COORDINATED SCIENCE LABORATORY ENGINEERING AT ILLINOIS From ¡NetAPT ¡to ¡NP-‑View ¡ A ¡Case ¡Study ¡in ¡Transferring ¡Technology ¡ ¡ from ¡Academia ¡to ¡Industry ¡ ITI.ILLINOIS.EDU Robin ¡Berthier ¡
Tech ¡Transfer ¡from ¡Academia ¡ 14,224 ¡new ¡patent ¡applica<ons ¡filed ¡ (+7.2%) ¡ 23,741 ¡disclosures ¡received ¡ (+8.6%) ¡ in ¡the ¡U.S. ¡ ¡ 5,145 ¡issued ¡U.S. ¡patents ¡ in ¡2012 ¡ (+9.5%) ¡ 705 ¡new ¡startups ¡formed ¡ 5,130 ¡licenses ¡executed ¡ (4,002 ¡s<ll ¡opera<ng) ¡ (40,007 ¡ac<ve ¡licenses) ¡ $2.6 ¡billion ¡in ¡license ¡income ¡ (+6.8%) ¡ Source: ¡the ¡Associa<on ¡of ¡University ¡Technology ¡Managers ¡(AUTM), ¡U.S. ¡licensing ¡ac<vity ¡survey ¡FY2012 ¡
Background ¡ • Intrusion ¡Detec<on ¡ – Specifica<on-‑based ¡IDS ¡for ¡AMI ¡(Amilyzer) ¡ – Machine ¡learning-‑based ¡IDS ¡for ¡account ¡compromise ¡ (UCAAS) ¡ – Hybrid ¡honeypot ¡management ¡framework ¡(Honeybrid) ¡ • Network ¡Analysis ¡ – Ne]low-‑based ¡situa<onal ¡awareness ¡tool ¡(Nfsight) ¡ – Network ¡Access ¡Policy ¡Tool ¡(NetAPT) ¡ • Incident ¡Response ¡ – Response ¡and ¡Recovery ¡Engine ¡(RRE) ¡ • Cri<cal ¡Infrastructure ¡Security ¡ – False ¡data ¡injec<on ¡mi<ga<on ¡ – Energy ¡thea ¡protec<on ¡
Experiences ¡Transferring ¡Technologies ¡ Honeybrid ¡ ¡ hbp://honeybrid.sourceforge.net ¡ ¡ Nfsight ¡ ¡ hbp://nfsight.sourceforge.net ¡ ¡ NetAPT ¡ ¡ hbp://www.network-‑percep<on.com/ ¡ ¡ Amilyzer ¡ ¡ hbp://tcipg.org/research_IDS-‑for-‑AMI ¡ ¡
Experiences ¡Transferring ¡Technologies ¡ Honeybrid ¡ ¡ hbp://honeybrid.sourceforge.net ¡ ¡ Nfsight ¡ ¡ hbp://nfsight.sourceforge.net ¡ ¡ NetAPT ¡ ¡ hbp://www.network-‑percep<on.com/ ¡ ¡ Amilyzer ¡ ¡ hbp://tcipg.org/research_IDS-‑for-‑AMI ¡ ¡
Background ¡on ¡NetAPT ¡ • PhD ¡thesis ¡project ¡by ¡Sankalp ¡Singh, ¡started ¡in ¡2006 ¡ ¡ • Ini<ally ¡funded ¡by ¡I3P ¡from ¡2007 ¡to ¡2009 ¡ • Then ¡funded ¡by ¡ICSEG ¡and ¡TCIPG ¡(DOE ¡& ¡DHS) ¡ • Now ¡funded ¡through ¡DHS ¡for ¡commercializa<on ¡ • Team ¡today: ¡ – Jenny ¡Applequist ¡ – Robin ¡Berthier ¡ – Mouna ¡Bamba ¡ – Faisal ¡Hasan ¡ – Rakesh ¡Kumar ¡ – Prof. ¡David ¡Nicol ¡ – Edmond ¡Rogers ¡ – Prof. ¡William ¡Sanders ¡ I3P: ¡Ins<tute ¡for ¡Informa<on ¡Infrastructure ¡Protec<on. ¡ICSEG: ¡Illinois ¡Center ¡for ¡a ¡Smarter ¡Electric ¡Grid ¡
