Models for Availability and Security Evaluation of Time-based Virtual Machine Migration as Moving Target Defense

Abstract

Cybersecurity is a top concern in modern virtualization infrastructures and cloud computing. The growth of sophisticated cybersecurity threats imposes a heavy burden on the current defensive mechanisms. A skilled and motivated attacker gathers information from the system before launching an attack and, with the knowledge acquired, boosts the attack success probability. At the same time, defenders should protect the system from all possible threats. This unbalanced game (also known as attacker asymmetric advantage) is intrinsic to the attack-defense dynamics in cyberspace. Deploying a proactive and adaptive defense is of utmost importance to mitigate this issue.MTD was proposed to bring more balance to the attack-defense game. The main goal is to apply a continuous shift in the attack surface to confuse attackers or even to react to attacks dynamically, thus reducing that advantage by moving or changing the configuration of the resources. For example, in an attack from a VM targeting its host, VM migration may confuse the attacker as the target changes. Indeed, the current literature shows that VM migration is among the main cloud MTD techniques. However, although a roadblock for MTD adoption is its effectiveness evaluation, most works in the field focus on proposing new strategies and validating them instead of providing generic evaluation methods. Therefore, the proposal of evaluation methods to analyze and compare VM migration-based MTD is still a research challenge.Measuring the cost and benefit of deploying a MTD is a starting point for its adoption. In cloud computing environments, a proper MTD deployment plan should comprise the evaluation of its impact on the other metrics of interest. As the cloud usually hosts multiple clients with their own goals, a comprehensive analysis of MTD impact is paramount. System availability, for example, is one of the primary metrics of interest for cloud managers and providers. It usually appears as a basic SLA in the majority of public IaaS clouds. Adopting a MTD alternative, which severely affects system availability, is not viable.This leads to the following research challenge: devising sound evaluation approaches for VM migration-based MTD while considering aspects of its effectiveness and availability impact. This thesis contributes towards tackling such research challenge through the proposal of SPN models for evaluating availability and security of systems with VM migration as MTD. The proposal and analysis of the models follow a structured approach. Firstly, we empirically observe the system under the attack-defense scenario. Secondly, the models are proposed, starting from a baseline model for availability evaluation to a final model with MTD. Finally, a tool for automating the scenario analysis and comparison is provided. The key contributions of this work can be divided into two groups. The first comprises comprehensive evaluation of systems with VM migration as software rejuvenation. Although our goal in this part of the research was to design a baseline model for cloud availability evaluation, we took one step further. For example, we extend the availability model into a performability model. Therefore, we compute not only availability but also reliability and performance-related metrics. Moreover, we propose an approach for evaluating the security in the availability-oriented models using a new metric named RiskScore. With the RiskScore, we shift the security evaluation from an attacker perspective to a system-state perspective, resulting in an attacker-disregard evaluation approach.The second group of contributions comprises the evaluation of a system using VM migration-based MTD. The contributions here range from analytical models for a combined evaluation of the probability of attack success and availability to a simulation-based evaluation environment (PyMTDEvaluator) with a friendly user interface. We also propose a set of secondary metrics to reveal insights about the MTD effectiveness, which might be useful for similar research. For example, the tolerance level metric analyzes the probability of attack success results to find information on how long the system can keep the probability of attack success under a specific threshold.In a cybersecurity landscape with ever-growing threats with inherent attacker asymmetric advantage, the development of evaluation methods for MTD is of utmost importance. The advent of zero trust and attack tolerance security approaches increases the importance of MTD deployments. The research presented in this thesis intends to fill some relevant research gaps, easing the way towards MTD adoption. Finally, considering a broadly used technique as VM migration improves the understanding of the potential security benefits we may achieve while using it in virtualized environments.

