Intrusion tolerant systems

Sikkerhetsinnbrudd og angrep på datamaskiner vil skje, uansett hvor gode kontroll- og beskyttelsessystemer som brukes. Derfor er det nødvendig å bygge datasystemene slik at de leverer essensielle tjenester også i tilfelle et vellykket angrep. Slike systemer kalles inntrengningstolerante. Inntrengingstolerante systemer skiller seg fra feiltolerante systemer ved deres trusselbilder. Mens feiltrolerante systemer skal motstå spontane feil (f.eks. knyttet til naturlige fysiske prosesser), skal inntrengningstolerante systemer motstå målrettede angrep fra kunnskapsrike og ressurssterke aktører som kan skape flertrinns angrep rettet også mot deteksjons- og gjenopprettings-mekanismene. Mens spontane feil kan modelleres statistisk, kan målrettede angrep ikke det. Forskningen på inntrengningstolerante systemer henter kunnskap og erfaringer fra flere andre felt, bl.a. datasikkerhet, distribuerte systemer og feiltolerante systemer. Disse feltene tar med seg litt ulike perspektiver inn i forskningen, og disse perspektivene blir presentert i rapporten. Konstruksjonen av inntrengningstolerante systemer bygger på en rekke velkjente teknologier fra relatert forskning: Inntrengingsdeteksjon, kryptografi, distribuert gjenoppretting, diversifiserte systemer m.m.. Disse bidragene blir presentert i rapporten og deres bidrag til inntrengningstolerante systemer identifisert. Det finnes ikke inntrengingstolerante systemer i den forstand at de forsvarer seg mot inntrengning og misbruk i alle situasjoner. Det som finnes er forsøk på å kombinere eksisterende teknikker for inntrengningsdeteksjon, kryptografi, gjenoppretting og skadebegrensning i rammeverk som skaper et sterkere vern enn om teknikkene ble anvendt separat. Rapporten beskriver kort noen slike rammeverkprosjekter. Rapporten peker også på de særlige egenskaper ved mobile, taktiske nettverk som gjør det vanskeligere å gjøre dem inntrengningstolerante. Noen utkast til forskningsspørsmål på dette feltet blir presentert. Rapporten gjør ikke forskjell på begrepene inntrengning og angrep. Noen vil kanskje hevde at angrep utført av betrodde innsidere ikke bør kalles inntrengning, men en slik nyansering er altså ikke gjort.