Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoRosa Bernasconi Modificato 9 anni fa
1
Corso di Sicurezza e Privacy - 15 luglio 2015 1 Dipartimento di Scienze - 15 luglio 2015 Pamela Peretti Corso di Sicurezza e Privacy mercoledì 7 novembre 2007 Security Risk Analysis PhD student in Computer Science Dipartimento di Scienze Università degli Studi “G. d’Annunzio” Pescara
2
Corso di Sicurezza e Privacy - 15 luglio 2015 22 Il processo di risk management è l'insieme di attività coordinate per gestire un'organizzazione con riferimento ai rischi. Tipicamente include l'identificazione, la misurazione e la mitigazione delle varie esposizioni al rischio. Risk Management Process
3
Corso di Sicurezza e Privacy - 15 luglio 2015 33 Risk Management Process Il rischio è l'incertezza che eventi inaspettati possano manifestarsi producendo effetti negativi per l'organizzazione.
4
Corso di Sicurezza e Privacy - 15 luglio 2015 44 Risk Management Process Il rischio di Information Technology: il pericolo di interruzione di servizio, diffusione di informazioni riservate o di perdita di dati rilevanti archiviati tramite mezzi computerizzati. Information Security Risk Management
5
Corso di Sicurezza e Privacy - 15 luglio 2015 55 1. Risk Assessment Il processo di risk assessment è usato per determinare l'ampiezza delle potenziali minacce ad un sistema IT ed identificare tutte le possibili contromisure per ridurre o eliminare tali voci di rischio. Vengono identificati: asset minacce vulnerabilità contromisure Vengono determinati: impatto prodotto dalle minacce, fattibilità delle minacce, complessivo livello di rischio.
6
Corso di Sicurezza e Privacy - 15 luglio 2015 66 2. Risk Mitigation Nel processo di risk mitigation vengono analizzati le contromisure raccomandati dal team di assessment, e vengono selezionati e implementate le contromisure che presentano il miglior rapporto costi/benefici.
7
Corso di Sicurezza e Privacy - 15 luglio 2015 77 3. Monitoring All'interno di grandi imprese i sistemi IT subiscono frequenti modifiche dovuti ad aggiornamenti, cambiamento dei componenti, modifica dei software, cambio del personale, ecc. Mutano le condizioni del sistema, modificando anche gli effetti delle contromisure adottate.
8
approcci
9
Corso di Sicurezza e Privacy - 15 luglio 2015 99 Approcci Approcci qualitativi Analisi degli scenari che possono realizzarsi all’interno di un sistema. Lo scopo è quello di individuare le possibili minacce e il livello di rischio associato ad ogni risorsa che compone il sistema. Attack tree Indici economici Approcci quantitativi Quantificazione di tutte le grandezze necessarie per una valutazione dei rischi con l'obiettivo di determinare, attraverso l’uso di una serie d’indici, la convenienza economica di un investimento in sicurezza.
10
Corso di Sicurezza e Privacy - 15 luglio 2015 10 Approcci Approcci qualitativi Analisi degli scenari che possono realizzarsi all’interno di un sistema. Lo scopo è quello di individuare le possibili minacce e il livello di rischio associato ad ogni risorsa che compone il sistema. Approcci quantitativi Quantificazione di tutte le grandezze necessarie per una valutazione dei rischi con l'obiettivo di determinare, attraverso l’uso di una serie d’indici, la convenienza economica di un investimento in sicurezza.
