voice network) describes its network with its services, network elements, and sensitive data to be formally verified. The network administrator uses the above-described

System zur formalen Überprüfung seines Netzes. Wenn Sicherheitslücken identifiziert werden, eliminiert er diese durch Beheben von Schwachstellen oder Konfigurationsänderungen im Netz (z.B. Zugriffskontrolllisten ACL (Access Control List), auf Routern oder Firewalls) . Daraufhin überprüft er nochmals mit dem Werkzeug das Netz. Diese Schritte werden wiederholt, bis sichergestellt ist, dass externe Angreifer keine sensiti¬ ven Daten mehr erreichen können. Wird von einem Schwachstellenberichtsdienst (z.B. CERT, Com¬ puter Emergency Response Team) eine neue Meldung über eine neu entdeckte Schwachstelle in bestimmten Systemen verteilt, dann überprüft der Administrator seine Netzelemente und doku¬ mentiert die neu identifizierten Schwachstellen in der Netzbeschreibung. Anschließend lässt er das Netz wieder durch das Werkzeug überprüfen. Abhängig davon, ob das Werkzeug dabei neue Angriffsmöglich- keiten identifiziert, mit denen ein Angreifer Zugang zu sensitiven Daten erhalten könnte, wählt der Netzadministrator seine Reaktion:System for formal verification of its network. When vulnerabilities are identified, they eliminate them by resolving vulnerabilities or configuration changes in the network (such as Access Control Lists (ACLs), routers, or firewalls). He then checks the net again with the tool. These steps are repeated until it is ensured that external attackers can not reach a sensitized in ¬ ven more data. Is distributed from a vulnerability report service (eg CERT, Com ¬ puter Emergency Response Team), a new message about a newly discovered vulnerability in certain systems, the administrator checks its network elements and docu ¬ mented the newly identified vulnerabilities in the network description. He then has the mesh checked by the tool again. Depending on whether the tool identifies new attack opportunities that could allow an attacker access to sensitive data, the network administrator chooses his response:

Falls durch die Schwachstellen ein Zugang zu sensitiven Daten möglich wird, muss die Schwachstelle schnell behoben werden (z.B. durch Patch, sofern verfügbar, oder durch Abstellen des entsprechenden Dienstes, falls möglich), oder es muss der Angriffsvektor unterbrochen werden, z.B. durch Modifikation von ACLs auf Routern oder Firewalls. Falls kein Zugang möglich ist, kann der Administrator sich mehr Zeit beim Beheben der Schwachstellen lassen, z.B. warten, bis ein Patch verfügbar und getestet ist. Das beschriebene Verfahren hat den Vorteil, dass es einem Netzadministrator Hilfestellung gibt bei der Abwägung zwischen dem Beheben einer Schwachstelle mit einem eventuell ungetesteten Patch, dem Deaktivieren von Diensten und dem Aufschieben einer Reaktion auf neu identifizierte Schwachstellen in Elementen seines Netzes. Dadurch wird sein Risiko kalkulierbarer .If access to sensitive data becomes possible through the vulnerabilities, the vulnerability must be remedied quickly (e.g., by patch, if available, or by stopping the appropriate service, if possible), or the attack vector must be disrupted, e.g. by modifying ACLs on routers or firewalls. If access is not possible, the administrator can spend more time resolving the vulnerabilities, e.g. wait until a patch is available and tested. The described method has the advantage of assisting a network administrator in balancing between resolving a vulnerability with a possibly untested patch, disabling services, and deferring a response to newly identified vulnerabilities in elements of his network. This makes his risk calculable.

Figur 1 zeigt den Ablauf und die an der Sicherheitsanalyse beteiligten Daten. Als Basis dienen eine Beschreibung des zu untersuchenden Netzes, der Verbindungen und Dienste in diesem Netz (1), eine Beschreibung der Schwachstellen in den Netz- Elementen (Netzknoten, Server) (2) wird ein Netzmodell (3) erzeugt. Dies kann von Hand oder mit Unterstützung einesFIG. 1 shows the sequence and the data involved in the security analysis. As a basis serve a description of the network to be examined, the connections and services in this network (1), a description of the vulnerabilities in the network elements (network nodes, servers) (2), a network model (3) is generated. This can be done by hand or with the support of one

