La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello Realizzato da: Giuseppina.

PubblicatoParide Paolini Modificato 9 anni fa

Presentazioni simili

Presentazione sul tema: "UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello Realizzato da: Giuseppina."— Transcript della presentazione:

1 UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello Realizzato da: Giuseppina Maccarrone Relatore: Ch.mo Prof. Giampaolo Bella Analisi dei rischi di sicurezza con “fattore di collusione”

2 Negli ultimi decenni si è assistito ad un rapido progresso tecnologico, da cui emerge che le informazioni rivestono un ruolo cruciale per il successo dell'impresa, e di conseguenza bisogna porre la tutela della sicurezza del sistema informativo tra le priorità aziendali. Information Security Risk Management Lo scopo di questa tesi è di studiare le varie tecniche di analisi dei rischi, in particolare esaminare il processo di Information Security Risk Management, analizzando le varie metodologie esistenti ed introducendo dei nuovi indicatori per arricchire l’analisi. Introduzione

3 Information Security Risk Management Risk Assessment Risk Mitigation Evaluation and Assessment Risk Assessment:  Risk Assessment: identificazione di risorse, minacce, vulnerabilità e controlli;  Risk Mitigation:  Risk Mitigation: valutazione ed implementazione controlli;  Evaluation and assessment :  Evaluation and assessment : verifiche periodiche di valutazione e gestione dei rischi.

4 Approcci per il processo di valutazione dei rischi QUALITATIVO IBRIDO QUANTITATIVO Qualitativo: Qualitativo: valutazioni soggettive tra il team tramite questionari, interviste, sondaggi; è di semplice utilizzo ma non fornisce risultati attendibili; Quantitativo: Quantitativo: misura delle grandezze necessarie per la valutazione dei rischi attraverso l’uso di indici; più complicato del primo ma più preciso; Ibrido: Ibrido: combinazione degli approcci precedenti.

5 Indicatori utilizzati nell’approccio quantitativo per l’analisi dei rischi Fattore di collusione (FC):  Fattore di collusione (FC): quantità di complici necessari per portare a termine con maggior probabilità di successo un attacco.  FC incrementa il rischio d’esposizione ad una particolare minaccia (dal punto di vista dell’impresa);  FC diminuisce la difficoltà dell’attacco e ne aumenta la fattibilità (dal punto di vista dell’attaccante). Fattore d’esposizione in funzione della collusione (EF FC ):  Fattore d’esposizione in funzione della collusione (EF FC ): impatto di un evento dannoso su una certa risorsa: EF FC = EF + FC – (EF * FC); EF: livello d’esposizione al rischio, senza considerare la collusione. Single Loss Exposure (SLE FC ):  Single Loss Exposure (SLE FC ): perdita associata al successo dell’evento dannoso.

6 Indicatori utilizzati nell’approccio quantitativo per l’analisi dei rischi  Annualized Rate of Occurrence(ARO):  Annualized Rate of Occurrence (ARO): frequenza, ovvero numero di volte che un particolare evento dannoso si verifica nell’arco di un anno.  Annualized Loss Expectancy (ALE):  Annualized Loss Expectancy (ALE): perdita annua attesa associata ad una specifica minaccia.  Percentuale di Successo della Contromisura (%SC):  Percentuale di Successo della Contromisura (%SC): successo di una contromisura nello scoraggiare un malintenzionato dal portare a termine l’attacco.  Percentuale di Successo dell’Attaccante (%SA):  Percentuale di Successo dell’Attaccante (%SA): successo o efficacia dell’attaccante nel violare la misura di sicurezza.

7 Indicatori utilizzati nell’approccio quantitativo per l’analisi dei rischi  Return On A Security Investment (ROSI):  Return On A Security Investment (ROSI): percentuale di guadagno risultante da un investimento in sicurezza, tenendo conto del successo della contromisura, del suo costo e della perdita annua causata dall’attacco. Percentuale di Rischio per l’Attaccante come conseguenza dell’attacco (%RA):  Percentuale di Rischio per l’Attaccante come conseguenza dell’attacco (%RA): percentuale di rischio per l’attaccante o gli attaccanti di essere scoperti e puniti in seguito all’attacco.  Return On Attack (ROA):  Return On Attack (ROA): guadagno percentuale atteso dall’attaccante, tenendo conto della sua efficacia nel violare la misura di sicurezza e dei costi dell’attacco.

8 Obiettivo Modalità 1 Modalità 2 Passo 1 Passo 2 Attack Trees Nodi OR Nodi AND Strumento qualitativo utilizzato per l’individuazione degli scenari d’attacco; Rappresentano: - i vari modi attraverso i quali un sistema può essere colpito (OR); - l’insieme di passi da seguire (AND); Mettono in evidenza le vulnerabilità del sistema in modo da poter individuare le contromisure necessarie.

9 Utilizzo degli indici quantitativi sugli attack trees difensore attaccante E’ possibile utilizzare gli attack trees come strumento quantitativo grazie all’aggiunta degli indici prima discussi. In tal modo è possibile valutare la visione da due punti di vista: quello del difensore, ovvero l’azienda e quello dell’attaccante. VS

10 Visione del difensore Determinare i diversi scenari d’attacco a cui è soggetto il sistema IT; Stabilire le contromisure più efficaci per fronteggiarli.

