Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.

Slides:



Advertisements
Presentazioni simili
Valutazione d’Istituto A.S. 2008/2009
Advertisements

IlTrovatore S.p.a. IlTrovatore RemoteSearch IlTrovatore mette a disposizione di portali Internet, piccole e medie imprese, tutto il suo know-how nel settore.
- 1 - Superare la complessità della quantificazione dei rischi connessi ai sistemi informativi attraverso una metodologia strutturata Il rischio accettato.
Corso aggiornamento ASUR10
Corso « Clean Energy Project Analysis »
VI CONGRESSO NAZIONALE DI SCIENZA E TECNICA DELLE ASSICURAZIONI VI CONGRESSO NAZIONALE DI SCIENZA E TECNICA DELLE ASSICURAZIONI Bologna, 19 gennaio 2004.
MOTECHECO, 2012 Il progetto Europeo SafeCycle WORKSHOP: Ciclabilita' e Trasporto Pubblico in Ambito Urbano CIVINET 26 Settembre 2012.
… chi è Regola?.
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA
Data warehousing con SQL Server
Inferenza Statistica Le componenti teoriche dell’Inferenza Statistica sono: la teoria dei campioni la teoria della probabilità la teoria della stima dei.
Chiara Mocenni - Sistemi di Supporto alle Decisioni I – aa Sistemi di Supporto alle Decisioni I Lezione 4 Chiara Mocenni Corso di laurea L1.
Daniela Corsaro Università Cattolica del Sacro Cuore di Milano
Economia Applicata all’Ingegneria
Analisi Bivariata e Test Statistici
Analisi Bivariata & Esercizi Analisi Univariata
Analisi Bivariata & Esercizi Analisi Univariata Metodi Quantitativi per Economia, Finanza e Management Esercitazione n°4.
Dalla vendita tecnica alla vendita emozionale
APETTI ECONOMICO-FINANZIARI della gestione delle imprese di assicurazione Università di Macerata.
Canale A. Prof.Ciapetti AA2003/04
Mediazione e gestione dei conflitti nella comunicazione interculturale
Indagine trimestrale sulla industria manifatturiera in provincia di Ravenna - Imprese con oltre 10 addetti - IV trimestre e consuntivo 2003 Ravenna, 19.
CONTROLLO DI SUPPLY CHAIN MEDIANTE TECNICHE H-INFINITO E NEGOZIAZIONE
IL CONCETTO DI SIGNIFICATIVITA’
Università degli Studi di Pisa Facoltà di Ingegneria a.a. 2006/2007
Linguaggi di programmazione
L’influenza aviaria: quale rischio alimentare?
LA VISIONE INTEGRATA DEL RISCHIO:
Il Problema della Compatibilità Anno 2000 Ministero del Tesoro del Bilancio e della Programmazione Economica CONSIP S.p.A.
L’ANALISI DELLA REDDITIVITÀ
PARTE XIII INFORMAZIONE ASIMMETRICA.
Grid Computing Sergio Andreozzi. Chi è interessato ad analizzare i dati generati da LHC? Circa 5,000 scienziati –distribuiti nel mondo –appartenenti ad.
UNIVERSITA’ STUDI DI ROMA “FORO ITALICO”
Note per la presentazione delle misure
PROGETTO SECURITY ROOM
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
ORSS Web 2012.
Mercati Azionari, Obbligazionari e Derivati A.A. 2006/ II semestre Docente: Massimo Pinna Università degli Studi di Cagliari Facoltà di Economia.
Applicazioni di modelli matematici alla ricerca semantica
Prof. Domenico Nicolò Reggio Calabria, 11 aprile 2008
III Convegno Nazionale
Proposta di unImplementazione per i Servizi di Localizzazione e Traffic Monitoring nellIntelligent Trasportation System Pegasus UNIVERSITÀ DEGLI STUDI.
Il processo di sviluppo del Sw: strategia make
Il rischio: approccio psicofisico e approccio motivazionista
BROKER SERVER Progetto di Ingegneria del Web 2008 Alessio Bianchi Andrea Gambitta Giuseppe Siracusano.
Strumento per l'innovazione di prodotto eco-compatibile per le PMI
Firenze – Festival della Creatività 2009 Comm.it s.r.l. – Ing. Davide Rogai, Ph.D. – Software >> fast on demand software.
1 Ly-LAB Sistema di gestione dei dati analitici di laboratorio.
CHE COSE UN PROGETTO? E un insieme di azioni coordinate, ideate per ottenere un determinato obiettivo, usando un budget specifico, in un intervallo temporale.
Università degli Studi di Cagliari
CONTROLLO INTERNO.
Case Based Reasoning Matteo Landi - Gaetano Catalli - Davide Barelli.
Esperienza di UniCredit Group Evoluzione e nuove sfide nella gestione del rischio operativo Milano 15 ottobre 2013 Group Operational & Reputational Risks.
IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.
RISK MANAGEMENT NELLA LOGISTICA
La Conservazione Sostitutiva e la Soluzione Una-Doc.
L’evoluzione del risk assessment & Management nella logistica: soluzioni operative Vincenzo-Ithao De Carlo Responsabile Area Consulting Gruppo Infoteam.
PROGETTO E REALIZZAZIONE DI UN COMPONENTE SOFTWARE PROGRAMMABILE PER LA PIANIFICAZIONE DI COMMISSIONI DI LAUREA FACOLTA’ DI INGEGNERIA Corso di Laurea.
UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello Realizzato da: Giuseppina.
1 6 Maggio 2008 – Milano INCONTRO ATTUARI INCARICATI VITA L’EVOLUZIONE DEL RUOLO DELL’ATTUARIO INCARICATO ALLA LUCE DEL REGOLAMENTO ISVAP N.20/2008 SUI.
Corso di Sicurezza e Privacy - 15 luglio Dipartimento di Scienze - 15 luglio 2015 Pamela Peretti Corso di Sicurezza e Privacy mercoledì 7 novembre.
Cloud SIA V anno.
ECDL European Computer Driving Licence
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Il software Aleph caratteristiche e funzionalità Aleph500 v ersione seminario a cura di Libera Marinelli Università di Genova - Centro di servizi.
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
Transcript della presentazione:

Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli studi “G.d’Annunzio”

Information Security Risk Management Conclusioni Risk Management Metodologie di Risk Management Uso di indici quantitativi su attack trees

Risk management è l'insieme di attività coordinate per gestire un'organizzazione con riferimento ai rischi. Tipicamente include l'identificazione, la misurazione e la mitigazione delle varie esposizioni al rischio. Risk Management

Il rischio è l'incertezza che eventi inaspettati possano manifestarsi producendo effetti negativi per l'organizzazione. Risk Management

Rischio di Information Technology: il pericolo di interruzione di servizio, diffusione di informazioni riservate o di perdita di dati rilevanti archiviati tramite mezzi computerizzati. Information Security Risk Management Risk Management

Risk Assessment >> Risk Mitigation >> Monitoring Information Security Risk Management Il processo di risk assessment è usato per determinare l'ampiezza delle potenziali minacce dei rischi associati ad un sistema IT ed identificare tutte le possibili contromisure per ridurre o eliminare tali voci di rischio. Vengono identificate: asset minacce vulnerabilità contromisure Vengono determinati: impatto prodotto dalle minacce, fattibilità delle minacce, complessivo livello di rischio.

Risk Assessment >> Risk Mitigation >> Monitoring Nel processo di risk mitigation vengono analizzati le contromisure raccomandati dal team di assessment, e vengono selezionati e implementate le contromisure che presentano il miglior rapporto costi/benefici. Information Security Risk Management

Risk Assessment >> Risk Mitigation >> Monitoring All'interno di grandi imprese i sistemi IT subiscono frequenti modifiche dovuti ad aggiornamenti, cambiamento dei componenti, modifica dei software, cambio del personale, ecc. Mutano le condizioni del sistema, modificando anche gli effetti delle contromisure adottate. Information Security Risk Management

Metodologie di Risk Management Gli approcci di risk management possono essere classificati in: approcci qualitativi, approcci quantitativi.

Gli approcci di risk management possono essere classificati in: approcci qualitativi, approcci quantitativi. Vengono studiati i possibili scenari che possono interessare un sistema, dando una valutazione relativa dei rischi che possono colpirlo. Attack trees Metodologie di Risk Management

Gli approcci di risk management possono essere classificati in: approcci qualitativi, approcci quantitativi. Esprimono, in termini assoluti tutte le grandezze riguardanti gli asset, la frequenza delle minacce, l'impatto, le perdite potenziali, l'efficacia delle contromisure, il costo delle contromisure e il livello di rischio presente nel sistema. Indici Metodologie di Risk Management

Gli approcci di risk management possono essere classificati in: approcci qualitativi, approcci quantitativi. Obiettivo: combinare i vantaggi dei due approcci e fornire una metodologia che utilizzi gli attack trees per l’individuazione degli scenari e gli indici per una loro valutazione. Metodologie di Risk Management

Radice: obiettivo Nodo AND Nodo OR Strategie d’attacco Approccio qualitativo Metodologie di Risk Management

