Intrusion tolerant systems
Abstract
Security intrusions and successful attacks on computer systems will occur regardless of the quality of the control and protection systems in use. It is therefore necessary to build computer systems that offer essential services even in the presence of a successful attack. Such systems are called intrusion tolerant.
Intrusion tolerant systems differ from fault tolerant systems by their threat models. Fault tolerant systems are designed to survive spontaneous errors (due to natural physical processes), whereas intrusion tolerant systems should withstand attacks from skilled, well informed and resourceful adversaries who would launch multi-stage attacks on the system, where also the detection and recovery mechanisms are targeted. Spontaneous errors may be statistically modeled, whereas a targeted attack cannot.
The research on intrusion tolerant systems draws on knowledge and experience from several other research fields, i.a. computing security, distributed systems and fault tolerant systems. These fields bring with them slightly different perspectives into the research, which will be presented in the report.
The construction of intrusion tolerant systems builds on top of a range of well known technologies from related research: Intrusion detection, cryptography, distributed recovery, system diversity etc. These contributions will be presented in the report and their contribution to intrusion tolerant systems will be identified.
There are no intrusion tolerant systems in the sense that they defend themselves against attacks and misuse under any circumstances. What can be found are attempts to combine existing techniques for intrusion detection, cryptography, crash recovery and damage mitigation into frameworks which create a stronger defence than if these techniques were applied separately. The report presents a few of these frameworks.
The report also points to the reasons why mobile, tactical systems are more difficult to turn into intrusion tolerant systems. A few research questions on this matter are suggested.
The report does not make a distinction between intrusion and attack. Someone may argue that misuse by disloyal employee should not be called intrusion, but this distinction is not made. Sikkerhetsinnbrudd og angrep på datamaskiner vil skje, uansett hvor gode kontroll- og beskyttelsessystemer som brukes. Derfor er det nødvendig å bygge datasystemene slik at de leverer essensielle tjenester også i tilfelle et vellykket angrep. Slike systemer kalles inntrengningstolerante.
Inntrengingstolerante systemer skiller seg fra feiltolerante systemer ved deres trusselbilder. Mens feiltrolerante systemer skal motstå spontane feil (f.eks. knyttet til naturlige fysiske prosesser), skal inntrengningstolerante systemer motstå målrettede angrep fra kunnskapsrike og ressurssterke aktører som kan skape flertrinns angrep rettet også mot deteksjons- og gjenopprettings-mekanismene. Mens spontane feil kan modelleres statistisk, kan målrettede angrep ikke det.
Forskningen på inntrengningstolerante systemer henter kunnskap og erfaringer fra flere andre felt, bl.a. datasikkerhet, distribuerte systemer og feiltolerante systemer. Disse feltene tar med seg litt ulike perspektiver inn i forskningen, og disse perspektivene blir presentert i rapporten.
Konstruksjonen av inntrengningstolerante systemer bygger på en rekke velkjente teknologier fra relatert forskning: Inntrengingsdeteksjon, kryptografi, distribuert gjenoppretting, diversifiserte systemer m.m.. Disse bidragene blir presentert i rapporten og deres bidrag til inntrengningstolerante systemer identifisert.
Det finnes ikke inntrengingstolerante systemer i den forstand at de forsvarer seg mot inntrengning og misbruk i alle situasjoner. Det som finnes er forsøk på å kombinere eksisterende teknikker for inntrengningsdeteksjon, kryptografi, gjenoppretting og skadebegrensning i rammeverk som skaper et sterkere vern enn om teknikkene ble anvendt separat. Rapporten beskriver kort noen slike rammeverkprosjekter.
Rapporten peker også på de særlige egenskaper ved mobile, taktiske nettverk som gjør det vanskeligere å gjøre dem inntrengningstolerante. Noen utkast til forskningsspørsmål på dette feltet blir presentert.
Rapporten gjør ikke forskjell på begrepene inntrengning og angrep. Noen vil kanskje hevde at angrep utført av betrodde innsidere ikke bør kalles inntrengning, men en slik nyansering er altså ikke gjort.