Resilient Safety-Critical Systems through Run-time Risk Assessment, Isolation, and Recovery (RESURREC)

Abstract

[EN] Attacks on safety-critical systems such as autonomous vehicles can have serious consequences, such as financial damage or even danger to life and limb. Through successful attacks on assets (e.g., software applications, control units, cryptographic keys, or messages), an attacker can cause damage directly or indirectly (by extending the attack from one asset to another). Classical safety measures such as Fault Detection, Isolation, and Recovery (FDIR) only protect against errors and not against targeted attacks. For example, an attacker could manipulate a component that is responsible for the isolation of a faulty component and for switching to a redundant instance. FDIR must therefore be extended to include suitable security measures. In particular, in addition to errors, it must be possible to detect and respond to attacks. To achieve resilience, mechanisms for isolation and recovery must be protected against manipulation as well. Furthermore, once an attack has been detected, a suitable response has to be selected at run-time of the system; this decision needs to be based on a risk computation and needs to take the specifics of the safety-critical system into consideration. The goal of RESURREC is to advance attack detection, run-time risk assessment, isolation, and recovery to increase the resilience of safety-critical systems. The main focus lies on the last three aspects, as there are already several approaches for Intrusion Detection Systems (IDS) in safety-critical systems, while risk assessment, isolation and recovery have received much less attention. As application domain, we consider an autonomous vehicle, as it is a distributed and complex safety-critical system, consisting of several networked components, such as control units, sensors and actuators, with software applications running on them. For risk assessment, we investigate new methods to assess risk based on the dependencies between assets. Approaches for isolation and recovery known from the safety context are supplemented by security measures. We investigate how the zero-trust paradigm can be applied to safety-critical systems. For this, we investigate, among other things, novel authentication mechanisms, access and usage control systems, and secure service-oriented architectures. Our developed solutions will be prototypically implemented and evaluated.

[DE] Angriffe auf Safety-kritische Systeme wie autonome Fahrzeuge können schwerwiegende Folgen haben, z. B. finanzielle Schäden oder sogar die Gefährdung von Leib und Leben. Durch erfolgreiche Angriffe auf Assets (z. B. Softwareanwendungen, Steuergeräte, kryptographische Schlüssel oder Nachrichten) kann ein Angreifer direkt oder indirekt (durch Ausweitung des Angriffs auf weitere Assets) Schaden anrichten. Klassische Sicherheitsmaßnahmen wie Fault Detection, Isolation und Recovery (FDIR) schützen nur vor Fehlern und nicht vor gezielten Angriffen. So könnte ein Angreifer beispielsweise eine Komponente manipulieren, die für die Isolierung einer fehlerhaften Komponente und das Umschalten auf eine redundante Instanz zuständig ist. FDIR muss daher um geeignete Sicherheitsmaßnahmen erweitert werden. Insbesondere muss es möglich sein, neben Fehlern auch Angriffe zu erkennen und darauf zu reagieren. Um Resilienz zu erreichen, müssen Mechanismen zur Isolation und Wiederherstellung auch gegen Manipulation geschützt werden. Außerdem muss nach der Erkennung eines Angriffs zur Laufzeit des Systems eine geeignete Reaktion ausgewählt werden; diese Entscheidung muss auf einer Risikoberechnung beruhen und die Besonderheiten Safety-kritischer Systeme berücksichtigen. Das Ziel von RESURREC ist die Verbesserung der Resilienz Safety-kritischer Systeme durch neue Methoden zur Angriffserkennung, der Risikobewertung zur Laufzeit, der Isolierung und der Wiederherstellung. Das Hauptaugenmerk liegt auf den letzten drei Aspekten, da es bereits mehrere Ansätze für Intrusion Detection Systems (IDS) in sicherheitskritischen Systemen gibt, während Risikobewertung, Isolierung und Wiederherstellung weitaus weniger Aufmerksamkeit erhalten haben. Als Anwendungsbereich betrachten wir ein autonomes Fahrzeug, da es sich um ein verteiltes und komplexes Safety-kritisches System handelt, das aus mehreren vernetzten Komponenten wie Steuereinheiten, Sensoren und Aktoren besteht, auf denen Softwareanwendungen laufen. Für die Risikobewertung untersuchen wir neue Methoden zur Risikobewertung auf der Grundlage der Abhängigkeiten zwischen den Assets. Die aus dem Safety-Kontext bekannten Ansätze zur Isolierung und Wiederherstellung werden durch Sicherheitsmaßnahmen ergänzt. Wir untersuchen, wie das Zero-Trust-Paradigma auf Safety-kritische Systeme angewendet werden kann. Dazu untersuchen wir unter anderem neuartige Authentifizierungsmechanismen, Zugangs- und Nutzungskontrollsysteme und sichere serviceorientierte Architekturen. Die von uns entwickelten Lösungen werden prototypisch implementiert und evaluiert.