390 likes | 547 Views
Università degli studi “G.d’Annunzio”. Corso di Laurea Specialistica in Economia Informatica. Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli. Security Risk Analysis. Risk Management. Information Security Risk Management. Metodologie di Risk Management.
E N D
Università degli studi “G.d’Annunzio” Corso di Laurea Specialistica in Economia Informatica Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis
Risk Management Information Security Risk Management Metodologie di Risk Management Uso di indici quantitativi su attack trees Conclusioni
Risk Management Risk management è l'insieme di attività coordinate per gestire un'organizzazione con riferimento ai rischi. Tipicamente include l'identificazione, la misurazione e la mitigazione delle varie esposizioni al rischio.
Risk Management Il rischio è l'incertezza che eventi inaspettati possano manifestarsi producendo effetti negativi per l'organizzazione.
Risk Management Rischio di Information Technology: il pericolo di interruzione di servizio, diffusione di informazioni riservate o di perdita di dati rilevanti archiviati tramite mezzi computerizzati. Information Security Risk Management
Risk Assessment>> Risk Mitigation >> Monitoring Il processo di risk assessment è usato per determinare l'ampiezza delle potenziali minacce dei rischi associati ad un sistema IT ed identificare tutte le possibili contromisure per ridurre o eliminare tali voci di rischio. Information Security Risk Management • Vengono identificate: • asset • minacce • vulnerabilità • contromisure • Vengono determinati: • impatto prodotto dalle minacce, • fattibilità delle minacce, • complessivo livello di rischio.
Risk Assessment>>Risk Mitigation>> Monitoring Information Security Risk Management Nel processo di risk mitigation vengono analizzati le contromisure raccomandati dal team di assessment, e vengono selezionati e implementate le contromisure che presentano il miglior rapporto costi/benefici.
Risk Assessment>> Risk Mitigation >>Monitoring Information Security Risk Management All'interno di grandi imprese i sistemi IT subiscono frequenti modifiche dovuti ad aggiornamenti, cambiamento dei componenti, modifica dei software, cambio del personale, ecc. Mutano le condizioni del sistema, modificando anche gli effetti delle contromisure adottate.
Gli approcci di risk management possono essere classificati in: • approcci qualitativi, • approcci quantitativi. Metodologie di Risk Management
Gli approcci di risk management possono essere classificati in: • approcci qualitativi, • approcci quantitativi. Metodologie di Risk Management Vengono studiati i possibili scenari che possono interessare un sistema, dando una valutazione relativa dei rischi che possono colpirlo. Attack trees
Gli approcci di risk management possono essere classificati in: • approcci qualitativi, • approcci quantitativi. Metodologie di Risk Management Esprimono, in termini assoluti tutte le grandezze riguardanti gli asset, la frequenza delle minacce, l'impatto, le perdite potenziali, l'efficacia delle contromisure, il costo delle contromisure e il livello di rischio presente nel sistema. Indici
Gli approcci di risk management possono essere classificati in: • approcci qualitativi, • approcci quantitativi. Metodologie di Risk Management Obiettivo: combinare i vantaggi dei due approcci e fornire una metodologia che utilizzi gli attack trees per l’individuazione degli scenari e gli indici per una loro valutazione.
Approccio qualitativo Nodo OR Metodologie di Risk Management Radice: obiettivo Strategie d’attacco Nodo AND
Approccio quantitativo L'Exposure Factor (EF) misura il livello di danno, o l'impatto provocato da un evento dannoso su un singolo asset. Il Single Loss Exposure (SLE) misura il costo associato ad una singola minaccia che agisce su un singolo asset. È dato da: SLE = AV * EF L’Annualized Rate of Occurrence (ARO) il numero di volte che una minaccia si verifica nell’arco di un anno. L’ Annualized Loss Expectancy (ALE) esprime la perdita attesa, su base annua, associata ad una specifica minaccia. ALE = SLE * ARO Metodologie di Risk Management
Approccio quantitativo Return on Investment (ROI) è un indicatore che viene utilizzato per valutare il rendimento di un investimento e confrontare tra loro diverse alternative di scelta. Metodologie di Risk Management Per valutare un investimento in sicurezza dei sistemi IT il ROI può essere calcolato come segue:
Approccio quantitativo Il Return on Attack (ROA), è definito come il guadagno atteso dall'attaccante da un attacco portato a termine con successo, tenendo conto delle perdite subite a causa della presenza di una contromisura all'interno del sistema colpito. Metodologie di Risk Management L’impresa deve cercare di minimizzare tale indice al fine di disincentivare l’attacco da parte di un malintenzionato.
È possibile effettuare delle valutazioni complesse sugli attack tree? È possibile utilizzare questo strumento per la selezione dei contromisure necessarie per salvaguardare il sistema? Uso di indici quantitativi su attack trees • AV, • EF, • SLE, • ARO, • ALE, • ROI, • ROA. ROI, ROA ROI, ROA.