Werkzeuges geschehen. Das Netzmodell (3) wird unter Zuhilfe¬ nahme systematischer Modellierungskonzepte (8) durch ein Werkzeug (10) in eine erweiterte Netzbeschreibung (9) umge- setzt. Ein weiteres Werkzeug (4) übersetzt diese Beschreibung dann in die für die Verifikation benötigte Beschreibungsspra¬ che (5) . Ein Verifikationswerkzeug (11) bestimmt auf Basis der Netzbeschreibung (5) und einer Formulierung der Schutz- ziele und der prinzipiell möglichen Angriffsverfahren (6) die Menge der möglichen Angriffsvektoren und gibt diese als Datei (7) aus .Tool done. The network model (3) is under zuhilfe ¬ acquisition systematic modeling concepts (8) converted by a tool (10) in an extended network description (9) puts. Another tool (4) then translates this description in the time required for the verification Beschreibungsspra ¬ surface (5). A verification tool (11) determines the set of possible attack vectors on the basis of the network description (5) and a formulation of the protection goals and the possible attack methods (6) and outputs them as a file (7).

Falls prinzipiell neue Angriffsmethoden bekannt werden, werden die Formulierung des Verifikationszieles (6) und even¬ tuell auch die Netzmodellierung (8) darauf angepasst.If fundamentally new attack methods are known to the formulation of the verification target (6) and even ¬ be TULLE the network modeling (8) adapted thereto.

Optionen und ErweiterungenOptions and extensions

Der zweite Umsetzungsschritt (4) in Figur 1 kann entfallen, wenn die Funktionen der Werkzeuge (10) und (4) vereint werden .The second conversion step (4) in Figure 1 can be omitted if the functions of the tools (10) and (4) are combined.

Schwachstellenbeschreibungen (2) können durch ein weiteres Werkzeug automatisch in die Netzbeschreibung (3) eingebracht werden, wenn sie einem Standard-Format entsprechen.Vulnerability descriptions (2) can be automatically added to the network description (3) by another tool if they conform to a standard format.

Im aufgebauten Prototyp handelt es sich bei den Dateien (1), (2), (9) um XML-Dateien, (5) ist eine Datei in der Sprache PROMELA, (6) ist in LTL beschrieben und (11) ist das Verifikationswerkzeug SPIN.In the constructed prototype, files (1), (2), (9) are XML files, (5) is a file in the PROMELA language, (6) is LTL, and (11) is the verification tool SPIN.

Die Beschreibung der Angriffsvektoren (7) kann optional durch ein weiteres Werkzeug in ein leicht lesbares oder ein grafisches Format umgesetzt werden.The description of the attack vectors (7) can optionally be implemented by another tool in an easily readable or a graphical format.

Ausführungsbeispiele alsEmbodiments as

- eigenständiges Werkzeug zur Bewertung der Sicherheit eines Netzes,- a stand-alone tool for assessing the security of a network,

- Werkzeug zur Bewertung der Sicherheit eines Netzes, das an ein Schwachstellen-Berichtssystem (zB CERT reports) angeschlossen ist und diese Berichte automatisch auswertet, - Werkzeug als Teil eines Netzmanagementsystems,- a network safety assessment tool connected to a vulnerability reporting system (eg CERT reports) that automatically evaluates these reports, - tool as part of a network management system,

- Zusatzfunktion eines Netzplanungswerkzeuges,- additional function of a network planning tool,

- Sicherheitsplanungstool .- Security Planning Tool.

Beschreibung des PrototypenDescription of the prototype

Die prototypische Realisierung verwendet die folgenden Attri¬ bute (8) zur Markierung der Knoten und die folgenden Sicherheitsformeln (6) zur Bestätigung der Schutzziele:The prototype implementation uses the following AttributeDescriptor ¬ bute (8) for marking the nodes and the following security formulas (6) to confirm the safety objectives:

Attribute Schutzziele t - Transit ! ((acx || 1 1| ade) U (Ide && sdu)) acx - Arbitrary Code Execution ! ((acx || t |j ade) U (gde && sdsj)Attributes Protection Targets t - Transit! ((acx || 1 1 | ade) U (Ide && sdu)) acx - Arbitrary Code Execution! ((acx || t | j ade) U (gde && sdsj)

