論文の概要: AsIf: Asset Interface Analysis of Industrial Automation Devices

• arxiv url: http://arxiv.org/abs/2409.17593v1
• Date: Thu, 26 Sep 2024 07:19:15 GMT
• ステータス: 処理完了
• システム内更新日: 2024-09-28 22:36:10.404527
• Title: AsIf: Asset Interface Analysis of Industrial Automation Devices
• Title（参考訳）: AsIf:産業用自動化装置のアセットインタフェース解析
• Authors: Thomas Rosenstatter, Christian Schäfer, Olaf Saßnick, Stefan Huber,
• Abstract要約: 産業制御システムは、通信標準やプロトコルを含むITソリューションをますます採用している。 これらのシステムがより分散化され相互接続されるようになると、セキュリティ対策の強化に対する重要なニーズが生じる。 脅威モデリングは伝統的に、ドメインとセキュリティの専門家を含む構造化ブレインストーミングセッションで行われます。 本稿では,特に物理的脅威に着目した産業システムにおける資産分析手法を提案する。
• 参考スコア（独自算出の注目度）: 1.3216177247621483
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: As Industry 4.0 and the Industrial Internet of Things continue to advance, industrial control systems are increasingly adopting IT solutions, including communication standards and protocols. As these systems become more decentralized and interconnected, a critical need for enhanced security measures arises. Threat modeling is traditionally performed in structured brainstorming sessions involving domain and security experts. Such sessions, however, often fail to provide an exhaustive identification of assets and interfaces due to the lack of a systematic approach. This is a major issue, as it leads to poor threat modeling, resulting in insufficient mitigation strategies and, lastly, a flawed security architecture. We propose a method for the analysis of assets in industrial systems, with special focus on physical threats. Inspired by the ISO/OSI reference model, a systematic approach is introduced to help identify and classify asset interfaces. This results in an enriched system model of the asset, offering a comprehensive overview visually represented as an interface tree, thereby laying the foundation for subsequent threat modeling steps. To demonstrate the proposed method, the results of its application to a programmable logic controller (PLC) are presented. In support of this, a study involving a group of 12 security experts was conducted. Additionally, the study offers valuable insights into the experts' general perspectives and workflows on threat modeling.
• Abstract（参考訳）: 産業用4.0と産業用インターネット(Industrial Internet of Things)が発展し続けており、産業用制御システムは通信標準やプロトコルを含むITソリューションをますます採用している。 これらのシステムがより分散化され相互接続されるようになると、セキュリティ対策の強化に対する重要なニーズが生じる。 脅威モデリングは伝統的に、ドメインとセキュリティの専門家を含む構造化ブレインストーミングセッションで行われます。 しかしながら、このようなセッションは、体系的なアプローチが欠如しているため、しばしば資産とインターフェースの徹底的な識別を提供しない。 これは、脅威モデリングが貧弱な結果、緩和戦略が不十分で、最後にはセキュリティアーキテクチャに欠陥があるため、大きな問題である。 本稿では,特に物理的脅威に着目した産業システムにおける資産分析手法を提案する。 ISO/OSI参照モデルにヒントを得て、アセットインターフェースの識別と分類を支援するための体系的なアプローチが導入された。 これにより、資産の豊富なシステムモデルが実現し、インターフェースツリーとして視覚的に表される包括的概要を提供し、その後の脅威モデリングステップの基礎を築きます。 提案手法を実証するため,PLC(Programmable logic controller)に適用した。 これを支持するため、12人のセキュリティ専門家からなる研究が実施された。 さらに、この研究は、脅威モデリングに関する専門家の一般的な視点とワークフローに関する貴重な洞察を提供する。