L'Exposure Factor (EF) misura il livello di danno, o l'impatto provocato da un evento dannoso su un singolo asset. Il Single Loss Exposure (SLE) misura il costo associato ad una singola minaccia che agisce su un singolo asset. È dato da: SLE = AV * EF L’Annualized Rate of Occurrence (ARO) il numero di volte che una minaccia si verifica nell’arco di un anno. L’ Annualized Loss Expectancy (ALE) esprime la perdita attesa, su base annua, associata ad una specifica minaccia. ALE = SLE * ARO Approccio quantitativo Metodologie di Risk Management

Return on Investment (ROI) è un indicatore che viene utilizzato per valutare il rendimento di un investimento e confrontare tra loro diverse alternative di scelta. Approccio quantitativo Per valutare un investimento in sicurezza dei sistemi IT il ROI può essere calcolato come segue: Metodologie di Risk Management

Il Return on Attack (ROA), è definito come il guadagno atteso dall'attaccante da un attacco portato a termine con successo, tenendo conto delle perdite subite a causa della presenza di una contromisura all'interno del sistema colpito. Approccio quantitativo L’impresa deve cercare di minimizzare tale indice al fine di disincentivare l’attacco da parte di un malintenzionato. Metodologie di Risk Management

È possibile effettuare delle valutazioni complesse sugli attack tree? È possibile utilizzare questo strumento per la selezione dei contromisure necessarie per salvaguardare il sistema? Uso di indici quantitativi su attack trees AV, EF, SLE, ARO, ALE, ROI, ROA. ROI, ROA ROI, ROA.

Creare un attack tree Radice: asset del sistema IT Le minacce e le vulnerabilità Contromisure Uso di indici quantitativi su attack trees

Etichettatura per il calcolo del ROI SLE b ARO b RM 3 Cost 3 EF b ARO b RM 4 Cost 4 RM 5 Cost 5 RM 1 Cost 1 RM 2 Cost 2 EF d ARO d AV Uso di indici quantitativi su attack trees EF e ARO e SLE e ALE e SLE d ALE d

Etichettatura per il calcolo del ROI SLE b ARO b RM 3 Cost 3 EF b ARO b RM 4 Cost 4 RM 5 Cost 5 RM 1 Cost 1 RM 2 Cost 2 EF d ARO d AV EF e ARO e SLE e ALE e SLE d ALE d SLE c ALE c EF c ARO c Uso di indici quantitativi su attack trees

Etichettatura per il calcolo del ROA loss 3 cost b loss 4 loss 5 loss 1 loss 2 cost e gain Uso di indici quantitativi su attack trees cost d

Etichettatura per il calcolo del ROA loss c cost b loss 1 loss 2 cost c gain Uso di indici quantitativi su attack trees loss 3 loss 4 loss 5 cost e cost d

Creazione di uno scenario Uso di indici quantitativi su attack trees

Etichettatura dello scenario per il calcolo del ROI AttaccoEFARO SLE Rubare i dati memorizzati nel server grazie ai permessi rubati ad un utente con diritti di root 100%0, € Rubare i dati memorizzati nel server grazie ai permessi ottenuti corrompendo un utente con i diritti di root 100%0, € Rubare i dati memorizzati nel server grazie al possesso dei permessi di root 100%0, € Rubare i dati memorizzati nel server attraverso un attacco da remoto che sfrutti una vulnerabilità sul database on-line 90%0, € Rubare i dati memorizzati sul server attraverso un attacco da remoto che sfrutti una vulnerabilità sul server di posta 85%0, € Uso di indici quantitativi su attack trees

AV= € EF=100% ARO=0,09 SLE = AV * EF ALE = SLE * ARO Etichettatura dello scenario per il calcolo del ROI Uso di indici quantitativi su attack trees

EF=85% ARO=0,68 EF=100% ARO=0,09 EF=100% ARO=0,40 EF=90% ARO=0,08 SLE=90.000€ ALE=7.200€ SLE= € ALE=40.000€ SLE= € ALE=9.000€ SLE= € ALE=9.000€ SLE=90.000€ ALE=7.200€ SLE = AV * EF ALE = SLE * ARO EF=100% ARO=0,09 AV= € Etichettatura dello scenario per il calcolo del ROI Uso di indici quantitativi su attack trees

Etichettatura dello scenario per il calcolo del ROI Contromisure per ogni attaccoRMCost 1Cambiare la password periodicamente60%500 € Disconnettere il pc dopo l'uso10%100 € Aggiungere un token per il riconoscimento80%3.000 € Distribuire le responsabilità tra più utenti50% € 2 Cambiare la password periodicamente 60%500 € Aggiungere un token per il riconoscimento80%3.000 € Distribuire le responsabilità tra più utenti50% € Motivare il personale80%2.000 € 3Distribuire le responsabilità tra più utenti50% € Motivare il personale80%2.000 € 4Aggiornare il sistema periodicamente90%2.500 € Controllare la validità degli script70%1.300 € Separare i contenuti sui server65%5.000 € 5Utilizzare un software anti-virus80%2.000 € Pre-configurare i client di posta35%1.000 € Uso di indici quantitativi su attack trees