Ide - Local Data Exposure ι ((acx || 1 1| ade) U ss gde- Global Data Exposure ! ((acx || 1 1| ade) U (acx && sd)) ade - Access Data Exposure ! ((acx || 1 1| ade) U (ade && sds)) sdu - Sensitive Data of the User sds - Sensitive Data on the System ss - Sensitive Service sd - Sensitive DomainIde - Local Data Exposure ι ((acx || 1 1 | ade) U ss gde- Global Data Exposure! ((Acx || 1 1 | ade) U (acx && sd)) ade - Access Data Exposure! ((Acx || 1 1 | ade) U (ade && sds)) sdu - Sensitive Data of the User sds - Sensitive Data on the System ss - Sensitive Service sd - Sensitive Domain

Server mit mehreren Diensten, Router und Proxies werden durch die in Fig 2 dargestellten Ersatzschaltungen (8) im vorverar- beiteten Netzmodell (9) repräsentiert.Servers with multiple services, routers and proxies are represented by the equivalent circuits (8) shown in FIG. 2 in the preprocessed network model (9).

Die Darstellung eines kleinen Beispielnetzes in xml (9) sieht folgendermaßen aus :The representation of a small example network in xml (9) looks like this:

<?xml version="l .0" encoding="ISO-8859-l" ?> <network><? xml version = "l .0" encoding = "ISO-8859-l"?> <network>

<node id="rl" type="router"><node id = "rl" type = "router">

Attributes t="0" acx="0" lde="0" gde="0" sd="0"/> </node> <node id="s3" type="server">Attributes t = "0" acx = "0" lde = "0" gde = "0" sd = "0" /> </ node> <node id = "s3" type = "server">

Attributes t="0" acx="0" lde="0" gde="0" sd="0"/>Attributes t = "0" acx = "0" lde = "0" gde = "0" sd = "0" />

<service id="iis-http" type="relay"/><service id = "iis-http" type = "relay" />

<link><Link>

<to_node>s5</to_node> </link> </node> <node id="s5" type=" Server" > <service id="microsoft_sql" type="normal"><to_node> s5 </ to_node></link></node><node id = "s5" type = "Server"> <service id = "microsoft_sql" type = "normal">

<attributes t="0" lde="0" sd="O"/> </service> </node> </network> <attributes t = "0" lde = "0" sd = "O" /> </ service> </ node> </ network>

Claims

Patentansprüche claims 1. Verfahren zur automatisierten Bewertung der Sicherheit eines Netzes, insbesondere Datennetzes, gegen Ausspähen sensitiver Daten demzufolge1. A method for automated evaluation of the security of a network, in particular data network, against spying sensitive data accordingly - in einem ersten Schritt das Netz mit seinen Verbindungen sowie Diensten (1), Netzelementen einschließlich Schwachstellen (2) und sensitiven Daten als Netzmodell (3) beschrieben wird,in a first step, describing the network with its connections and services (1), network elements including vulnerabilities (2) and sensitive data as network model (3), - in einem zweiten Schritt mit einem Werkzeug zur formalen Verifikation (11) die Erreichbarkeit der sensitiven Daten von außen überprüft wird,- in a second step with a tool for formal verification (11) the accessibility of the sensitive data is checked from the outside, - in einem dritten Schritt im Falle einer Erreichbarkeit sensitiver Daten von dem Werkzeug zur formalen Verifikation die Angriffsvektoren (7), über die ein Zugriff auf die sensitiven Daten gegeben ist, geliefert werden,in a third step, in the case of accessibility of sensitive data by the tool for formal verification, the attack vectors (7), via which access to the sensitive data is given, are delivered, - im Falle einer Erreichbarkeit sensitiver Daten die Sys¬ temspezifikation abgeändert und mit dem zweiten Schritt fortgefahren wird und- in case of accessibility of sensitive data, the Sys ¬ temspezifikation altered and continues with the second step and - im Falle einer Nicht-Erreichbarkeit sensitiver Daten das Kommunikationsnetz als sicher gegen Ausspähen sensitiver Daten bewertet wird.- In the case of non-availability of sensitive data, the communication network is assessed as secure against spying sensitive data. 2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass im Falle einer neuen Angriffsmethode die Formulierung des2. The method according to claim 1, characterized in that in the case of a new attack method, the formulation of Verifikationszieles (6) angepasst wird.Verification objective (6). 3. Verfahren nach Anspruch 2 dadurch gekennzeichnet, dass im Falle einer neuen Angriffsmethode die Formulierung des3. The method according to claim 2, characterized in that in the case of a new attack method, the formulation of Netzmodelles (8) angepasst wird.Network model (8) is adjusted. 4. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass neue Schwachstellen (2) über ein Schwachstellen-Berichtssys¬ tem, insbesondere CERT reports, zuführbar sind. 4. The method according to any one of the preceding claims, characterized in that new vulnerabilities (2) via a vulnerability reporting system ¬ tem, in particular CERT reports, can be fed. 5. Verfahren nach Anspruch 4 dadurch gekenn z e i chnet , das s die Schwachstellenbeschreibungen ein standardisiertes Format aufweisen.5. The method according to claim 4, characterized in that the weak-point descriptions have a standardized format. 6. Verfahren nach einem der vorstehenden Ansprüche gekennzeichnet durch6. The method according to any one of the preceding claims characterized by Einbindung in ein Netzmanagementsystem.Integration into a network management system. 7. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass die Beschreibung der Angriffsvektoren (7) in ein grafisches Format umgesetzt wird. 7. The method according to any one of the preceding claims, characterized in that the description of the attack vectors (7) is converted into a graphic format.
PCT/EP2007/050604 2006-01-31 2007-01-22 Automated evaluation of network security Ceased WO2007088120A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006004445 2006-01-31
DE102006004445.2 2006-01-31

