security risk analysis
DESCRIPTION
PhD student in Computer Science Dipartimento di Scienze Università degli Studi “G. d’Annunzio” Pescara. Corso di Sicurezza e Privacy mercoledì 7 novembre 2007. Security Risk Analysis. Pamela Peretti. Dipartimento di Scienze - 16 luglio 2014. Risk Management Process. - PowerPoint PPT PresentationTRANSCRIPT
Corso di Sicurezza e Privacy - 25 aprile 2023 1Dipartimento di Scienze - 25 aprile 2023
Pamela Peretti
Corso di Sicurezza e Privacymercoledì 7 novembre 2007
Security Risk Analysis
PhD student in Computer ScienceDipartimento di Scienze
Università degli Studi “G. d’Annunzio”Pescara
Corso di Sicurezza e Privacy - 25 aprile 2023 22
Il processo di risk management è l'insieme di attività coordinate per gestire un'organizzazione con riferimento ai rischi.Tipicamente include l'identificazione, la misurazione e la mitigazione delle varie esposizioni al rischio.
Risk Management Process
Corso di Sicurezza e Privacy - 25 aprile 2023 33
Risk Management Process
Il rischio è l'incertezza che eventi inaspettati possano manifestarsi producendo effetti negativi per l'organizzazione.
Corso di Sicurezza e Privacy - 25 aprile 2023 44
Risk Management ProcessIl rischio di Information Technology: il pericolo di interruzione di servizio, diffusione di informazioni riservate o di perdita di dati rilevanti archiviati tramite mezzi computerizzati.
Information Security Risk Management
Corso di Sicurezza e Privacy - 25 aprile 2023 55
1. Risk AssessmentIl processo di risk assessment è usato per determinare l'ampiezza delle potenziali minacce ad un sistema IT ed identificare tutte le possibili contromisure per ridurre o eliminare tali voci di rischio.
Vengono identificati: asset minacce vulnerabilità contromisure
Vengono determinati: impatto prodotto dalle minacce, fattibilità delle minacce, complessivo livello di rischio.
Corso di Sicurezza e Privacy - 25 aprile 2023 66
2. Risk MitigationNel processo di risk mitigation vengono analizzati le contromisure raccomandati dal team di assessment, e vengono selezionati e implementate le contromisure che presentano il miglior rapporto costi/benefici.
Corso di Sicurezza e Privacy - 25 aprile 2023 77
3. MonitoringAll'interno di grandi imprese i sistemi IT subiscono frequenti modifiche dovuti ad aggiornamenti, cambiamento dei componenti, modifica dei software, cambio del personale, ecc.
Mutano le condizioni del sistema, modificando anche gli effetti delle contromisure adottate.
approcci
Corso di Sicurezza e Privacy - 25 aprile 2023 99
ApprocciApprocci qualitativi
Analisi degli scenari che possono realizzarsi all’interno di un sistema. Lo scopo è quello di individuare le possibili minacce e il livello di rischio associato ad ogni risorsa che compone il sistema.
Attack tree
Indici economici
Approcci quantitativi Quantificazione di tutte le grandezze necessarie per una
valutazione dei rischi con l'obiettivo di determinare, attraverso l’uso di una serie d’indici, la convenienza economica di un investimento in sicurezza.
Corso di Sicurezza e Privacy - 25 aprile 2023 1010
ApprocciApprocci qualitativi
Analisi degli scenari che possono realizzarsi all’interno di un sistema. Lo scopo è quello di individuare le possibili minacce e il livello di rischio associato ad ogni risorsa che compone il sistema.
Approcci quantitativi Quantificazione di tutte le grandezze necessarie per una
valutazione dei rischi con l'obiettivo di determinare, attraverso l’uso di una serie d’indici, la convenienza economica di un investimento in sicurezza.
analisi di uno scenario
Corso di Sicurezza e Privacy - 25 aprile 2023 1212
A security scenario
Corso di Sicurezza e Privacy - 25 aprile 2023 1313
Defence treesDefence trees are an extension of attack trees [Schneier00].
