Corso di Sicurezza e Privacy - 15 luglio Dipartimento di Scienze - 15 luglio 2015 Pamela Peretti Corso di Sicurezza e Privacy mercoledì 7 novembre 2007 Security Risk Analysis PhD student in Computer Science Dipartimento di Scienze Università degli Studi “G. d’Annunzio” Pescara
Corso di Sicurezza e Privacy - 15 luglio Il processo di risk management è l'insieme di attività coordinate per gestire un'organizzazione con riferimento ai rischi. Tipicamente include l'identificazione, la misurazione e la mitigazione delle varie esposizioni al rischio. Risk Management Process
Corso di Sicurezza e Privacy - 15 luglio Risk Management Process Il rischio è l'incertezza che eventi inaspettati possano manifestarsi producendo effetti negativi per l'organizzazione.
Corso di Sicurezza e Privacy - 15 luglio Risk Management Process Il rischio di Information Technology: il pericolo di interruzione di servizio, diffusione di informazioni riservate o di perdita di dati rilevanti archiviati tramite mezzi computerizzati. Information Security Risk Management
Corso di Sicurezza e Privacy - 15 luglio Risk Assessment Il processo di risk assessment è usato per determinare l'ampiezza delle potenziali minacce ad un sistema IT ed identificare tutte le possibili contromisure per ridurre o eliminare tali voci di rischio. Vengono identificati: asset minacce vulnerabilità contromisure Vengono determinati: impatto prodotto dalle minacce, fattibilità delle minacce, complessivo livello di rischio.
Corso di Sicurezza e Privacy - 15 luglio Risk Mitigation Nel processo di risk mitigation vengono analizzati le contromisure raccomandati dal team di assessment, e vengono selezionati e implementate le contromisure che presentano il miglior rapporto costi/benefici.
Corso di Sicurezza e Privacy - 15 luglio Monitoring All'interno di grandi imprese i sistemi IT subiscono frequenti modifiche dovuti ad aggiornamenti, cambiamento dei componenti, modifica dei software, cambio del personale, ecc. Mutano le condizioni del sistema, modificando anche gli effetti delle contromisure adottate.
approcci
Corso di Sicurezza e Privacy - 15 luglio Approcci Approcci qualitativi Analisi degli scenari che possono realizzarsi all’interno di un sistema. Lo scopo è quello di individuare le possibili minacce e il livello di rischio associato ad ogni risorsa che compone il sistema. Attack tree Indici economici Approcci quantitativi Quantificazione di tutte le grandezze necessarie per una valutazione dei rischi con l'obiettivo di determinare, attraverso l’uso di una serie d’indici, la convenienza economica di un investimento in sicurezza.
Corso di Sicurezza e Privacy - 15 luglio Approcci Approcci qualitativi Analisi degli scenari che possono realizzarsi all’interno di un sistema. Lo scopo è quello di individuare le possibili minacce e il livello di rischio associato ad ogni risorsa che compone il sistema. Approcci quantitativi Quantificazione di tutte le grandezze necessarie per una valutazione dei rischi con l'obiettivo di determinare, attraverso l’uso di una serie d’indici, la convenienza economica di un investimento in sicurezza.
