PYXIDA Institutional Repository
and Digital Library
 Home
Collections :

Title :Application threat modeling for ICS
Alternative Title :Μοντελοποίηση απειλών εφαρμογών για ICS
Creator :Τράμπαρη-Λάρδα, Ελένη
Trampari-Larda, Elenι
Contributor :Ntouskas, Theodoros (Επιβλέπων καθηγητής)
Stergiopoulos, George (Εξεταστής)
Gkritzalis, Dimitrios (Εξεταστής)
Athens University of Economics and Business, Department of Informatics (Degree granting institution)
Type :Text
Extent :77p.
Language :en
Identifier :http://www.pyxida.aueb.gr/index.php?op=view_object&object_id=11071
Abstract :This thesis explores the critical landscape of Industrial Control Systems (ICS), emphasizing the imperative need for robust cybersecurity measures. ICS components, such as PLCs, RTUs, HMIs, DCS and SCADA systems, play a pivotal role in optimizing industrial processes. As industries embrace digitization, incorporate wireless technologies and private cellular networks, the cybersecurity challenges associated with ICS become increasingly complex.To address these challenges, the adoption of a zero-trust approach and the integration of cybersecurity frameworks such as NIST, Purdue Model and IEC 62443 are proposed. These frameworks collectively provide a holistic posture when integrated, addressing various facets of ICS security.A critical aspect involves the selection and implementation of a threat modeling methodology tailored to the unique environment, system attributes and team expertise. The thesis recommends the use of a threat modeling tool that would be essential for systematic identification and mitigation of security threats, thereby enhancing the overall security posture of the system.In parallel, the research explores the application of the OWASP SAMM framework, which aids organizations in fortifying software and system security. SAMM covers different fields like governance, threat modeling, secure coding and security testing, aligning business functions with critical infrastructure needs. The framework, organized into three maturity levels with 15 security practices, allows for customization, enabling organizations to assess, set strategic goals and progress in their software assurance journey.Ultimately, this thesis advocates for a synergistic approach that integrates application threat modeling methodologies and established security frameworks to comprehensively address the evolving challenges in securing Industrial Control Systems.
Η παρούσα διπλωματική εργασία διερευνά το κρίσιμο τοπίο των Συστημάτων Βιομηχανικού Ελέγχου (ICS), δίνοντας έμφαση στην επιτακτική ανάγκη για ισχυρά μέτρα κυβερνοασφάλειας. Τα στοιχεία ICS, όπως τα συστήματα PLC, RTU, HMI, DCS και SCADA, διαδραματίζουν κεντρικό ρόλο στη βελτιστοποίηση των βιομηχανικών διαδικασιών. Καθώς οι βιομηχανίες αγκαλιάζουν την ψηφιοποίηση, ενσωματώνουν ασύρματες τεχνολογίες και ιδιωτικά κυψελωτά δίκτυα, οι προκλήσεις στον κυβερνοχώρο που σχετίζονται με το ICS γίνονται όλο και πιο περίπλοκες.Για την αντιμετώπιση αυτών των προκλήσεων, προτείνεται η υιοθέτηση μιας προσέγγισης μηδενικής εμπιστοσύνης (zero-trust approach) και η ενσωμάτωση πλαισίων κυβερνοασφάλειας όπως το NIST, το Purdue Model και το IEC 62443. Αυτά τα πλαίσια παρέχουν συλλογικά μια ολιστική στάση όταν ενσωματώνονται, αντιμετωπίζοντας διάφορες πτυχές της ασφάλειας ICS.Μια κρίσιμη πτυχή περιλαμβάνει την επιλογή και την εφαρμογή μιας μεθοδολογίας μοντελοποίησης απειλών προσαρμοσμένης στο μοναδικό περιβάλλον, τα χαρακτηριστικά του συστήματος και την τεχνογνωσία της ομάδας. Η διπλωματική αυτή συνιστά τη χρήση ενός εργαλείου μοντελοποίησης απειλών το οποίο θα ήταν απαραίτητο για τον συστηματικό εντοπισμό και τον μετριασμό των απειλών ασφαλείας, ενισχύοντας έτσι τη συνολική θέση ασφαλείας του συστήματος.Παράλληλα, η έρευνα διερευνά την εφαρμογή του πλαισίου OWASP SAMM, το οποίο βοηθά τους οργανισμούς να ενισχύσουν το λογισμικό και την ασφάλεια του συστήματος. Το SAMM καλύπτει διάφορους κλάδους όπως τη διακυβέρνηση, τη μοντελοποίηση απειλών, την ασφαλή κωδικοποίηση και τις δοκιμές ασφαλείας, ευθυγραμμίζοντας τις επιχειρηματικές λειτουργίες με τις κρίσιμες ανάγκες υποδομής. Το πλαίσιο, οργανωμένο σε τρία επίπεδα ωριμότητας με 15 πρακτικές ασφάλειας, επιτρέπει την προσαρμογή, δίνοντας τη δυνατότητα στους οργανισμούς να αξιολογούν, να θέτουν στρατηγικούς στόχους και να προοδεύουν στο ταξίδι διασφάλισης λογισμικού.Τελικά, αυτή η διατριβή συνηγορεί υπέρ μιας συνεργιστικής προσέγγισης που ενσωματώνει μεθοδολογίες μοντελοποίησης απειλών εφαρμογών και καθιερωμένα πλαίσια ασφαλείας για την ολοκληρωμένη αντιμετώπιση των εξελισσόμενων προκλήσεων στην εξασφάλιση Συστημάτων Βιομηχανικού Ελέγχου.
Subject :Μοντελοποίηση απειλών
Συστήματα βιομηχανικού ελέγχου
Συστήματα εποπτικού ελέγχου και απόκτησης δεδομένω
Πλαίσιο OWASP SAMM
Μοντέλο Purdue
Threat modeling
Industrial Control Systems (ICS)
Supervisory Control and Data Acquisition Systems (
OWASP SAMM
Purdue model
Date Available :2024-03-13 12:46:05
Date Issued :07-03-2024
Date Submitted :2024-03-13 12:46:05
Access Rights :Free access
Licence :

File: Trampari-Larda_2024.pdf

Type: application/pdf