Mo<va<on: ¡Cri<cal ¡Infrastructure ¡Protec<on ¡ Process ¡control ¡networks ¡are ¡increasingly ¡connected ¡to ¡other ¡networks ¡in ¡ • enterprise ¡systems. ¡ ¡ • Access ¡controlled ¡by ¡configuring ¡poten<ally ¡many ¡firewalls ¡ ⇒ ¡Subtle ¡errors ¡are ¡common ¡and ¡hard ¡to ¡detect ¡ 7 ¡
Mo<va<on: ¡Cri<cal ¡Infrastructure ¡Protec<on ¡ Process ¡control ¡networks ¡are ¡increasingly ¡connected ¡to ¡other ¡networks ¡in ¡ • enterprise ¡systems. ¡ ¡ Direct ¡traffic ¡between ¡ Corporate ¡and ¡Control ¡networks ¡ should ¡be ¡prevented. ¡ ¡ All ¡outbound ¡traffic ¡should ¡end ¡ in ¡DMZ ¡ • Access ¡controlled ¡by ¡configuring ¡poten<ally ¡many ¡firewalls ¡ ⇒ ¡Subtle ¡errors ¡are ¡common ¡and ¡hard ¡to ¡detect ¡ Government ¡mandated ¡compliance ¡requirements ¡exist, ¡e.g., ¡NERC ¡CIPs ¡for ¡the ¡ • power ¡sector ¡ Best ¡prac<ces ¡recommenda<ons ¡exist, ¡e.g. ¡NIST ¡SP ¡800-‑82, ¡but ¡at ¡a ¡high-‑level ¡ • 8 ¡
Audit ¡Viola<on ¡
Need ¡& ¡Approach ¡ • Strong ¡need ¡for ¡an ¡automated ¡solu<on ¡to ¡help ¡ compliance ¡officers ¡and ¡auditors ¡beber ¡understand ¡ networks ¡and ¡the ¡effects ¡of ¡access ¡controls ¡ • NetAPT ¡ infers ¡the ¡network ¡ ¡ topology ¡from ¡firewall ¡ ¡ configura<on ¡and ¡ ¡ automa=cally ¡analyzes ¡ ¡ end-‑to-‑end ¡connec<vity ¡ ¡ ¡ – Visual ¡network ¡explora<on ¡ – Significantly ¡reduces ¡resources ¡needed ¡to ¡comply ¡with ¡ regula<ons ¡ – Improves ¡accuracy ¡of ¡security ¡analysis ¡
DEMO ¡
Technology ¡Transfer ¡of ¡NetAPT ¡ Patent ¡filed ¡in ¡2008 ¡ Disclosure ¡submibed ¡to ¡ OTM ¡in ¡2006 ¡ Patent ¡issued ¡in ¡ ¡ June ¡2012 ¡ License ¡issued ¡in ¡August ¡2013 ¡ ¡ Funding ¡from ¡DHS ¡started ¡in ¡ ¡ Sep. ¡2012 ¡ aaer ¡nego<a<on ¡with ¡OTM ¡ Network ¡Percep<on ¡startup ¡incorporated ¡this ¡summer ¡
Technology ¡Transfer ¡of ¡NetAPT ¡ Patent ¡filed ¡in ¡2008 ¡ Disclosure ¡submibed ¡to ¡ OTM ¡in ¡2006 ¡ Patent ¡issued ¡in ¡ ¡ June ¡2012 ¡ License ¡issued ¡in ¡August ¡2013 ¡ ¡ Funding ¡from ¡DHS ¡started ¡in ¡ ¡ Sep. ¡2012 ¡ aaer ¡nego<a<on ¡with ¡OTM ¡ Network ¡Percep<on ¡startup ¡incorporated ¡this ¡summer ¡
Inven<on ¡Disclosure ¡ • First ¡step ¡in ¡commercializa<on ¡process ¡
Inven<on ¡Disclosure ¡(cont.) ¡ • Systema<c ¡process ¡to ¡follow ¡ Source: ¡hbp://otm.illinois.edu/uiuc_commprocess ¡