analisi di uno scenario
Corso di Sicurezza e Privacy - 15 luglio A security scenario
Corso di Sicurezza e Privacy - 15 luglio Defence trees Defence trees are an extension of attack trees [Schneier00]. Attack tree : the root is an asset of an IT system paths from a leaf to the root represent attacks to the asset the non-leaf nodes can be: and-nodes or-nodes Defence tree : attack tree a set of countermeasures root and -nodes or -nodes
Corso di Sicurezza e Privacy - 15 luglio Defence trees (example) Steal data stored in a server Stealing access a1a1 Corrupting a user $ $ $ a2a2 Obtain root privileges
Corso di Sicurezza e Privacy - 15 luglio Defence trees (example) Steal data stored in a server Exploit an on-line vulnerability a3a3 Exploit a web server vulnerability a4a4 Attack the system with a remote login a1a1 a2a2
Corso di Sicurezza e Privacy - 15 luglio Defence trees (example) Steal data stored in a server a5a5 a6a6 Go out unobserved Access to the server’s room a1a1 a2a2 a3a3 a4a4 Steal the server
Corso di Sicurezza e Privacy - 15 luglio Defence trees (example) Steal data stored in a server a1a1 a2a2 a3a3 a4a4 a5a5 a6a6
Corso di Sicurezza e Privacy - 15 luglio c11 c10 c13 c12 c7 c6 c9 c8 c2 c3 c1 c4 c5 c3 Defence trees (example) a1a1 a2a2 a3a3 a4a4 a5a5 a6a6 Steal data stored in a server
metodi di scelta
Corso di Sicurezza e Privacy - 15 luglio I prefer red wine to white wine if a meat dish is served. 20 Cp-nets Conditional preference networks [Boutiliet99] are a graphical formalism to specify and representing conditional preference relations. D W D is a parent of W: Pa(W)=D Two variables: the dish D, the wine W. preference condition
Corso di Sicurezza e Privacy - 15 luglio Cp-nets (example) I prefer red wine to white wine if a meat dish is served. D f W r D f W w D m W w D m W r Less preferred Most preferred D m  D f DmDm W r ÂW w DfDf WwÂWrWwÂWr
Corso di Sicurezza e Privacy - 15 luglio Cp-nets can be used to model conditional preferences over attacks and countermeasures Cp-nets on defence trees A C a1a1 c1Â c2Â c3c1Â c2Â c3 a2a2 c5Â c3Â c4c5Â c3Â c4 a3a3 c6Â c7c6Â c7 a4a4 c8Â c9c8Â c9 a5a5 c 11 Â c 10 a6a6 c 13 Â c 12 a4Âa3Âa5Âa6Âa1Âa2a4Âa3Âa5Âa6Âa1Âa2 less dangerous… Exploit a web server vulnerability Exploit an on-line vulnerability a4a4 a3a3 … … more dangerous
Corso di Sicurezza e Privacy - 15 luglio Cp-nets can be used to model conditional preferences over attacks and countermeasures Cp-nets on defence trees less expensive… Obtain root privileges stealing access a1a1 : Change the password periodically c1c1 c2c2 Log out the pc after the use c3c3 Add an identification token A C a1a1 c1Â c2Â c3c1Â c2Â c3 a2a2 c5Â c3Â c4c5Â c3Â c4 a3a3 c6Â c7c6Â c7 a4a4 c8Â c9c8Â c9 a5a5 c 11 Â c 10 a6a6 c 13 Â c 12 a4Âa3Âa5Âa6Âa1Âa2a4Âa3Âa5Âa6Âa1Âa2 …more expensive
Corso di Sicurezza e Privacy - 15 luglio ? c11 c10 c13 c12 ? c7 c6 c9 c8 ? Æ Ç Cp-nets can be used to model conditional preferences over attacks and countermeasures Cp-nets on defence trees c2 c3 c1 c4 c5 c3 A C a1a1 c1Â c2Â c3c1Â c2Â c3 a2a2 c5Â c3Â c4c5Â c3Â c4 a3a3 c6Â c7c6Â c7 a4a4 c8Â c9c8Â c9 a5a5 c 11 Â c 10 a6a6 c 13 Â c 12 a4Âa3Âa5Âa6Âa1Âa2a4Âa3Âa5Âa6Âa1Âa2 Ç a5a6 a3a4 a1a2
Corso di Sicurezza e Privacy - 15 luglio An and -attack is an attack composed by a set of actions that an attacker has to successfully achieve to obtain his goal. and-composition ? How to combine the preferences for the countermeasure associated to each attack action?
Corso di Sicurezza e Privacy - 15 luglio and-composition (example) ab x Æ y Æ z xa  b  c yb  c za  b c a b c x c b y a b z A countermeasure is preferred to another one if it is preferred in, at least, one of the partial orders. A = {x,y,z} C = {a,b,c} : a  b  c and-composition
Corso di Sicurezza e Privacy - 15 luglio and-composition (example 2) ab x Æ y xa  b yc  d c a b x d c y We have also to consider the preferences over the value of the parent variable A = {x,y} C = {a,b,c,d} d x  y : c  d  a  b and-composition
Corso di Sicurezza e Privacy - 15 luglio and-composition: cycle xa  b  c yb  c za  b If we have any cycle we can: consider the preference between the parents of the variable to delete some edge use some algorithms as the Floyd's algorithm for remove cycles A = {x,y,z} C = {a,b,c} a b c c a a b aaa b c b c b c x y y>x>zx>z>yz
Corso di Sicurezza e Privacy - 15 luglio or-composition ? An or -attack is an attack that can be performed with different and alternative actions: the attacker can complete successfully any of its actions to obtain his goal How to combine the preferences associated to each action that compose the attack and determine sets of countermeasures?