関連論文リスト

• SoK: Unifying Cybersecurity and Cybersafety of Multimodal Foundation Models with an Information Theory Approach [58.93030774141753]
  MFM(Multimodal foundation model)は、人工知能の大幅な進歩を表す。 本稿では,マルチモーダル学習におけるサイバーセーフティとサイバーセキュリティを概念化する。 我々は、これらの概念をMFMに統一し、重要な脅威を特定するための総合的知識体系化(SoK)を提案する。
  論文  参考訳（メタデータ） (2024-11-17T23:06:20Z)
• EAIRiskBench: Towards Evaluating Physical Risk Awareness for Task Planning of Foundation Model-based Embodied AI Agents [47.69642609574771]
  EAI(Embodied AI)は、高度なAIモデルを現実世界のインタラクションのための物理的なエンティティに統合する。 高レベルのタスク計画のためのEAIエージェントの"脳"としてのファンデーションモデルは、有望な結果を示している。 しかし、これらのエージェントの物理的環境への展開は、重大な安全性上の課題を呈している。 EAIRiskBenchは、EAIシナリオにおける自動物理的リスクアセスメントのための新しいフレームワークである。
  論文  参考訳（メタデータ） (2024-08-08T13:19:37Z)
• Model-Driven Security Analysis of Self-Sovereign Identity Systems [2.5475486924467075]
  本稿では,SSIシステムのアーキテクチャパターンをモデル化するためのモデル駆動型セキュリティ分析フレームワークを提案する。 我々のフレームワークは、時間論理におけるセキュリティ特性を持つパターンや脅威を形式化するモデリング言語を機械化する。 SecureSSIで検証された典型的な脆弱性パターンを示す。
  論文  参考訳（メタデータ） (2024-06-02T05:44:32Z)
• Introducing Systems Thinking as a Framework for Teaching and Assessing Threat Modeling Competency [3.467282314524728]
  本稿では,脅威モデリング能力の教育と評価にシステム思考とSTRIDEのような業界標準の脅威モデリングフレームワークを併用することを提案する。 システム思考とSTRIDE教育の両方を持つ学生は、コンポーネントレベルの脅威とシステムレベルの脅威を軽減しようと試みた。
  論文  参考訳（メタデータ） (2024-04-25T14:21:15Z)
• Mapping LLM Security Landscapes: A Comprehensive Stakeholder Risk Assessment Proposal [0.0]
  本稿では,従来のシステムにおけるリスク評価手法のようなツールを用いたリスク評価プロセスを提案する。 我々は、潜在的な脅威要因を特定し、脆弱性要因に対して依存するシステムコンポーネントをマッピングするためのシナリオ分析を行う。 3つの主要株主グループに対する脅威もマップ化しています。
  論文  参考訳（メタデータ） (2024-03-20T05:17:22Z)
• Asset-centric Threat Modeling for AI-based Systems [7.696807063718328]
  本稿では、AI関連資産、脅威、対策、残留リスクの定量化のためのアプローチおよびツールであるThreatFinderAIを提案する。 このアプローチの実用性を評価するため、参加者はAIベースのヘルスケアプラットフォームのサイバーセキュリティ専門家によって開発された脅威モデルを再現するよう命じられた。 全体として、ソリューションのユーザビリティはよく認識され、脅威の識別とリスクの議論を効果的にサポートする。
  論文  参考訳（メタデータ） (2024-03-11T08:40:01Z)
• TMAP: A Threat Modeling and Attack Path Analysis Framework for Industrial IoT Systems (A Case Study of IoM and IoP) [2.9922995594704984]
  スマートファクトリにセキュアな産業制御生産システム(ICPS)を配備するには、サイバー脅威とリスクに対処する必要がある。 サイバー物理システム(CPS)における脅威モデリングの現在のアプローチはアドホックで非効率である。 本稿では,予測可能な攻撃ベクトルを同定し,攻撃経路を評価し,各ベクトルの大きさを評価することを目的とした,新しい定量的脅威モデリング手法を提案する。
  論文  参考訳（メタデータ） (2023-12-23T18:32:53Z)
• Leveraging Traceability to Integrate Safety Analysis Artifacts into the Software Development Process [51.42800587382228]
  安全保証ケース(SAC)は、システムの進化中に維持することが困難である。 本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。 安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
  論文  参考訳（メタデータ） (2023-07-14T16:03:27Z)
• ThreatKG: An AI-Powered System for Automated Open-Source Cyber Threat Intelligence Gathering and Management [65.0114141380651]
  ThreatKGはOSCTIの収集と管理のための自動化システムである。 複数のソースから多数のOSCTIレポートを効率的に収集する。 さまざまな脅威エンティティに関する高品質な知識を抽出するために、AIベースの専門技術を使用する。
  論文  参考訳（メタデータ） (2022-12-20T16:13:59Z)
• A System for Automated Open-Source Threat Intelligence Gathering and Management [53.65687495231605]
  SecurityKGはOSCTIの収集と管理を自動化するシステムである。 AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
  論文  参考訳（メタデータ） (2021-01-19T18:31:35Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。