Optimal Security Response to Network Intrusions in IT Systems
2024 (English)Doctoral thesis, monograph (Other academic)
Sustainable development
SDG 9: Industry, innovation and infrastructure
Abstract [en]
Cybersecurity is one of the most pressing technological challenges of our time and requires measures from all sectors of society. A key measure is automated security response, which enables automated mitigation and recovery from cyber attacks. Significant strides toward such automation have been made due to the development of rule-based response systems. However, these systems have a critical drawback: they depend on domain experts to configure the rules, a process that is both error-prone and inefficient. Framing security response as an optimal control problem shows promise in addressing this limitation but introduces new challenges. Chief among them is bridging the gap between theoretical optimality and operational performance. Current response systems with theoretical optimality guarantees have only been validated analytically or in simulation, leaving their practical utility unproven.
This thesis tackles the aforementioned challenges by developing a practical methodology for optimal security response in IT infrastructures. It encompasses two systems. First, it includes an emulation system that replicates key components of the target infrastructure. We use this system to gather measurements and logs, based on which we identify a game-theoretic model. Second, it includes a simulation system where game-theoretic response strategies are optimized through stochastic approximation to meet a given objective, such as quickly mitigating potential attacks while maintaining operational services. These strategies are then evaluated and refined in the emulation system to close the gap between theoretical and operational performance.
We present CSLE, an open-source platform that implements our methodology. This platform allows us to experimentally validate the methodology on several instances of the security response problem, including intrusion prevention, intrusion response, intrusion tolerance, and defense against advanced persistent threats. We prove structural properties of optimal response strategies and derive efficient algorithms for computing them. This enables us to solve a previously unsolved problem: demonstrating optimal security response against network intrusions on an IT infrastructure.
Abstract [sv]
Cybersäkerhet är en av vår tids mest angelägna teknologiska utmaningar och kräver åtgärder från alla samhällssektorer. En nyckelåtgärd är automatiseringav säkerhetsrespons, vilket möjliggör automatisk avvärjning och återhämtning från cyberangrepp. Betydande framsteg mot sådan automatisering har gjorts genom utvecklingen av regelbaserade responssystem. Dessa system har dock en kritisk nackdel: de är beroende av domänexperter för att konfigurera reglerna, en process som är både felbenägen och ineffektiv. Modellering av säkerhetsrespons som ett reglertekniskt optimeringsproblem är ett lovande sätt att hantera denna begränsning men medför nya utmaningar. Främst bland dem är att överbrygga gapet mellan teoretisk optimalitet och operativ prestanda. Nuvarande responssystem med teoretiska optimalitetsgarantier har endast validerats i simulering, vilket lämnar deras praktiska nytta oprövad.
Den här avhandlingen behandlar ovannämnda utmaningar genom att utveckla en praktisk metodik för optimal säkerhetsrespons. Metodiken omfattar två system. För det första inkluderar den ett emuleringssystem som replikerar it-infrastrukturer i en virtuell miljö. Från detta system samlar vi in mätvärden och loggar som vi sedan använder för att identifiera en spelteoretisk modell. För det andra innefattar metodiken ett simuleringssystem där spelteoretiska responsstrategier optimeras genom stokastisk approximation för att uppnå ett givet mål, exempelvis att minimera responssystemets driftkostnad samt maximera dess förmåga att automatiskt stävja potentiella cyberangrepp. De optimerade responsstrategierna utvärderas och förfinas sedan i emuleringssystemet för att minska klyftan mellan teoretisk och operativ prestanda.
Vi presenterar CSLE, en originell plattform med öppen källkod som implementerar vår metodik. Med hjälp av denna plattform utvärderar vi vår metodik experimentellt på flera användningsområden, inklusive förebyggande av intrång, intrångssvar, intrångstolerans och försvar mot avancerade bestående hot. Vi bevisar strukturella egenskaper hos optimala responsstrategier och härleder effektiva algoritmer för att beräkna dem. Detta gör det möjligt för oss att lösa ett tidigare olöst problem: att demonstrera optimal säkerhetsrespons mot nätverksintrång på en it-infrastruktur.
Place, publisher, year, edition, pages
Stockholm: Kungliga Tekniska högskolan, 2024. , p. 338
Series
TRITA-EECS-AVL ; 2024:85
Keywords [en]
Cybersecurity, Game theory, Decision theory, Control theory, Causality, Optimal stopping, security response
National Category
Computer Engineering
Research subject
Electrical Engineering
Identifiers
URN: urn:nbn:se:kth:diva-356193ISBN: 978-91-8106-093-5 (print)OAI: oai:DiVA.org:kth-356193DiVA, id: diva2:1912164
Public defence
2024-12-05, https://kth-se.zoom.us/j/64592772191, F3, Lindstedtsvägen 26, Stockholm, 14:00 (English)
Opponent
Supervisors
Note
Academic Dissertation which, with due permission of the KTH Royal Institute of Technology, is submitted for public defence for the Degree of Doctor of Philosophy on Thursday the 5th December 2024, at 14:00 in F3, Lindstedtsvägen 26, Stockholm.
The defense will be streamed via Zoom: https://kth-se.zoom.us/j/64592772191
Candidate: Kim Hammar
Supervisor: Professor Rolf Stadler, KTH, Sweden
Opponent: Professor Tansu Alpcan, The University of Melbourne, Australia
Grading committee:
- Professor Emil Lupu, Imperial College London, UK
- Professor Alina Oprea, Northeastern University, USA
- Professor Karl H. Johansson, KTH, Sweden
Reviewer: Professor Henrik Sandberg, KTH, Sweden
QC 20241111
2024-11-112024-11-112024-11-11Bibliographically approved