11 Visione dell’attaccante Stabilire quale attacco è più vantaggioso in termini di guadagno (e più probabilmente messo in atto), tenendo conto:  dell’efficacia dell’aggressore;  dei costi sostenuti per portare a termine l’attacco;  della collusione.

12 Applicazione dell’analisi dei rischi al caso di studio “Phishing a danni di una società bancaria” Def. Phishing: ottenere l'accesso ad informazioni personali e riservate mediante l'utilizzo di messaggi di posta elettronica fasulli. - Stima del fattore di collusione: FC= 55%; - Fattore d’esposizione: EF FC = EF + FC – (EF * FC)= 0,65 + 0,55 – (0,65 * 0,55)= 84% assumendo che EF sia pari a 65% in assenza di collusione; - ARO= 3 (l’azienda ha subito 3 attacchi di phishing nel 2005); - Capitale sociale della banca: AV= 202.292.987 €; - SLE= 202.292.987 * 0.84 = 169.926.109 €, ridimensioniamo la perdita supponendo che circa 1/10 dei clienti hanno ricevuto le email e hanno “abboccato” : SLE/10= 16.992.610 € ; - ALE= SLE * ARO = 16.992.610 * 3= 50.977.833 € ; - Guadagno per l’attaccante: circa 16.000.000 €, Costo medio attacco: 5.000 € - Costi postAttacco: 80.000 €, percentuale di rischio per gli attaccanti: 25%.

13 Possibili contromisure per fronteggiare il rischio di phishing: 1.Effettuare dei controlli approfonditi sui redirect dei siti web; 2.Avvisare tempestivamente tutti i clienti di diffidare di qualunque email chieda di inserire codici segreti o informazioni personali e diffondere una cultura di internet; 3.Aggiungere un ulteriore livello di autenticazione (con password differenziata) per l’esecuzione di operazioni dispositive tramite il servizio di home banking; 4.Inserire dei codici di validazione sulla banda magnetica delle carte per autorizzare le transazioni di denaro; ContromisuraROSIROA 123%77% 230%70% 341%59% 444%54%

14 Conclusioni Grazie a questa analisi dei rischi, è possibile dedurre: quali attacchi saranno più probabilmente portati a termine (quelli con il ROA più elevato); quali contromisure riescono meglio a mitigare i rischi e l’impatto degli attacchi stessi (quelle con il ROSI più alto). fattore di collusione Grazie all’aggiunta dell’originale “fattore di collusione” è stato possibile effettuare un’analisi dei rischi più precisa e il più vicino possibile alla realtà.

15 Fine Ringraziamenti: Prof. Giampaolo Bella La mia famiglia Tutti i miei cari presenti

Scaricare ppt "UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello Realizzato da: Giuseppina."

Presentazioni simili

Il gestore di posta elettronica per le aziende e per gli studi

Il gestore di posta elettronica per le aziende e per gli studi
Marika Arena - Economia e Organizzazione Aziendale B - A.A. 2008/2009

Marika Arena - Economia e Organizzazione Aziendale B - A.A. 2008/2009
Cos’è la posta elettronica

Cos’è la posta elettronica
Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.

Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.
“I nuovi servizi on-line SUAP-FE per le Imprese”

“I nuovi servizi on-line SUAP-FE per le Imprese”
Anthony Cecil Wright Roma, 20 Giugno 2006 Prima indagine sul Phishing in Italia.

Anthony Cecil Wright Roma, 20 Giugno 2006 Prima indagine sul Phishing in Italia.
Eventi, rischi e risarcimenti catastrofali

Eventi, rischi e risarcimenti catastrofali
INTERNET: RISCHI E PERICOLI

INTERNET: RISCHI E PERICOLI
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008

Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
Analisi e Contromisure di tecniche di Sql Injection

Analisi e Contromisure di tecniche di Sql Injection
UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA

UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA
Indicatori di produttività ed efficienza 1/a

Indicatori di produttività ed efficienza 1/a
Legislazione informatica - Presentazione del corso (I. Zangara)

Legislazione informatica - Presentazione del corso (I. Zangara)
Sistemi informativi e documentazione giuridica italiana Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di laurea in Informatica Anno Accademico.

Sistemi informativi e documentazione giuridica italiana Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di laurea in Informatica Anno Accademico.
Sicurezza II Prof. Dario Catalano Strong Password Protocols.

Sicurezza II Prof. Dario Catalano Strong Password Protocols.
Università degli studi di Firenze Facoltà di Psicologia A.A. 2006-2007 Insegnamento: Psicologia della Formazione docente: prof. Carlo Odoardi Laboratorio.

Università degli studi di Firenze Facoltà di Psicologia A.A Insegnamento: Psicologia della Formazione docente: prof. Carlo Odoardi Laboratorio.
Chiara Mocenni - Sistemi di Supporto alle Decisioni I – aa. 2007-2008 Sistemi di Supporto alle Decisioni I Lezione 2 Chiara Mocenni Corso di laurea L1.

Chiara Mocenni - Sistemi di Supporto alle Decisioni I – aa Sistemi di Supporto alle Decisioni I Lezione 2 Chiara Mocenni Corso di laurea L1.
Daniela Corsaro Università Cattolica del Sacro Cuore di Milano

Daniela Corsaro Università Cattolica del Sacro Cuore di Milano
Introduzione al corso di Economia ed Organizzazione aziendale

Introduzione al corso di Economia ed Organizzazione aziendale

Presentazioni simili

Annunci Google