Titulo Estágio
Injeção de Vulnerabilidades para Avaliação de Segurança na Cloud
Áreas de especialidade
Local do Estágio
DEI
Enquadramento
Defense-in-depth é a melhor estratégia para a defesa contra ataques de segurança. Esta estratégia dita que camadas de proteção se sobreponham para proteger os recursos, de forma a que umas cubram as falhas de outras. Em ambientes ‘Cloud’, é especialmente importante devido ao aumento da superfície de ataque e à sensitividade de alguns dos dados usados e armazenados.
Apesar de eficaz, a estratégia é difícil de validar, o que muitas vezes resulta em avaliações independentes de partes do sistema independentemente (em vez de uma avaliação em conjunto). No entanto, com a deslocalização de recursos e dados de negócio para a Cloud, é imperativo ter uma avaliação dos sistemas de segurança para justificar a confiança depositada nos sistemas.
A técnica de injeção de vulnerabilidades é baseada na introdução deliberada de vulnerabilidades realísticas para permitir um subsequente ataque ao sistema. Isto fornece uma forma pratica para validar estratégias de defesa em profundidade.
Objetivo
Neste contexto, o objetivo deste trabalho é o desenvolvimento de uma técnica de injeção de vulnerabilidades para a avaliação de segurança em ambientes Cloud. Devido à larga abrangência destes ambientes, será necessário delinear quais as tecnologias que serão usadas e também quais os mecanismos de defesa a ser incluídos na avaliação. De seguida será necessário investigar quais os tipos de vulnerabilidades mais frequentes nesse domínio, para os quais será necessário desenvolver uma metodologia de injeção. Finalmente, é necessário definir como estas vulnerabilidades vão ser atacadas para avaliar se as restantes camadas são capazes de defender o sistema.
Plano de Trabalhos - Semestre 1
T1. [01/09/2016 a 15/10/2016] Estudo do estado da arte
Analisar a bibliografia em problemas de segurança, técnicas de injecção de falhas e injecção de vulnerabilidades e os ataques mais relevantes nestes ambientes. Estudar a bibliografia em avaliação de segurança.
T2. [01/10/2016 a 30/11/2016] Criação de um Setup Cloud
Definir quais as tecnologias e mecanismos de defesa a incluir na avaliação. Familiarizar-se com as tecnologias escolhidas e as suas funcionalidades. Seleção de aplicações para a criação e configuração de um Setup completo e representativo.
T3. [15/11/2016 a 31/12/2016] Definir uma metodologia de injeção
Perceber quais são as características das vulnerabilidades mais representativas para serem injectadas e como estas podem ser injetadas no sistema. Definir como estas vulnerabilidades podem ser atacadas posteriormente.
T4. [01/01/2017 a 31/01/2017] Escrita do Relatório Intermédio
Plano de Trabalhos - Semestre 2
T5. [01/02/2016 a 15/03/2016] Implementação da técnica de injeção de vulnerabilidades
Desenvolvimento de uma ferramenta para automatizar a aplicação dos operadores de vulnerabilidades definidos anteriormente e para a execução de ataques que explorem as vulnerabilidades injetadas.
T6. [01/03/2016 a 30/04/2016] Avaliação Experimental da Abordagem
Definir uma metodologia de avaliação das ferramentas desenvolvidas. Usar a ferramenta e o Setup implementado para demonstrar e avaliar a abordagem.
T7. [01/04/2016 a 31/05/2016] Escrita de um artigo
T8. [01/03/2016 a 31/07/2016] Escrita da tese
Condições
Condições: Os trabalhos serão realizados nos laboratórios do Grupo de Engenharia de Software e Sistemas do CISUC. Um local de trabalho será fornecido assim como os recursos computacionais necessários. Possibilidade de atribuição de uma bolsa de investigação no segundo semestre do estágio.
Observações
Os trabalhos serão co-orientados pela Prof. Nuno Antunes.
Orientador
Marco Vieira
mvieira@dei.uc.pt 📩