11
analisi di uno scenario
12
Corso di Sicurezza e Privacy - 15 luglio 2015 12 A security scenario
13
Corso di Sicurezza e Privacy - 15 luglio 2015 13 Defence trees Defence trees are an extension of attack trees [Schneier00]. Attack tree : the root is an asset of an IT system paths from a leaf to the root represent attacks to the asset the non-leaf nodes can be: and-nodes or-nodes Defence tree : attack tree a set of countermeasures root and -nodes or -nodes
14
Corso di Sicurezza e Privacy - 15 luglio 2015 14 Defence trees (example) Steal data stored in a server Stealing access a1a1 Corrupting a user $ $ $ a2a2 Obtain root privileges
15
Corso di Sicurezza e Privacy - 15 luglio 2015 15 Defence trees (example) Steal data stored in a server Exploit an on-line vulnerability a3a3 Exploit a web server vulnerability a4a4 Attack the system with a remote login a1a1 a2a2
16
Corso di Sicurezza e Privacy - 15 luglio 2015 16 Defence trees (example) Steal data stored in a server a5a5 a6a6 Go out unobserved Access to the server’s room a1a1 a2a2 a3a3 a4a4 Steal the server
17
Corso di Sicurezza e Privacy - 15 luglio 2015 17 Defence trees (example) Steal data stored in a server a1a1 a2a2 a3a3 a4a4 a5a5 a6a6
18
Corso di Sicurezza e Privacy - 15 luglio 2015 18 c11 c10 c13 c12 c7 c6 c9 c8 c2 c3 c1 c4 c5 c3 Defence trees (example) a1a1 a2a2 a3a3 a4a4 a5a5 a6a6 Steal data stored in a server
19
metodi di scelta
20
Corso di Sicurezza e Privacy - 15 luglio 2015 20 I prefer red wine to white wine if a meat dish is served. 20 Cp-nets Conditional preference networks [Boutiliet99] are a graphical formalism to specify and representing conditional preference relations. D W D is a parent of W: Pa(W)=D Two variables: the dish D, the wine W. preference condition
21
Corso di Sicurezza e Privacy - 15 luglio 2015 21 Cp-nets (example) I prefer red wine to white wine if a meat dish is served. D f W r D f W w D m W w D m W r Less preferred Most preferred D m  D f DmDm W r ÂW w DfDf WwÂWrWwÂWr
22
Corso di Sicurezza e Privacy - 15 luglio 2015 22 Cp-nets can be used to model conditional preferences over attacks and countermeasures Cp-nets on defence trees A C a1a1 c1Â c2Â c3c1Â c2Â c3 a2a2 c5Â c3Â c4c5Â c3Â c4 a3a3 c6Â c7c6Â c7 a4a4 c8Â c9c8Â c9 a5a5 c 11 Â c 10 a6a6 c 13 Â c 12 a4Âa3Âa5Âa6Âa1Âa2a4Âa3Âa5Âa6Âa1Âa2 less dangerous… Exploit a web server vulnerability Exploit an on-line vulnerability a4a4 a3a3 … … more dangerous
23
Corso di Sicurezza e Privacy - 15 luglio 2015 23 Cp-nets can be used to model conditional preferences over attacks and countermeasures Cp-nets on defence trees less expensive… Obtain root privileges stealing access a1a1 : Change the password periodically c1c1 c2c2 Log out the pc after the use c3c3 Add an identification token A C a1a1 c1Â c2Â c3c1Â c2Â c3 a2a2 c5Â c3Â c4c5Â c3Â c4 a3a3 c6Â c7c6Â c7 a4a4 c8Â c9c8Â c9 a5a5 c 11 Â c 10 a6a6 c 13 Â c 12 a4Âa3Âa5Âa6Âa1Âa2a4Âa3Âa5Âa6Âa1Âa2 …more expensive
24
Corso di Sicurezza e Privacy - 15 luglio 2015 24 ? c11 c10 c13 c12 ? c7 c6 c9 c8 ? Æ Ç Cp-nets can be used to model conditional preferences over attacks and countermeasures Cp-nets on defence trees c2 c3 c1 c4 c5 c3 A C a1a1 c1Â c2Â c3c1Â c2Â c3 a2a2 c5Â c3Â c4c5Â c3Â c4 a3a3 c6Â c7c6Â c7 a4a4 c8Â c9c8Â c9 a5a5 c 11 Â c 10 a6a6 c 13 Â c 12 a4Âa3Âa5Âa6Âa1Âa2a4Âa3Âa5Âa6Âa1Âa2 Ç a5a6 a3a4 a1a2
25
Corso di Sicurezza e Privacy - 15 luglio 2015 25 An and -attack is an attack composed by a set of actions that an attacker has to successfully achieve to obtain his goal. and-composition ? How to combine the preferences for the countermeasure associated to each attack action?
26
Corso di Sicurezza e Privacy - 15 luglio 2015 26 and-composition (example) ab x Æ y Æ z xa  b  c yb  c za  b c a b c x c b y a b z A countermeasure is preferred to another one if it is preferred in, at least, one of the partial orders. A = {x,y,z} C = {a,b,c} : a  b  c and-composition
27
Corso di Sicurezza e Privacy - 15 luglio 2015 27 and-composition (example 2) ab x Æ y xa  b yc  d c a b x d c y We have also to consider the preferences over the value of the parent variable A = {x,y} C = {a,b,c,d} d x  y : c  d  a  b and-composition
28
Corso di Sicurezza e Privacy - 15 luglio 2015 28 and-composition: cycle xa  b  c yb  c za  b If we have any cycle we can: consider the preference between the parents of the variable to delete some edge use some algorithms as the Floyd's algorithm for remove cycles A = {x,y,z} C = {a,b,c} a b c c a a b aaa b c b c b c x y y>x>zx>z>yz
29
Corso di Sicurezza e Privacy - 15 luglio 2015 29 or-composition ? An or -attack is an attack that can be performed with different and alternative actions: the attacker can complete successfully any of its actions to obtain his goal How to combine the preferences associated to each action that compose the attack and determine sets of countermeasures?
