laureanda: pamela peretti relatore: prof. stefano bistarelli

Laureanda: Pamela Peretti

Relatore: prof. Stefano Bistarelli

Security Risk Analysis

Corso di Laurea Specialistica in Economia Informatica

Università degli studi “G.d’Annunzio”

Information Security Risk Management

Conclusioni

Risk Management

Metodologie di Risk Management

Uso di indici quantitativi su attack trees

Risk management è l'insieme di attività coordinate per gestire un'organizzazione con riferimento ai rischi.Tipicamente include l'identificazione, la misurazione e la mitigazione delle varie esposizioni al rischio.

Risk Management

Il rischio è l'incertezza che eventi inaspettati possano manifestarsi producendo effetti negativi per l'organizzazione.

Risk Management

Rischio di Information Technology: il pericolo di interruzione di servizio, diffusione di informazioni riservate o di perdita di dati rilevanti archiviati tramite mezzi computerizzati.

Information Security Risk Management

Risk Management

Risk Assessment >> Risk Mitigation >> Monitoring

Information SecurityRisk Management Il processo di risk assessment è

usato per determinare l'ampiezza delle potenziali minacce dei rischi associati ad un sistema IT ed identificare tutte le possibili contromisure per ridurre o eliminare tali voci di rischio.

Vengono identificate:• asset• minacce • vulnerabilità• contromisure

Vengono determinati:• impatto prodotto dalle minacce,• fattibilità delle minacce,• complessivo livello di rischio.


Nel processo di risk mitigation vengono analizzati le contromisure raccomandati dal team di assessment, e vengono selezionati e implementate le contromisure che presentano il miglior rapporto costi/benefici.

Information SecurityRisk Management


All'interno di grandi imprese i sistemi IT subiscono frequenti modifiche dovuti ad aggiornamenti, cambiamento dei componenti, modifica dei software, cambio del personale, ecc.

Mutano le condizioni del sistema, modificando anche gli effetti delle contromisure adottate.

Information SecurityRisk Management

Metodologie diRisk Management

Gli approcci di risk management possono essere classificati in:

• approcci qualitativi,• approcci quantitativi.



Vengono studiati i possibili scenari che possono interessare un sistema, dando una valutazione relativa dei rischi che possono colpirlo.

Attack trees




Esprimono, in termini assoluti tutte le grandezze riguardanti gli asset, la frequenza delle minacce, l'impatto, le perdite potenziali, l'efficacia delle contromisure, il costo delle contromisure e il livello di rischio presente nel sistema.

Indici




Obiettivo: combinare i vantaggi dei due approcci e fornire una metodologia che utilizzi gli attack trees per l’individuazione degli scenari e gli indici per una loro valutazione.


Radice: obiettivo

Nodo AND

Nodo OR

Strategie d’attacco

Approccio qualitativo


L'Exposure Factor (EF) misura il livello di danno, o l'impatto provocato da un evento dannoso su un singolo asset.

Il Single Loss Exposure (SLE) misura il costo associato ad una singola minaccia che agisce su un singolo asset. È dato da:

SLE = AV * EF

L’Annualized Rate of Occurrence (ARO) il numero di volte che una minaccia si verifica nell’arco di un anno.

L’ Annualized Loss Expectancy (ALE) esprime la perdita attesa, su base annua, associata ad una specifica minaccia.

ALE = SLE * ARO

Approccio quantitativo


Return on Investment (ROI) è un indicatore che viene utilizzato per valutare il rendimento di un investimento e confrontare tra loro diverse alternative discelta.


Per valutare un investimento in sicurezza dei sistemi IT il ROI può essere calcolato come segue:


Il Return on Attack (ROA), è definito come il guadagno atteso dall'attaccante da un attacco portato a termine con successo, tenendo conto delle perdite subite a causa della presenza di una contromisura all'interno del sistema colpito.


L’impresa deve cercare di minimizzare tale indice al fine di disincentivare l’attacco da parte di un malintenzionato.