ALE=9.000€ RM=60% Cost=500€ RM=10% Cost=100€ RM=80% Cost=3.000€ RM=50% Cost=15.000€ Etichettatura delle contromisure per il calcolo del ROI Uso di indici quantitativi su attack trees

ROI=22,10 ROI=19,23 ROI=9,80 ROI=1,40 ROI=-0,70 ROI=2,60 ROI=9,80 ROI=8,00 ROI=-1,40 ROI=-0,70 ROI=1,59 ROI=2,87 ROI=--0,06 ROI=0,30 ROI=15,00 Calcolo del ROI Uso di indici quantitativi su attack trees

ROI=22,10 ROI=19,23 ROI=9,80 ROI=1,40 ROI=-0,70 ROI=2,60 ROI=9,80 ROI=8,00 ROI=-1,40 ROI=-0,70 ROI=1,59 ROI=2,87 ROI=--0,06 ROI=0,30 ROI=15,00 Calcolo del ROI 1 2 Uso di indici quantitativi su attack trees

Calcolo del ROA loss 3 cost b loss 4 loss 5 loss 1 loss 2 cost d gain cost e Uso di indici quantitativi su attack trees

Calcolo del ROA Contromisure per ogni attaccoCostoPerdita 1Cambiare la password periodicamente3.000 €1.000 € Disconnettere il pc dopo l'uso3.000 €500 € Aggiungere un token per il riconoscimento3.000 €1.500 € Distribuire le responsabilità tra più utenti3.000 €700 € 2 Cambiare la password periodicamente €1.000 € Aggiungere un token per il riconoscimento €1.500 € Distribuire le responsabilità tra più utenti €700 € Motivare il personale €2.000 € 3Distribuire le responsabilità tra più utenti0 €700 € Motivare il personale0 €2.000 € 4Aggiornare il sistema periodicamente2.000 €2.500 € Controllare la validità degli script2.000 €3.000 € Separare i contenuti sui server2.000 €1.000 € 5Utilizzare un software anti-virus1.000 €1.500 € Pre-configurare i client di posta1.000 €400 € Uso di indici quantitativi su attack trees

Etichettatura dello scenario per il calcolo del ROA gain=30.000€ Cost=10.000€ Cost=0€ Cost=3.000€ Cost=2.000€ Cost=1.000€ Loss=1.500€ Loss=400€ Loss=1.000€ Loss=1.500€ Loss=700€ Loss=2.000€ Loss=1.000€ Loss=500€ Loss=1.500€ Loss=700€ Loss=2.500€ Loss=3.000€ Loss=1.000€ Loss=700€ Loss=2.000€ Uso di indici quantitativi su attack trees

Etichettatura dello scenario per il calcolo del ROI ROA=12,00 ROA=21,42 ROA=2,72 ROA=2,60 ROA=2,80 ROA=2,50 ROA=7,50 ROA=8,57 ROA=6,67 ROA=8,11 ROA=6,67 ROA=6,00 ROA=10,00 ROA=42,85 ROA=15,00 Uso di indici quantitativi su attack trees

Etichettatura dello scenario per il calcolo del ROI ROA=12,00 ROA=21,42 ROA=2,72 ROA=2,60 ROA=2,80 ROA=2,50 ROA=7,50 ROA=8,57 ROA=6,67 ROA=8,11 ROA=6,67 ROA=6,00 ROA=10,00 ROA=42,85 ROA=15, Uso di indici quantitativi su attack trees

ROI=22,10 ROI=9,80 ROI=2,87 ROI=15,00 Valutazione complessiva dello scenario ROA=12,00 ROA=2,50ROA=6,67 ROA=6,00 ROA=15,00 Uso di indici quantitativi su attack trees

Valutazione complessiva Visione dell’impresaVisione dell’attaccante Uso di indici quantitativi su attack trees

Conclusioni Risk Analysis Risk Management Information Security Risk Management Metodologie di Risk Management Uso di indici quantitativi su attack trees Sviluppi futuri Migliorare la valutazione di ROI e ROA nei nodi and partendo dalle valutazione dei figli Sviluppare metodi generali (semiring) per valutazione rischi di attacco Studiare come il ROA possa modificare la valutazione dell’ARO (e quindi il ROI) Usare intervalli invece di valori assoluti per le etichette dell’albero Uso di probabilità e possibilità Studiare come risultati di teoria dei giochi possono applicarsi all’albero and-or

AD BC ADB C AD Forma normale disgiuntiva