30
Corso di Sicurezza e Privacy - 15 luglio 2015 30 or-composition (example) x Ç y Ç z a b c x c a y a b z a,b,c b,c a a,b a,c xa  b  c yc  a za  b A = {x,y,z} C = {a,b,c} b a ca b [b,c] [a,b] [a] [a,b] [a,c] [b,c] [a,b,c] or-composition
31
Corso di Sicurezza e Privacy - 15 luglio 2015 31 or-composition: example c 1 Æ c 5 c 3 Æ c 4 c 1 Æ c 3 c 1 Æ c 4 c 2 Æ c 5 c 2 Æ c 3 c 2 Æ c 4 c 3 Æ c 5 c3c3 c2c3 c1 c4c5 c3 a1a2 a 1 Ç a 2
32
Corso di Sicurezza e Privacy - 15 luglio 2015 32 Approcci 32 Approcci qualitativi Analisi degli scenari che possono realizzarsi all’interno di un sistema. Lo scopo è quello di individuare le possibili minacce e il livello di rischio associato ad ogni risorsa che compone il sistema. Approcci quantitativi Quantificazione di tutte le grandezze necessarie per una valutazione dei rischi con l'obiettivo di determinare, attraverso l’uso di una serie d’indici, la convenienza economica di un investimento in sicurezza.
33
indici
34
Corso di Sicurezza e Privacy - 15 luglio 2015 34 Indici: SLE 34 The Single Loss Exposure (SLE) represents a measure of an enterprise's loss from a single threat event and can be computed by using the following formula: where: the Asset Value (AV) is the cost of creation, development, support, replacement and ownership values of an asset, the Exposure Factor (EF) represents a measure of the magnitude of loss or impact on the value of an asset arising from a threat event.
35
Corso di Sicurezza e Privacy - 15 luglio 2015 35 Indici: ALE 35 The Annualized Loss Expectancy (ALE) is the annually expected financial loss of an enterprise that can be ascribed to a threat and can be computed by using the following formula: where: the Annualized Rate of Occurrence, (ARO) is a number that represents the estimated number of annual occurrences of a threat.
36
Corso di Sicurezza e Privacy - 15 luglio 2015 36 Indici: ROI 36 The Return on Investment (ROI) indicator can be computed by using the following formula: where: RM is the risk mitigated by a countermeasure and represents the effectiveness of a countermeasure in mitigating the risk of loss deriving from exploiting a vulnerability CSI is the cost of security investment that an enterprise must face for implementing a given countermeasure.
37
Corso di Sicurezza e Privacy - 15 luglio 2015 37 where: GI is the expected gain from the successful attack on the specified target cost a is the cost sustained by the attacker to succeed, cost ac is the additional cost brought by the countermeasure c adopted by the defender to mitigate the attack a. The Return On Attack (ROA) measures the gain that an attacker expects from a successful attack over the losses that he sustains due to the adoption of security measures by his target Indici: ROA
38
scenari + indici
39
Corso di Sicurezza e Privacy - 15 luglio 2015 39 Etichettatura per ROI 39 SLE b ARO b RM 3 Cost 3 EF b ARO b RM 4 Cost 4 RM 5 Cost 5 RM 1 Cost 1 RM 2 Cost 2 EF d ARO d AV EF e ARO e SLE e ALE e SLE d ALE d ABCDE 1 2 4 5 3
40
Corso di Sicurezza e Privacy - 15 luglio 2015 40 Etichettatura per ROA Corso di Sicurezza e Privacy - 15 luglio 2015 40 ABCDE 1 2 4 5 3 cost b GI cost c RM 3 cost c,3 RM 4 cost c,4 RM 5 cost c,5 RM 1 cost b,1 RM 2 cost b,2
41
Corso di Sicurezza e Privacy - 15 luglio 2015 41 Etichettatura 41 Obtain root privileges Stealing access Corrupting a user Change the password periodically Log out the pc after the use Add an identification token Distribute responsab. among users Motivate employees Steal data stored in a server Attack the system with a remote login Exploit an on-line vulnerability Exploit a web server vulnerability Update the system periodically Separate the contents on the server Use an antivirus software Stop suspicious attachment Steal the server Access to the server’s room Go out unobserved Install a security door Install a safety lock Install a video surveillance equipment Employ a security guard
42