È possibile effettuare delle valutazioni complesse sugli attack tree?È possibile utilizzare questo strumento per la selezione dei contromisure necessarie per salvaguardare il sistema?

Uso di indici quantitativisu attack trees

• AV,• EF,• SLE,• ARO,• ALE,• ROI,• ROA.

ROI, ROA ROI, ROA.

Creare un attack tree

Radice: asset del sistema IT

Le minacce e le vulnerabilità

Contromisure


Etichettatura per il calcolo del ROI

SLEbAROb

RM3

Cost3

EFbAROb

RM4

Cost4RM5

Cost5

RM1

Cost1RM2

Cost2

EFdAROd

AV


EFeAROe

SLEeALEeSLEd

ALEd

Etichettatura per il calcolo del ROI

SLEbAROb

RM3

Cost3

EFbAROb

RM4

Cost4RM5

Cost5

RM1

Cost1RM2

Cost2

EFdAROd

AV

EFeAROe

SLEeALEeSLEd

ALEd

SLEcALEc

EFcAROc


Etichettatura per il calcolo del ROA

loss3

costb

loss4

loss5

loss1

loss2 coste

gain


costd

Etichettatura per il calcolo del ROA

lossc

costb

loss1

loss2

costc

gain


loss3 loss4

loss5

costecostd

Creazione di uno scenario


Etichettatura dello scenario per il calcolo del ROI

Attacco EF ARO SLE

Rubare i dati memorizzati nel server grazie ai permessi rubati ad un utente con diritti di root

100% 0,09 100.000€

Rubare i dati memorizzati nel server grazie ai permessi ottenuti corrompendo un utente con i diritti di root

100% 0,09 100.000€

Rubare i dati memorizzati nel server grazie al possesso dei permessi di root

100% 0,40 100.000€

Rubare i dati memorizzati nel server attraverso un attacco da remoto che sfrutti una vulnerabilità sul database on-line

90% 0,08 90.000€

Rubare i dati memorizzati sul server attraverso un attacco da remoto che sfrutti una vulnerabilità sul server di posta

