There is no doubt Security is today on top of the priority list of every organization, for every type of system. This is also valid for the space industry, which has been enormously growing in recent years. The European Space Agency owns and operates on some of the most important space assets for provided services, and it is actively working to protect all of them, guaranteeing security and the consequent safety of involved people. Although space systems need a work on security comparable, if not higher than, to IT systems, and the existing constraints are important, a lack on standard security frameworks is manifest. The available tools and frameworks are not tailored to space systems and are inadequate to cover the relevant existing divergences. This work aims to produce a framework to model threats, representing them as specific actions, called Techniques, performed by adversaries against a system. The considered reference product, developed for IT systems and taken in this work as an example to produce an equivalent structure for Space, is the MITRE ATT&CK® [1] set of matrices. Existing Techniques have been selected, and new ones have been created by studying related publications, reports, CCSDS standards, and gathering knowledge from experts in ESA. The result is ATT4S, Adversaries Tactics and Techniques for Space, a structured collection of knowledge in the shape of a matrix, that can be used as a support for Risk Management, to identify threats and to decide how to face them. In addition to Techniques, some possible Mitigations are provided, to reduce the possible impact of attacks. A Website is available - currently only for ESA internal network – to navigate the matrix and work with it. ATT4S has been presented to Security WG during the CCSDS Fall 2022 Meetings, and it is currently under further development by the System Security section in ESA.

La sicurezza è indubbiamente tra le principali preoccupazioni di qualsiasi organizzazione, indipendentemente dalla tipologia di sistema implementato. La stessa assunzione è valida per il settore spaziale, in costante crescita negli ultimi anni. L’Agenzia Spaziale Europea (ESA) possiede e gestisce alcune tra le più importanti risorse spaziali dal punto di vista dei servizi forniti, ed è al lavoro anch’essa per garantir loro un’adeguata protezione, e di conseguenza la sicurezza delle persone coinvolte. Nonostante i requisiti di sicurezza richiesti dai sistemi spaziali siano equivalenti, quando non maggiori, dei sistemi IT, e nonostante molte limitazioni siano presenti, si evidenzia un’importante carenza negli standard di sicurezza esistenti. Gli strumenti e i framework disponibili non considerano le specificità dei sistemi spaziali, e sono inadeguati a coprire le differenze esistenti. L’obiettivo di questo lavoro è un framework per modellare le minacce, rappresentandole come azioni specifiche dette Tecniche, che possono essere eseguite da un attaccante contro un sistema. Il riferimento dal quale si è partiti è il set di matrici di MITRE ATT&CK [1], preso come esempio per riprodurre una simile struttura per lo Spazio. Si è proceduto con la selezione di specifiche Tecniche, e delle nuove sono state create attingendo da pubblicazioni, report, standard CCSDS ed intervistando esperti dell’ESA. Il risultato è ATT4S - acronimo di Adversaries Tactics and Techniques for Space - una raccolta organizzata e strutturata in forma matriciale, che può essere utilizzata per supportare le operazioni di gestione del rischio, per identificare le minacce e decidere come affrontarle. Inoltre, sono state anche inserite possibili Mitigazioni, utilizzabili per ridurre il potenziale impatto degli attacchi. È disponibile, ma al momento solo all’interno della rete locale ESA, un sito web per navigare ed utilizzare la matrice. ATT4S è stato presentato al Security WG dei CCSDS Fall 2022 Meetings, ed è tuttora in corso di sviluppo dalla sezione System Security dell’ESA.

ATT4S, una base di conoscenza di Tattiche e Tecniche Avversarie per lo Spazio

TRAINI, FRANCESCO
2021/2022

Abstract

There is no doubt Security is today on top of the priority list of every organization, for every type of system. This is also valid for the space industry, which has been enormously growing in recent years. The European Space Agency owns and operates on some of the most important space assets for provided services, and it is actively working to protect all of them, guaranteeing security and the consequent safety of involved people. Although space systems need a work on security comparable, if not higher than, to IT systems, and the existing constraints are important, a lack on standard security frameworks is manifest. The available tools and frameworks are not tailored to space systems and are inadequate to cover the relevant existing divergences. This work aims to produce a framework to model threats, representing them as specific actions, called Techniques, performed by adversaries against a system. The considered reference product, developed for IT systems and taken in this work as an example to produce an equivalent structure for Space, is the MITRE ATT&CK® [1] set of matrices. Existing Techniques have been selected, and new ones have been created by studying related publications, reports, CCSDS standards, and gathering knowledge from experts in ESA. The result is ATT4S, Adversaries Tactics and Techniques for Space, a structured collection of knowledge in the shape of a matrix, that can be used as a support for Risk Management, to identify threats and to decide how to face them. In addition to Techniques, some possible Mitigations are provided, to reduce the possible impact of attacks. A Website is available - currently only for ESA internal network – to navigate the matrix and work with it. ATT4S has been presented to Security WG during the CCSDS Fall 2022 Meetings, and it is currently under further development by the System Security section in ESA.
2021
2023-02-16
ATT4S, a knowledge base of Adversaries Tactics and Techniques for Space
La sicurezza è indubbiamente tra le principali preoccupazioni di qualsiasi organizzazione, indipendentemente dalla tipologia di sistema implementato. La stessa assunzione è valida per il settore spaziale, in costante crescita negli ultimi anni. L’Agenzia Spaziale Europea (ESA) possiede e gestisce alcune tra le più importanti risorse spaziali dal punto di vista dei servizi forniti, ed è al lavoro anch’essa per garantir loro un’adeguata protezione, e di conseguenza la sicurezza delle persone coinvolte. Nonostante i requisiti di sicurezza richiesti dai sistemi spaziali siano equivalenti, quando non maggiori, dei sistemi IT, e nonostante molte limitazioni siano presenti, si evidenzia un’importante carenza negli standard di sicurezza esistenti. Gli strumenti e i framework disponibili non considerano le specificità dei sistemi spaziali, e sono inadeguati a coprire le differenze esistenti. L’obiettivo di questo lavoro è un framework per modellare le minacce, rappresentandole come azioni specifiche dette Tecniche, che possono essere eseguite da un attaccante contro un sistema. Il riferimento dal quale si è partiti è il set di matrici di MITRE ATT&CK [1], preso come esempio per riprodurre una simile struttura per lo Spazio. Si è proceduto con la selezione di specifiche Tecniche, e delle nuove sono state create attingendo da pubblicazioni, report, standard CCSDS ed intervistando esperti dell’ESA. Il risultato è ATT4S - acronimo di Adversaries Tactics and Techniques for Space - una raccolta organizzata e strutturata in forma matriciale, che può essere utilizzata per supportare le operazioni di gestione del rischio, per identificare le minacce e decidere come affrontarle. Inoltre, sono state anche inserite possibili Mitigazioni, utilizzabili per ridurre il potenziale impatto degli attacchi. È disponibile, ma al momento solo all’interno della rete locale ESA, un sito web per navigare ed utilizzare la matrice. ATT4S è stato presentato al Security WG dei CCSDS Fall 2022 Meetings, ed è tuttora in corso di sviluppo dalla sezione System Security dell’ESA.
File in questo prodotto:
File Dimensione Formato  
ATT4S, a knowledge base of Adversaries Tactics and Techniques for Space.pdf

accesso aperto

Descrizione: ATT4S, a knowledge base of Adversaries Tactics and Techniques for Space
Dimensione 3.19 MB
Formato Adobe PDF
3.19 MB Adobe PDF Visualizza/Apri

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.12075/12001