Corso di Sicurezza e Privacy - 15 luglio 2015 42 Etichettatura ROI 42 Obtain root privileges Stealing access Corrupting a user Change the password periodically Log out the pc after the use Add an identification token Distribute responsab. among users Motivate employees Steal data stored in a server Attack the system with a remote login Exploit an on-line vulnerability Exploit a web server vulnerability Update the system periodically Separate the contents on the server Use an antivirus software Stop suspicious attachment Steal the server Access to the server’s room Go out unobserved Install a security door Install a safety lock Install a video survellaince equipment Employ a security guard AV=100.000 € EF=100% ARO=0,09 SLE=90.000 € EF=100% ARO=0,09 SLE=90.000 € RM=60% CSI=500€ RM=10% CSI=100€ RM=80% CSI=3000€ RM=80% CSI=3000€ RM=50% CSI=15000€ RM=80% CSI=2000€ ROI=9.8 ROI=8 ROI=1.4 ROI=-0.7 ROI=2.6
43
Corso di Sicurezza e Privacy - 15 luglio 2015 43 Etichettatura ROA 43 Obtain root privileges Stealing access Corrupting a user Change the password periodically Log out the pc after the use Add an identification token Distribute responsab. among users Motivate employees Steal data stored in a server Attack the system with a remote login Exploit an on-line vulnerability Exploit a web server vulnerability Update the system periodically Separate the contents on the server Use an antivirus software Stop suspicious attachment Steal the server Access to the server’s room Go out unobserved Install a security door Install a safety lock Install a video survellaince equipment Employ a security guard GI=30.000 € RM=60% cost=1000€ RM=10% cost=500€ RM=80% cost=1.500€ RM=80% cost=1.500€ RM=50% cost=700€ RM=80% cost=2000€ Cost a =3000 €Cost b =10000 € ROA=2 ROA=6.71 ROA=0.33 ROA=-0.48 ROA=0.40 ROA=0.50
44
varianti
45
Corso di Sicurezza e Privacy - 15 luglio 2015 45 Three novel indicators Critical time Retaliation Collusion
46
Corso di Sicurezza e Privacy - 15 luglio 2015 46 Critical time
47
Corso di Sicurezza e Privacy - 15 luglio 2015 47 Exposure Factor during Critical Time expresses the influence that the criticality of a specific time instance plays on the EF. Critical time
48
Corso di Sicurezza e Privacy - 15 luglio 2015 48 Annualized Rate of Occurrence, AROCT, is the rate of occurrence of an attack at a specific CTF per year. Single Loss Exposure, SLECT, is the cost of a single attack at a specific CTF: Annualized Loss Expectancy, ALECT, is the cost per year of an attack at a specific CTF: Return On Investment, ROICT, is the economic return of an enterprise's investment against an attack mounted at a specific CTF: Critical time: the indicators
49
Corso di Sicurezza e Privacy - 15 luglio 2015 49 Retaliation
50
Corso di Sicurezza e Privacy - 15 luglio 2015 50 Exposure Factor under Retaliation expresses the influence that the chance of retaliating an attack to an asset plays on the EF. Retaliation
51
Corso di Sicurezza e Privacy - 15 luglio 2015 51 Annualized Rate of Occurrence, AROR, is the rate of occurrence per year of an attack that can be retaliated. Single Loss Exposure, SLER, is the cost of a single attack that can retaliated: Annualized Loss Expectancy, ALER, is the cost per year of an attack that can be retaliated: Return On Investment, ROIR, is the economic return of an enterprise's investment against an attack that can be retaliated: Retaliation: the indicators
52
Corso di Sicurezza e Privacy - 15 luglio 2015 52 Collusion
53
Corso di Sicurezza e Privacy - 15 luglio 2015 53 Mitigated Risk against Collusion expresses the influence that collusion of attackers plays on the MR (mitigated risk) as follows: Collusion
54
Corso di Sicurezza e Privacy - 15 luglio 2015 54 The Return On Investment against Collusion is the economic return of an enterprise's investment against an attack mounted by one or more colluding attackers: Collusion: the indicators
55
fine
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.