Integrating Security Concerns into Safety Analysis of Embedded Systems Using Component Fault Trees
- Nowadays, almost every newly developed system contains embedded systems for controlling system functions. An embedded system perceives its environment via sensors, and interacts with it using actuators such as motors. For systems that might damage their environment by faulty behavior usually a safety analysis is performed. Security properties of embedded systems are usually not analyzed at all. New developments in the area of Industry 4.0 and Internet of Things lead to more and more networking of embedded systems. Thereby, new causes for system failures emerge: Vulnerabilities in software and communication components might be exploited by attackers to obtain control over a system. By targeted actions a system may also be brought into a critical state in which it might harm itself or its environment. Examples for such vulnerabilities, and also successful attacks, became known over the last few years.
For this reason, in embedded systems safety as well as security has to be analyzed at least as far as it may cause safety critical failures of system components.
The goal of this thesis is to describe in one model how vulnerabilities from the security point of view might influence the safety of a system. The focus lies on safety analysis of systems, so the safety analysis is extended to encompass security problems that may have an effect on the safety of a system. Component Fault Trees are very well suited to examine causes of a failure and to find failure scenarios composed of combinations of faults. A Component Fault Tree of an analyzed system is extended by additional Basic Events that may be caused by targeted attacks. Qualitative and quantitative analyses are extended to take the additional security events into account. Thereby, causes of failures that are based on safety as well as security problems may be found. Quantitative or at least semi-quantitative analyses allow to evaluate security measures more detailed, and to justify the need of such.
The approach was applied to several example systems: The safety chain of the off-road robot RAVON, an adaptive cruise control, a smart farming scenario, and a model of a generic infusion pump were analyzed. The result of all example analyses was that additional failure causes were found which would not have been detected in traditional Component Fault Trees. In the analyses also failure scenarios were found that are caused solely by attacks, and that are not depending on failures of system components. These are especially critical scenarios which should not happen in this way, as they are not found in a classical safety analysis. Thus the approach shows its additional benefit to a safety analysis which is achieved by the application of established techniques with only little additional effort.
- Nahezu alle neu entwickelten Systeme enthalten heutzutage eingebettete Systeme zur Steuerung von Systemfunktionen. Ein eingebettetes System nimmt seine Umwelt über Sensoren wahr und interagiert mit ihr mittels Aktoren. Systeme, die ihrer Umwelt durch fehlerhaftes Verhalten Schaden zufügen können, werden üblicherweise auf ihre Betriebssicherheit (Safety) hin untersucht. Die Angriffs- oder Datensicherheit (Security) von eingebetteten Systemen wird meistens überhaupt nicht betrachtet. Durch die neuen Entwicklungen im Bereich Industrie 4.0 und Internet of Things werden solche Systeme immer stärker miteinander vernetzt. Dadurch kommen neue Ursachen für Systemausfälle zum Tragen: Schwachstellen in den Software- und Kommunikationskomponenten können von Angreifern ausgenutzt werden, um einerseits die Kontrolle über ein System zu erlangen und andererseits durch gezielte Eingriffe das System in einen kritischen Zustand zu bringen, der entweder dem System selbst oder der Umwelt schadet. Beispiele solcher Schwachstellen und auch erfolgreiche Angriffe werden in letzter Zeit immer häufiger bekannt.
Aus diesem Grund muss man bei eingebetteten Systemen bei der Analyse der Betriebssicherheit (Safety) auch die Datensicherheit (Security) zumindest soweit berücksichtigen, wie sie Auswirkungen auf Ausfälle von Systemkomponenten haben kann.
Ziel dieser Arbeit ist es, in einem Modell zu beschreiben, wie sich Bedrohungen aus Securitysicht auf die Safetyeigenschaft eines Systems auswirken können. Da aber weiterhin die Betriebssicherheit der Systeme im Vordergrund steht, wird die Safetyanalyse erweitert, um Bedrohungen der Security mit zu berücksichtigen, die eine Wirkung auf die Safety des Systems haben können. Komponentenfehlerbäume eignen sich sehr gut dazu, Ursachen eines Ausfalls zu untersuchen und Ausfallszenarien zu finden. Ein Komponentenfehlerbaum eines zu untersuchenden Systems wird um zusätzliche Ereignisse erweitert, die sich auch durch gezielte Angriffe auslösen lassen. Qualitative und quantitative Analysen werden erweitert, um die zusätzlichen Securityereignisse zu berücksichtigen. Dadurch lassen sich Ursachen für Ausfälle finden, die auf Safety- und/oder Securityproblemen basieren. Quantitative oder Semi-quantitative Analysen ermöglichen es, Securitymaßnahmen besser zu bewerten und die Notwendigkeit solcher zu begründen.
Der Ansatz wurde in mehreren Analysen von Beispielsystemen angewendet: Die Sicherheitskette des Off-road Roboters RAVON, ein adaptiver Tempomat, ein Smart Farming Szenario und ein Modell einer generischen Infusionspumpe wurden untersucht. Das Ergebnis war bei allen Beispielen, dass dadurch zusätzliche Ausfallursachen gefunden werden konnten, die in einem klassischen Komponentenfehlerbaum nicht auftauchen würden. Teilweise wurden auch Ausfallszenarien gefunden, die nur durch einen Angriff ausgelöst werden können und nicht von Ausfällen von Systemkomponenten anhängig sind. Das sind besonders kritische Szenarien, die in dieser Form nicht vorkommen sollten und durch eine klassische Analyse nicht gefunden werden. Dadurch zeigt sich ein Mehrwert des Ansatzes bei einer Sicherheitsanalyse, der sich durch die Anwendung etablierter Techniken auch mit wenig zusätzlichem Aufwand erreichen lässt.