Creare un attack tree Radice: asset del sistema IT Uso di indici quantitativi su attack trees Le minacce e le vulnerabilità Contromisure
Etichettatura per il calcolo del ROI AV Uso di indici quantitativi su attack trees EFbAROb SLEbAROb RM1Cost1 EFdAROd EFeAROe RM2Cost2 SLEeALEe SLEdALEd RM3Cost3 RM4Cost4 RM5Cost5
Etichettatura per il calcolo del ROI AV Uso di indici quantitativi su attack trees EFbAROb SLEbAROb EFcAROc SLEcALEc RM1Cost1 EFdAROd EFeAROe RM2Cost2 SLEeALEe SLEdALEd RM3Cost3 RM4Cost4 RM5Cost5
Etichettatura per il calcolo del ROA gain Uso di indici quantitativi su attack trees costb loss1 loss2 costd coste loss3 loss4 loss5
Etichettatura per il calcolo del ROA gain Uso di indici quantitativi su attack trees costb costc lossc loss1 loss2 costd coste loss3 loss4 loss5
Creazione di uno scenario Uso di indici quantitativi su attack trees
Etichettatura dello scenario per il calcolo del ROI Uso di indici quantitativi su attack trees
Etichettatura dello scenario per il calcolo del ROI SLE = AV * EF ALE = SLE * ARO AV=100.000€ Uso di indici quantitativi su attack trees EF=100% ARO=0,09
Etichettatura dello scenario per il calcolo del ROI SLE = AV * EF ALE = SLE * ARO AV=100.000€ EF=100% ARO=0,40 Uso di indici quantitativi su attack trees SLE=100.000€ ALE=40.000€ EF=90% ARO=0,08 EF=100% ARO=0,09 EF=85% ARO=0,68 EF=100% ARO=0,09 SLE=90.000€ ALE=7.200€ SLE=90.000€ ALE=7.200€ SLE=100.000€ ALE=9.000€ SLE=100.000€ ALE=9.000€
Etichettatura dello scenario per il calcolo del ROI Uso di indici quantitativi su attack trees
Etichettatura delle contromisure per il calcolo del ROI Uso di indici quantitativi su attack trees ALE=9.000€ RM=60% Cost=500€ RM=10% Cost=100€ RM=80% Cost=3.000€ RM=50% Cost=15.000€
Calcolo del ROI Uso di indici quantitativi su attack trees ROI=0,30 ROI=15,00 ROI=22,10 ROI=9,80 ROI=9,80 ROI=1,59 ROI=8,00 ROI=1,40 ROI=2,87 ROI=19,23 ROI=-1,40 ROI=-0,70 ROI=--0,06 ROI=-0,70 ROI=2,60
Calcolo del ROI 1 2 Uso di indici quantitativi su attack trees ROI=0,30 ROI=15,00 ROI=22,10 ROI=9,80 ROI=9,80 ROI=1,59 ROI=8,00 ROI=1,40 ROI=2,87 ROI=19,23 ROI=-1,40 ROI=-0,70 ROI=--0,06 ROI=-0,70 ROI=2,60
Calcolo del ROA gain Uso di indici quantitativi su attack trees costb loss1 loss2 costd coste loss3 loss4 loss5
Calcolo del ROA Uso di indici quantitativi su attack trees
Etichettatura dello scenario per il calcolo del ROA gain=30.000€ Cost=0€ Uso di indici quantitativi su attack trees Cost=2.000€ Cost=1.000€ Cost=10.000€ Cost=3.000€ Loss=700€ Loss=2.000€ Loss=1.000€ Loss=1.000€ Loss=2.500€ Loss=1.500€ Loss=500€ Loss=1.500€ Loss=3.000€ Loss=400€ Loss=1.500€ Loss=700€ Loss=1.000€ Loss=700€ Loss=2.000€
Etichettatura dello scenario per il calcolo del ROI Uso di indici quantitativi su attack trees ROA=42,85 ROA=15,00 ROA=7,50 ROA=2,72 ROA=6,67 ROA=12,00 ROA=8,57 ROA=2,60 ROA=6,00 ROA=21,42 ROA=6,67 ROA=2,80 ROA=10,00 ROA=8,11 ROA=2,50
Etichettatura dello scenario per il calcolo del ROI 2 1 Uso di indici quantitativi su attack trees ROA=42,85 ROA=15,00 ROA=7,50 ROA=2,72 ROA=6,67 ROA=12,00 ROA=8,57 ROA=2,60 ROA=6,00 ROA=21,42 ROA=6,67 ROA=2,80 ROA=10,00 ROA=8,11 ROA=2,50
Valutazione complessiva dello scenario Uso di indici quantitativi su attack trees ROI=15,00 ROA=15,00 ROI=2,87 ROI=9,80 ROI=22,10 ROI=9,80 ROA=6,00 ROA=12,00 ROA=6,67 ROA=2,50
Risk Analysis • Risk Management • Information Security Risk Management • Metodologie di Risk Management • Uso di indici quantitativi su attack trees • Sviluppi futuri • Migliorare la valutazione di ROI e ROA nei nodi and partendo dalle valutazione dei figli • Sviluppare metodi generali (semiring) per valutazione rischi di attacco • Studiare come il ROA possa modificare la valutazione dell’ARO (e quindi il ROI) • Usare intervalli invece di valori assoluti per le etichette dell’albero • Uso di probabilità e possibilità • Studiare come risultati di teoria dei giochi possono applicarsi all’albero and-or Conclusioni