Improving the security monitoring process

Abstract

Organizations that maintain information systems are constantly facing new security challenges in cyberspace, as individuals, organized groups, criminal organizations and nation sponsored actors, threaten their infrastructures having different motivation and aims. The need for business continuity and compliance to standards and laws, render their monitoring a necessity, to make the organization aware of its security posture and enable it to respond to security incidents. The problem that was investigated with this dissertation is the need for security monitoring in large-scale infrastructures composed of heterogeneous devices geographically dispersed, aiming to increase and optimize the capabilities of organizations. This research focused on the design of infrastructures for the management of the data (log data) that security monitoring relies on, aiming to address all aspects of the topic. Research started with literature review and resulted to the proposal of a methodology for the design of a log management infrastructure, addressing all aspects of the topic from the capture of requirements through out the collection of log data to a central location, and can be used as astep-by-step guide from the designer. It continued researching the need to validate the design of log management infrastructure, verifying that its users can actually perform the tasks that result from the requirements, as well as to ensure the optimal usage of its resources and exploitation of the collected log data. It concluded researching the ability to dynamically design a log management infrastructure able to evolve adopting to changing threat landscape it operates in. The introduction of the field of social network analysis to the design of such infrastructures was an innovation introduced by this research. The application of a this topic, well established in social sciences, proved to be an agile tool for managing the complexity of designing a large-scale infrastructure. The measurements and analysis techniques available in social network analysis were used to justify and document design decisions and enabled the consideration of additional issues affecting the design. The artifacts of this research were demonstrated and evaluated performing case studies that used the infrastructure of the Greek Research and Technology Network (GRNET S.A), though future work could focus on industrial control systems (ICS), the Internet of Things (IoT) and maritime security.

Οι οργανισμοί που διατηρούν πληροφοριακά συστήματα αντιμετωπίζουν διαρκώς νέες προκλήσεις ασφαλείας στον κυβερνοχώρο, καθότι μεμονωμένα άτομα, οργανωμένες ομάδες,εγκληματικές οργανώσεις αλλά και χώρες, απειλούν τις υποδομές τους με διαφορετικά κίνητρα και διαφορετικές επιδιώξεις. Η απαίτηση για επιχειρησιακή συνέχεια αλλά και λόγοι συμμόρφωσης στη νομοθεσία και σε πρότυπα, καθιστούν επιτακτική την επιτήρηση αυτών των υποδομών, προκειμένου ο οργανισμός να γνωρίζει της κατάσταση ασφαλείας του(security posture) και να αντιμετωπίζει τα αντίστοιχα περιστατικά. Το πρόβλημα που εξετάστηκε σε αυτήν τη διατριβή είναι η ανάγκη για παρακολούθηση ασφαλείας (securitymonitoring) σε υποδομές μεγάλης κλίμακας, αποτελούμενες από ετερογενείς και γεωγραφικά διασπαρμένες συσκευές, στοχεύοντας στη βελτίωση και επαύξηση των δυνατοτήτων των οργανισμών. Η έρευνα εστίασε στη σχεδίαση υποδομών για τη διαχείριση των δεδομένων (αρχείων καταγραφής) στα οποία βασίζεται η παρακολούθηση ασφαλείας, επιδιώκοντας την κάλυψη όλων των πτυχών του θέματος. Η έρευνα ξεκίνησε με ανασκόπηση της διαθέσιμης βιβλιογραφίας καταλήγοντας στην πρόταση μιας μεθοδολογίας για τη σχεδίασης υποδομών διαχείρισης αρχείων καταγραφής η οποία εξετάζει όλες τις πτυχές του θέματος, από την καταγραφή των απαιτήσεων μέχρι τη συλλογή των αρχείων καταγραφής σε ένα κεντρικό σημείο και μπορεί να χρησιμοποιηθεί ως ένας οδηγός βήμα-βήμα από το σχεδιαστή της υποδομής. Συνεχίστηκε με τη διερεύνηση της ανάγκης επικύρωσης της σχεδίασης μιας υποδομής, επιβεβαιώνοντας ότι οι χρήστες της μπορούν να εκτελέσουν τις εργασίες που προκύπτουν από την καταγραφή των απαιτήσεων, καθώς και ότι επιτυγχάνεται η βέλτιστη χρήση των διαθέσιμων πόρων και εκμετάλλευση των αρχείων καταγραφής. Ολοκληρώθηκε με τη διερεύνηση της δυνατότητας δυναμικής σχεδίασης μιας υποδομή διαχείρισης αρχείων καταγραφής και της δυνατότητας εξέλιξής της, προσαρμοζόμενη στην εξέλιξη των απειλών και του περιβάλλοντος λειτουργίας της συνολικά.Καινοτομία αποτέλεσε η εισαγωγή του πεδίου της ανάλυσης κοινωνικών δικτύων (socialnetwork analysis) στη σχεδίασή των υποδομών διαχείρισης αρχείων καταγραφής. Η εφαρμογή ενός ερευνητικού πεδίου από τις κοινωνικές επιστήμες, αποδείχθηκε ευέλικτο εργαλείο διαχείρισης της πολυπλοκότητας της σχεδίασης υποδομών διαχείρισης αρχείων καταγραφής σε υποδομές μεγάλης κλίμακας. Οι μετρήσεις και οι τεχνικές ανάλυσης που είναι διαθέσιμες,χρησιμοποιήθηκαν για τη λήψη και τεκμηρίωση των σχεδιαστικών αποφάσεων, ενώ κατέστησαν εφικτή τη συμπερίληψη στη σχεδίαση επιπλέον θεμάτων που την επηρεάζουν. Τα αποτελέσματα της έρευνας επιδείχθηκαν και αξιολογήθηκαν χρησιμοποιώντας την υποδομή του Εθνικού Δικτύου Υποδομών Τεχνολογίας και Έρευνας(ΕΔΥΤΕ Α.Ε.), ενώ θα μπορούσε να συνεχιστεί διερευνώντας τομείς όπως τα βιομηχανικών συστημάτων ελέγχου (Industrial Control Systems), το διαδίκτυο των πραγμάτων (Internet ofThings) και της θαλάσσιας ασφάλειας (maritime security).