Publications (2)

Publication Number Publication Date
WO2007088120A2 true WO2007088120A2 (en) 2007-08-09
WO2007088120A3 WO2007088120A3 (en) 2007-11-15

Family

ID=38327070

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2007/050604 Ceased WO2007088120A2 (en) 2006-01-31 2007-01-22 Automated evaluation of network security

Country Status (1)

Country Link
WO (1) WO2007088120A2 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100448262B1 (en) * 2002-03-19 2004-09-10 지승도 Network Security Simulation system
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network

Also Published As

Publication number Publication date
WO2007088120A3 (en) 2007-11-15

Similar Documents

Publication Publication Date Title
DE60102555T2 (en) PREVENTING MAP-ENABLED MODULAR MASKER ATTACKS
DE60017457T2 (en) PROCEDURE FOR ISOLATING AN ERROR IN ERROR MESSAGES
US20090177929A1 (en) Method and apparatus for adaptive declarative monitoring
DE102010037740A1 (en) Integrated unified threat management for a process control system
DE102012218704A1 (en) DETECTION OF WEAKNESSES FOR DOM-BASED CROSS-SITE SCRIPTING
DE202011111121U1 (en) System for capturing complex malware
DE112010004605T5 (en) Method and device for safety testing
DE102012109212B4 (en) Methods, apparatus and products of manufacture for providing firewalls for process control systems
EP4187417B1 (en) Detecting a deviation of a safety state of a computing device from a desired safety state
DE102015102434A1 (en) Method and system for providing a robust and efficient virtual asset vulnerability management and verification service
EP3695337B1 (en) Method and confirmation device for confirming the integrity of a system
DE112021004115B4 (en) Security system for segmentation of computer file metadata
DE112018004408B4 (en) IDENTIFICATION OF ATTACK FLOWS IN A LAYERED NETWORK TOPOLOGY
WO2007088120A2 (en) Automated evaluation of network security
DE102006036111B3 (en) Safe transmission method for message of one zone into other zone, involves transmitting message of third zone to other zone by one-way lock unit and displaying evaluated transmitted analysis results free from defective component
DE102012223123B4 (en) Preventing error propagation
WO2009077271A1 (en) Method for identifying reciprocal influencing of software components
EP3339994A1 (en) Method for verifying a client allocation, computer program product and device
EP4297332B1 (en) Method for the implementation and use of cryptographic material in at least one system component of an information technology system
JP6441742B2 (en) Security level management system, security level management device, security level management method and program
EP3772842A1 (en) Detection of manipulated clients of a factory control system
WO2007088121A1 (en) System for automatically identifying necessary preventive measures against security weak points
WO2024261284A1 (en) System for signing software artefacts
DE202022102514U1 (en) Cryptography-based intelligent system for security management of microcode signatures
EP4455919A1 (en) Controlling a communication of a device in a zero trust architecture

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07726214

Country of ref document: EP

Kind code of ref document: A2

122 Ep: pct application non-entry in european phase

Ref document number: 07726214

Country of ref document: EP

Kind code of ref document: A2