A cibersegurança é um dos principais desafios para as infraestruturas de virtualização modernas e ambientes de computação em nuvem. O crescimento de ameaças sofisticadas é um desafio para os mecanismos de defesa atuais. Através de uma recolha prévia de informações sobre o sistema, os atacantes aumentam a probabilidade de ter realizar ataques com sucesso. Por outro lado, os defensores devem proteger o sistema de todas as ameaças. Este jogo não balanceado (também conhecido como vantagem assimétrica do atacante) é intrínseco à dinâmica de ataque-defesa no ciberespaço. Desenvolver defesas proativas e adaptativas é um aspecto chave para mitigar essas ameaças.MTD foi proposto para trazer mais equilíbrio para a dinâmica de ataque-defesa. O principal objetivo é alterar a superfície de ataque continuamente para confundir os atacantes ou reagir dinamicamente a ataques em curso. Esta abordagem reduz a vantagem do atacante através da alteração da configuração dos recursos. Por exemplo, num ataque de uma Máquina Virtual (VM) à Máquina Física (PM) hospedeira, a utilização da migração de VMs pode confundir o atacante, pois o alvo está em constante mudança. De facto, a literatura atual mostra que a migração de VMs está entre as principais técnicas de MTD para a computação em nuvem. No entanto, apesar de um desafio à adoção de MTD ser a avaliação da sua eficácia, a maioria dos trabalhos concentra-se em propor e validar novas estratégias de MTD, em vez de propor mecanismos de avaliação mais genéricos.A avaliação do custo-benefício da implementação de MTD é o primeiro passo para a sua adoção. Nos ambientes de computação em nuvem, um plano de implantação de MTD adequado deve contemplar a avaliação do seu impacto em outras métricas de interesse. Como os ambientes de nuvem geralmente hospedam diversos clientes que possuem objetivos particulares, uma avaliação abrangente é de extrema importância. A disponibilidade do sistema, por exemplo, é uma das principais métricas de interesse dos fornecedores de computação em nuvem, sendo frequentemente mencionada em acordos de nível de serviço (SLA). A adoção de uma técnica de MTD que afete severamente a disponibilidade não é viável. Este contexto levanta o seguinte desafio de investigação: \textbf{conceber abordagens de avaliação sólidas para MTD baseado em migração de VMs, considerando aspectos de eficácia e impacto na disponibilidade.Esta tese contribui para a diminuição do referido desafio através da proposta de modelos de Redes de Petri Estocásticas (SPN) para a avaliação de disponibilidade e segurança de sistemas com migração de VMs como MTD. Tal proposta e análise segue uma abordagem estruturada. Primeiramente, observa-se o sistema em contextos de ataque-defesa. Depois, propõem-se os modelos de avaliação, passando de um modelo de base para avaliação de disponibilidade até um modelo final considerando MTD. Finalmente, é apresentada uma ferramenta para automatizar a comparação e análise de cenários.As contribuições desta tese podem ser divididas em dois grupos. O primeiro engloba uma avaliação abrangente de sistemas com migração de VMs como rejuvenescimento de software. Apesar do nosso objetivo inicial ser propor um modelo de base para a avaliação da disponibilidade de nuvem, a tese amplia esse objetivo. Por exemplo, estende o modelo de disponibilidade para um de performability, tornando possível obter, não apenas a disponibilidade, como também a confiabilidade e métricas relacionadas com o desempenho. Além disso, a tese apresenta uma abordagem para a avaliação de segurança no mesmo contexto, utilizando a métrica RiskScore. Esta muda o contexto da avaliação de segurança de uma perspetiva focada no atacante para uma perspetiva focada no sistema, resultando numa abordagem que ignora as características do atacante.O segundo grupo de contribuições foca na avaliação de sistemas com migração de VMs como MTD. As contribuições aqui partem de modelos analíticos para a avaliação da probabilidade de sucesso do ataque e da disponibilidade até um ambiente de simulação (PyMTDEvaluator) com uma interface amigável para o utilizador. Além disso, a tese apresenta um conjunto de métricas secundárias para caraterizar a eficácia do MTD. A métrica de nível de tolerância, por exemplo, analisa as curvas de probabilidade de sucesso do ataque para encontrar o período em que o sistema é capaz de manter a probabilidade de sucesso do ataque abaixo de um certo limiar.Num cenário de cibersegurança com ameaças crescentes e uma vantagem assimétrica inerente dos atacantes, o desenvolvimento de métodos de avaliação de MTD é de fundamental importância. O advento de zero trust e attacker tolerance aumenta a relevância de investigação na área de MTD. Esta tese surge para preencher algumas das lacunas no corpo de investigação atual. Finalmente, a consideração de uma técnica amplamente utilizada como a migração de VMs melhora o entendimento de potenciais benefícios de segurança advindos do seu uso.