85% 0,68 85.000€


AV=100.000€

EF=100%ARO=0,09

SLE = AV * EF

ALE = SLE * ARO



EF=85%ARO=0,68

EF=100%ARO=0,09

EF=100%ARO=0,40

EF=90%ARO=0,08

SLE=90.000€ALE=7.200€

SLE=100.000€ALE=40.000€

SLE=100.000€ALE=9.000€

SLE=100.000€ALE=9.000€

SLE=90.000€ALE=7.200€

SLE = AV * EF

ALE = SLE * ARO

EF=100%ARO=0,09

AV=100.000€




Contromisure per ogni attacco RM Cost

1 Cambiare la password periodicamente 60% 500 €

Disconnettere il pc dopo l'uso 10% 100 €

Aggiungere un token per il riconoscimento 80% 3.000 €

Distribuire le responsabilità tra più utenti 50% 15.000 €

2 Cambiare la password periodicamente 60% 500 €

Aggiungere un token per il riconoscimento 80% 3.000 €

Distribuire le responsabilità tra più utenti 50% 15.000 €

Motivare il personale 80% 2.000 €

3 Distribuire le responsabilità tra più utenti 50% 15.000 €

Motivare il personale 80% 2.000 €

4 Aggiornare il sistema periodicamente 90% 2.500 €

Controllare la validità degli script 70% 1.300 €

Separare i contenuti sui server 65% 5.000 €

5 Utilizzare un software anti-virus 80% 2.000 €

Pre-configurare i client di posta 35% 1.000 €


ALE=9.000€

RM=60%Cost=500€

RM=10%Cost=100€

RM=80%Cost=3.000€

RM=50%Cost=15.000€

Etichettatura delle contromisure per il calcolo del ROI


ROI=22,10

ROI=19,23

ROI=9,80

ROI=1,40

ROI=-0,70

ROI=2,60

ROI=9,80

ROI=8,00

ROI=-1,40

ROI=-0,70

ROI=1,59

ROI=2,87

ROI=--0,06

ROI=0,30

ROI=15,00

Calcolo del ROI


ROI=22,10

ROI=19,23

ROI=9,80

ROI=1,40

ROI=-0,70

ROI=2,60

ROI=9,80

ROI=8,00

ROI=-1,40

ROI=-0,70

ROI=1,59

ROI=2,87

ROI=--0,06

ROI=0,30

ROI=15,00

Calcolo del ROI

12


Calcolo del ROA

loss3

costb

loss4

loss5

loss1

loss2 costd

gain

coste


Calcolo del ROA

Contromisure per ogni attacco Costo Perdita

1 Cambiare la password periodicamente 3.000 € 1.000 €

Disconnettere il pc dopo l'uso 3.000 € 500 €

Aggiungere un token per il riconoscimento 3.000 € 1.500 €

Distribuire le responsabilità tra più utenti 3.000 € 700 €

2 Cambiare la password periodicamente 10.000 € 1.000 €

Aggiungere un token per il riconoscimento 10.000 € 1.500 €

Distribuire le responsabilità tra più utenti 10.000 € 700 €

Motivare il personale 10.000 € 2.000 €

3 Distribuire le responsabilità tra più utenti 0 € 700 €

Motivare il personale 0 € 2.000 €

4 Aggiornare il sistema periodicamente 2.000 € 2.500 €

Controllare la validità degli script 2.000 € 3.000 €

Separare i contenuti sui server 2.000 € 1.000 €

5 Utilizzare un software anti-virus 1.000 € 1.500 €

Pre-configurare i client di posta 1.000 € 400 €


Etichettatura dello scenario per il calcolo del ROA

gain=30.000€

Cost=10.000€

Cost=0€

Cost=3.000€ Cost=2.000€ Cost=1.000€

Loss=1.500€

Loss=400€

Loss=1.000€

Loss=1.500€

Loss=700€

Loss=2.000€

Loss=1.000€

Loss=500€

Loss=1.500€

Loss=700€

Loss=2.500€

Loss=3.000€

Loss=1.000€

Loss=700€

Loss=2.000€



ROA=12,00

ROA=21,42

ROA=2,72

ROA=2,60

ROA=2,80

ROA=2,50

ROA=7,50

ROA=8,57

ROA=6,67

ROA=8,11

ROA=6,67

ROA=6,00

ROA=10,00

ROA=42,85

ROA=15,00



ROA=12,00

ROA=21,42

ROA=2,72

ROA=2,60

ROA=2,80

ROA=2,50

ROA=7,50

ROA=8,57

ROA=6,67

ROA=8,11

ROA=6,67

ROA=6,00

ROA=10,00

ROA=42,85

ROA=15,00

21


ROI=22,10ROI=9,80ROI=9,80 ROI=2,87

ROI=15,00

Valutazione complessiva dello scenario

ROA=12,00ROA=2,50ROA=6,67 ROA=6,00

ROA=15,00


Conclusioni

Risk Analysis • Risk Management• Information Security Risk Management

• Metodologie di Risk Management• Uso di indici quantitativi su attack trees

Sviluppi futuri • Migliorare la valutazione di ROI e ROA nei nodi and partendo dalle valutazione dei figli•Sviluppare metodi generali (semiring) per valutazione rischi di attacco•Studiare come il ROA possa modificare la valutazione dell’ARO (e quindi il ROI)•Usare intervalli invece di valori assoluti per le etichette dell’albero•Uso di probabilità e possibilità•Studiare come risultati di teoria dei giochi possono applicarsi all’albero and-or

laureanda: pamela peretti relatore: prof. stefano bistarelli

Documents

approcci quantitativi

risk managementuso

risk managementrischio

approcci qualitativi

possibili contromisure

indici quantitativi

contromisure raccomandati

costo delle contromisure