Corso di Sicurezza e Privacy - 15 luglio or-composition (example) x Ç y Ç z a b c x c a y a b z a,b,c b,c a a,b a,c xa  b  c yc  a za  b A = {x,y,z} C = {a,b,c} b a ca b [b,c] [a,b] [a] [a,b] [a,c] [b,c] [a,b,c] or-composition
Corso di Sicurezza e Privacy - 15 luglio or-composition: example c 1 Æ c 5 c 3 Æ c 4 c 1 Æ c 3 c 1 Æ c 4 c 2 Æ c 5 c 2 Æ c 3 c 2 Æ c 4 c 3 Æ c 5 c3c3 c2c3 c1 c4c5 c3 a1a2 a 1 Ç a 2
Corso di Sicurezza e Privacy - 15 luglio Approcci 32 Approcci qualitativi Analisi degli scenari che possono realizzarsi all’interno di un sistema. Lo scopo è quello di individuare le possibili minacce e il livello di rischio associato ad ogni risorsa che compone il sistema. Approcci quantitativi Quantificazione di tutte le grandezze necessarie per una valutazione dei rischi con l'obiettivo di determinare, attraverso l’uso di una serie d’indici, la convenienza economica di un investimento in sicurezza.
indici
Corso di Sicurezza e Privacy - 15 luglio Indici: SLE 34 The Single Loss Exposure (SLE) represents a measure of an enterprise's loss from a single threat event and can be computed by using the following formula: where: the Asset Value (AV) is the cost of creation, development, support, replacement and ownership values of an asset, the Exposure Factor (EF) represents a measure of the magnitude of loss or impact on the value of an asset arising from a threat event.
Corso di Sicurezza e Privacy - 15 luglio Indici: ALE 35 The Annualized Loss Expectancy (ALE) is the annually expected financial loss of an enterprise that can be ascribed to a threat and can be computed by using the following formula: where: the Annualized Rate of Occurrence, (ARO) is a number that represents the estimated number of annual occurrences of a threat.
Corso di Sicurezza e Privacy - 15 luglio Indici: ROI 36 The Return on Investment (ROI) indicator can be computed by using the following formula: where: RM is the risk mitigated by a countermeasure and represents the effectiveness of a countermeasure in mitigating the risk of loss deriving from exploiting a vulnerability CSI is the cost of security investment that an enterprise must face for implementing a given countermeasure.
