PhD Theses at KOM

Cross-Organizational Service Security - Attack Modeling and Evaluation of Selected Countermeasures

André Miede

Friday November 26, 2010

English abstract:

Challenging market dynamics and the rise of complex value networks require organizations to adjust their processes rapidly in order to stay competitive. Because many organizational processes are directly supported or even enabled by Information Technology (IT), a process is only as flexible as its underlying technological representation. The Service-oriented Architecture paradigm (SOA) offers means on both a technological and organizational level for the flexible integration of internal and external IT systems. Thus, services are used to assemble processes through service compositions, as well as across enterprise boundaries. Such cross-organizational service-based workflows lead to a global SOA which is often referred to as the "Internet of Services".

Just as any economic system requires security in order to function and to be accepted by its participants, the security of the involved IT systems, exchanged messages, and communication channels used has to be ensured for cross-organizational service-based collaboration. Achieving and guaranteeing basic IT security goals such as confidentiality, authentication, authorization, non-repudiation, integrity, availability, and anonymity is a necessity in this context and an active topic, both in research and industry.

The main tenor of current SOA security research is that conventional security measures are not effective enough in the SOA context. Furthermore, just equalizing SOA security with Web service security reduces SOA security requirements to Web service security standards and their configuration, which is an incomplete view.

This thesis makes several contributions regarding the security of service-based systems: First, it is shown how a model of cross-organizational SOA concepts can be used for analyzing SOA elements regarding their impact on security. This is done by applying core IT security concepts, such as threats, vulnerabilities, etc., to the general elements of a cross-organizational SOA, such as loose coupling, composability, etc.

Second, an analysis of attacks in the Internet of Services is performed by proposing an attack taxonomy for service-based systems and by modeling selected examples of service-specific attack classes. This goes beyond the current state-of-the-art regarding SOA attacks by taking into account more service-specific and business-oriented threats. The modeling of these attacks builds on a self-developed generic metamodel, that brings together the most important concepts of IT security and their relationships. It is shown, how assets, threats, vulnerabilities, risks, security goals, etc. relate to each other at the core of this metamodel and what the basic structure of countermeasures is.

Third, an attack scenario of communication analysis that threatens relationship anonymity in the Internet of Services is further investigated, due to its system-inherent implications. With a particular focus on service compositions, a simulation-based evaluation of different attack models and scenarios offers insights regarding the anonymity of cross-organizational collaboration. Furthermore, the impact of using standard anonymity mechanisms on selected Quality of Service parameters is evaluated for Web services in real networks. The obtained results aim at identifying the limits of anonymity in the Internet of Services and at quantifying side-effects of using state-of-the-art countermeasures.

German abstract:

Herausfordernde Märkte und komplexe Wertschöpfungsnetzwerke verlangen von Organisationen, ihre Prozesse schnell anzupassen, um wettbewerbsfähig zu bleiben. Da viele Prozesse in Organisationen direkt durch Informationstechnologie (IT) unterstützt werden, ist ein Prozess nur so flexibel, wie die ihm zugrunde liegende technologische Repräsentation. Das Paradigma der Serviceorientierten Architektur (SOA) bietet auf sowohl technologischer als auch organisatorischer Ebene Hilfsmittel für die flexible Integration von internen und externen IT-Systemen. So werden Dienste verwendet, um Prozesse durch Dienstkompositionen auch über Unternehmensgrenzen hinweg zusammenzustellen. Solche organisationsübergreifenden, dienstbasierten Workflows führen zu einer globalen SOA, die als "Internet der Dienste" bezeichnet wird.

Sicherheit ist eine Grundvoraussetzung für jedes wirtschaftlich ausgerichtete System, damit es funktionieren kann und von seinen Teilnehmern akzeptiert wird. Somit ist für eine organisationsübergreifende, dienstbasierte Zusammenarbeit die Gewährleistung von grundlegenden Zielen der IT-Sicherheit wie die Authentifizierung, Autorisierung, Nicht-Abstreitbarkeit, Integrität, Verfügbarkeit und Anonymität eine Notwendigkeit und ein aktuelles Thema in Forschung und Praxis.

Der Grundtenor der aktuellen Forschung im Bereich SOA-Sicherheit ist, dass konventionelle Sicherheitsmaßnahmen im Rahmen des SOA-Paradigmas nicht ausreichend sind. Darüber hinaus wird SOA-Sicherheit in der Regel bisher lediglich mit Web Service-Sicherheit gleichgesetzt und reduziert somit die Sicherheitsanforderungen im Bereich SOA auf die Anwendung von Web Service-Sicherheitsstandards und ihre Konfiguration.

Diese Arbeit liefert mehrere Beiträge zur Sicherheit von dienstbasierten Systemen: Erstens wird gezeigt, wie ein Modell der Konzepte organisationsübergreifender SOAs für die Analyse der SOA-Elemente hinsichtlich ihrer Auswirkungen auf die Sicherheit verwendet werden kann. Dies wird durch die Anwendung elementarer Konzepte der IT-Sicherheit (Bedrohungen, Schwachstellen, etc.) auf die allgemeinen Elemente einer organisationsübergreifenden SOA (lose Kopplung, Komponierbarkeit, etc.) erreicht.

Zweitens wird eine Analyse von Angriffen auf das Internet der Dienste durchgeführt. Dafür wird eine Angriffstaxonomie für dienstbasierte Systeme vorgeschlagen und es werden ausgewählte dienstspezifische Angriffsklassen modelliert. Die Modellierung dieser Angriffe baut auf einem selbstentwickelten generischen Metamodell auf, welches die wichtigsten Konzepte der IT-Sicherheit und ihre Beziehungen beschreibt.

Drittens wird ein Angriffsszenario, welches spezielle Formen der Anonymität im Internet der Dienste bedroht, aufgrund seiner systemimmanenten Auswirkungen untersucht. Mit dem Fokus auf Dienstkompositionen bietet eine simulationsbasierte Evaluation verschiedener Angriffsmodelle und Szenarien Einblicke in die Entwicklung der Anonymität in organisationsübergreifenden Kollaborationen. Darüber hinaus werden die Auswirkungen von Anonymitätsmechanismen auf ausgewählte Dienstgüteparameter bei der Nutzung von Web Services ausgewertet. Die Ergebnisse zielen darauf ab, die Grenzen der Anonymität im Internet der Dienste aufzuzeigen und die Nebenwirkungen bei der Verwendung von aktuellen Gegenmaßnahmen zu quantifizieren.

BibTeX entry

Link to online publication

PhD Theses