Technology ¡Transfer ¡of ¡NetAPT ¡ Patent ¡filed ¡in ¡2008 ¡ Disclosure ¡submibed ¡to ¡ OTM ¡in ¡2006 ¡ Patent ¡issued ¡in ¡ ¡ June ¡2012 ¡ License ¡issued ¡in ¡August ¡2013 ¡ ¡ Funding ¡from ¡DHS ¡started ¡in ¡ ¡ Sep. ¡2012 ¡ aaer ¡nego<a<on ¡with ¡OTM ¡ Network ¡Percep<on ¡startup ¡incorporated ¡this ¡summer ¡
Technology ¡Transfer ¡of ¡NetAPT ¡ Patent ¡filed ¡in ¡2008 ¡ Disclosure ¡submibed ¡to ¡ OTM ¡in ¡2006 ¡ Patent ¡issued ¡in ¡ ¡ June ¡2012 ¡ License ¡issued ¡in ¡August ¡2013 ¡ ¡ Funding ¡from ¡DHS ¡started ¡in ¡ ¡ Sep. ¡2012 ¡ aaer ¡nego<a<on ¡with ¡OTM ¡ Network ¡Percep<on ¡startup ¡incorporated ¡this ¡summer ¡
Funding ¡from ¡Department ¡of ¡Homeland ¡Security ¡ • Science ¡and ¡Technology ¡Directorate, ¡ ¡ Cyber ¡Security ¡Division ¡ – Directed ¡by ¡Dr. ¡Douglas ¡Maughan ¡ – Part ¡of ¡the ¡Homeland ¡Security ¡Advanced ¡Research ¡Projects ¡ Agency ¡(HSARPA) ¡ • Objec<ve: ¡ – Develop ¡and ¡transi<on ¡new ¡technologies, ¡tools, ¡and ¡ techniques ¡to ¡protect ¡and ¡secure ¡systems, ¡networks, ¡ infrastructure, ¡and ¡users ¡
Key ¡Benefits ¡ • Expand ¡evalua<on ¡program ¡to ¡get ¡the ¡tool ¡in ¡ the ¡hands ¡of ¡more ¡users ¡ • Receive ¡feedback ¡and ¡bug ¡reports ¡ • Grow ¡development ¡resources ¡to ¡beber ¡meet ¡ the ¡needs ¡of ¡users ¡ • Develop ¡documenta<on ¡and ¡training ¡material ¡
User ¡Interac<ons ¡ • Evalua<on ¡license ¡signed ¡by ¡20 ¡new ¡organiza<ons ¡ over ¡1 ¡year ¡ – U<li<es ¡ – Auditors ¡ – Consultants ¡ • Par<cipated ¡in ¡audits ¡and ¡helped ¡u<li<es ¡ – Tool ¡enhanced ¡based ¡on ¡user ¡feedback ¡and ¡specific ¡ firewall ¡configura<ons ¡to ¡assist ¡through ¡audit ¡prepara<on ¡ • Held ¡first ¡tutorial ¡in ¡Dallas ¡on ¡May ¡22, ¡following ¡ Southwest ¡Power ¡Pool ¡(SPP) ¡CIP ¡workshop ¡ – 17 ¡abendees ¡
Lessons ¡Learned ¡ • Progressive ¡transi<on ¡from ¡a ¡research-‑centric ¡ to ¡a ¡user-‑centric ¡development ¡roadmap ¡ 1. Challenges ¡to ¡install ¡the ¡tool ¡ 2. Difficul<es ¡to ¡grasp ¡the ¡concept ¡of ¡global ¡policy ¡ 3. Challenges ¡to ¡cover ¡firewall ¡vendors ¡ 4. Need ¡to ¡include ¡rou<ng ¡devices ¡ 5. Need ¡to ¡improve ¡workflow ¡and ¡repor<ng ¡ features ¡to ¡beber ¡prepare ¡for ¡audits ¡
Recommend
More recommend