Corso di Sicurezza e Privacy - 15 luglio where: GI is the expected gain from the successful attack on the specified target cost a is the cost sustained by the attacker to succeed, cost ac is the additional cost brought by the countermeasure c adopted by the defender to mitigate the attack a. The Return On Attack (ROA) measures the gain that an attacker expects from a successful attack over the losses that he sustains due to the adoption of security measures by his target Indici: ROA
scenari + indici
Corso di Sicurezza e Privacy - 15 luglio Etichettatura per ROI 39 SLE b ARO b RM 3 Cost 3 EF b ARO b RM 4 Cost 4 RM 5 Cost 5 RM 1 Cost 1 RM 2 Cost 2 EF d ARO d AV EF e ARO e SLE e ALE e SLE d ALE d ABCDE
Corso di Sicurezza e Privacy - 15 luglio Etichettatura per ROA Corso di Sicurezza e Privacy - 15 luglio ABCDE cost b GI cost c RM 3 cost c,3 RM 4 cost c,4 RM 5 cost c,5 RM 1 cost b,1 RM 2 cost b,2
Corso di Sicurezza e Privacy - 15 luglio Etichettatura 41 Obtain root privileges Stealing access Corrupting a user Change the password periodically Log out the pc after the use Add an identification token Distribute responsab. among users Motivate employees Steal data stored in a server Attack the system with a remote login Exploit an on-line vulnerability Exploit a web server vulnerability Update the system periodically Separate the contents on the server Use an antivirus software Stop suspicious attachment Steal the server Access to the server’s room Go out unobserved Install a security door Install a safety lock Install a video surveillance equipment Employ a security guard
Corso di Sicurezza e Privacy - 15 luglio Etichettatura ROI 42 Obtain root privileges Stealing access Corrupting a user Change the password periodically Log out the pc after the use Add an identification token Distribute responsab. among users Motivate employees Steal data stored in a server Attack the system with a remote login Exploit an on-line vulnerability Exploit a web server vulnerability Update the system periodically Separate the contents on the server Use an antivirus software Stop suspicious attachment Steal the server Access to the server’s room Go out unobserved Install a security door Install a safety lock Install a video survellaince equipment Employ a security guard AV= € EF=100% ARO=0,09 SLE= € EF=100% ARO=0,09 SLE= € RM=60% CSI=500€ RM=10% CSI=100€ RM=80% CSI=3000€ RM=80% CSI=3000€ RM=50% CSI=15000€ RM=80% CSI=2000€ ROI=9.8 ROI=8 ROI=1.4 ROI=-0.7 ROI=2.6
Corso di Sicurezza e Privacy - 15 luglio Etichettatura ROA 43 Obtain root privileges Stealing access Corrupting a user Change the password periodically Log out the pc after the use Add an identification token Distribute responsab. among users Motivate employees Steal data stored in a server Attack the system with a remote login Exploit an on-line vulnerability Exploit a web server vulnerability Update the system periodically Separate the contents on the server Use an antivirus software Stop suspicious attachment Steal the server Access to the server’s room Go out unobserved Install a security door Install a safety lock Install a video survellaince equipment Employ a security guard GI= € RM=60% cost=1000€ RM=10% cost=500€ RM=80% cost=1.500€ RM=80% cost=1.500€ RM=50% cost=700€ RM=80% cost=2000€ Cost a =3000 €Cost b =10000 € ROA=2 ROA=6.71 ROA=0.33 ROA=-0.48 ROA=0.40 ROA=0.50
varianti
Corso di Sicurezza e Privacy - 15 luglio Three novel indicators Critical time Retaliation Collusion
Corso di Sicurezza e Privacy - 15 luglio Critical time
Corso di Sicurezza e Privacy - 15 luglio Exposure Factor during Critical Time expresses the influence that the criticality of a specific time instance plays on the EF. Critical time
Corso di Sicurezza e Privacy - 15 luglio Annualized Rate of Occurrence, AROCT, is the rate of occurrence of an attack at a specific CTF per year. Single Loss Exposure, SLECT, is the cost of a single attack at a specific CTF: Annualized Loss Expectancy, ALECT, is the cost per year of an attack at a specific CTF: Return On Investment, ROICT, is the economic return of an enterprise's investment against an attack mounted at a specific CTF: Critical time: the indicators
Corso di Sicurezza e Privacy - 15 luglio Retaliation
Corso di Sicurezza e Privacy - 15 luglio Exposure Factor under Retaliation expresses the influence that the chance of retaliating an attack to an asset plays on the EF. Retaliation
Corso di Sicurezza e Privacy - 15 luglio Annualized Rate of Occurrence, AROR, is the rate of occurrence per year of an attack that can be retaliated. Single Loss Exposure, SLER, is the cost of a single attack that can retaliated: Annualized Loss Expectancy, ALER, is the cost per year of an attack that can be retaliated: Return On Investment, ROIR, is the economic return of an enterprise's investment against an attack that can be retaliated: Retaliation: the indicators
Corso di Sicurezza e Privacy - 15 luglio Collusion
Corso di Sicurezza e Privacy - 15 luglio Mitigated Risk against Collusion expresses the influence that collusion of attackers plays on the MR (mitigated risk) as follows: Collusion
Corso di Sicurezza e Privacy - 15 luglio The Return On Investment against Collusion is the economic return of an enterprise's investment against an attack mounted by one or more colluding attackers: Collusion: the indicators
fine