Attack tree: the root is an asset of an IT system paths from a leaf to the root represent attacks to the asset the non-leaf nodes can be:
and-nodes or-nodes
Defence tree: attack tree a set of countermeasures
root
and-nodes
or-nodes
Corso di Sicurezza e Privacy - 25 aprile 2023 1414
Defence trees (example)
Steal datastored in a server
Stealing access
a1
Corrupting a user
$$$a2
Obtain root privileges
Corso di Sicurezza e Privacy - 25 aprile 2023 1515
Defence trees (example)
Steal datastored in a server
Exploit an on-line vulnerability
a3
Exploit a web server vulnerability
a4
Attack the system with a remote login
a1 a2
Corso di Sicurezza e Privacy - 25 aprile 2023 1616
Defence trees (example)
Steal datastored in a server
a5 a6
Go outunobserved
Access to the server’s room
a1 a2 a3 a4
Steal theserver
Corso di Sicurezza e Privacy - 25 aprile 2023 1717
Defence trees (example)
Steal datastored in a server
a1 a2 a3 a4 a5 a6
Corso di Sicurezza e Privacy - 25 aprile 2023 1818
c11
c10
c13
c12
c7
c6
c9
c8
c2
c3
c1
c4
c5
c3
Defence trees (example)
a1 a2 a3 a4 a5 a6
Steal datastored in a server
metodi di scelta
Corso di Sicurezza e Privacy - 25 aprile 2023 20
I prefer red wine to white wine if a meat dish is served.
20
Cp-netsConditional preference networks [Boutiliet99] are a graphical formalism to specify and representing conditional preference relations.
D
W
D is a parent of W: Pa(W)=D
Two variables: the dish D, the wine W.
preference
condition
Corso di Sicurezza e Privacy - 25 aprile 2023 2121
Cp-nets (example)I prefer red wine to white wine
if a meat dish is served.
Df Wr
Df Ww
Dm Ww
Dm Wr
Less preferred
Most preferred
Dm  Df
Dm Wr ÂWw
Df WwÂWr
Corso di Sicurezza e Privacy - 25 aprile 2023 2222
Cp-nets can be used to model conditional preferences over attacks and countermeasures
Cp-nets on defence trees
A
C
a1 c1Â c2Â c3
a2 c5Â c3Â c4
a3 c6Â c7
a4 c8Â c9
a5 c11Â c10
a6 c13Â c12
a4Âa3Âa5Âa6Âa1Âa2
less dangerous…
Exploit a web server vulnerability
Exploit an on-line vulnerability
a4 a3
…… more dangerous
Corso di Sicurezza e Privacy - 25 aprile 2023 2323
Cp-nets can be used to model conditional preferences over attacks and countermeasures
Cp-nets on defence trees
less expensive…
Obtain root privileges stealing access
a1
:
Change the password periodically
c1 c2
Log out the pc after the use
c3
Add an identification token
A
C
a1 c1Â c2Â c3
a2 c5Â c3Â c4
a3 c6Â c7
a4 c8Â c9
a5 c11Â c10
a6 c13Â c12
a4Âa3Âa5Âa6Âa1Âa2
…more expensive
Corso di Sicurezza e Privacy - 25 aprile 2023 2424
?c11
c10
c13
c12?c7
c6
c9
c8?
ÆÇ
Cp-nets can be used to model conditional preferences over attacks and countermeasures
Cp-nets on defence trees
c2
c3
c1
c4
c5
c3
A
C
a1 c1Â c2Â c3
a2 c5Â c3Â c4
a3 c6Â c7
a4 c8Â c9
a5 c11Â c10
a6 c13Â c12
a4Âa3Âa5Âa6Âa1Âa2Ç
a5 a6a3 a4a1 a2
Corso di Sicurezza e Privacy - 25 aprile 2023 2525
An and-attack is an attack composed by a set of actions that an attacker has to successfully achieve to obtain his goal.
and-composition
?How to combine the preferences for the countermeasure associated to each attack action?
Corso di Sicurezza e Privacy - 25 aprile 2023 2626
and-composition (example)
a
b
x Æ y Æ z
x a  b  c
y b  c
z a  b c
a
b
c
x
c
b
y
a
b
z
A countermeasure is preferred to another one if it is preferred in, at least, one of the partial orders.
A = {x,y,z}C = {a,b,c}
: a  b  c
and-composition
Corso di Sicurezza e Privacy - 25 aprile 2023 2727
and-composition (example 2)
a
b
x Æ y
x a  b
y c  dc
a
b
x
d
c
y
We have also to consider the preferences over the value of the parent variable
A = {x,y}C = {a,b,c,d}
d
x  y
: c  d  a  b
and-composition
Corso di Sicurezza e Privacy - 25 aprile 2023 2929
or-composition
?
An or-attack is an attack that can be performed with different and alternative actions: the attacker can complete successfully any of its actions to obtain his goal
How to combine the preferences associated to each action that compose the attack and determine sets of countermeasures?
Corso di Sicurezza e Privacy - 25 aprile 2023 3030
or-composition (example)
x Ç y Ç z
a
b
c
x
c
a
y
a
b
z
a,b,c
b,c
a
a,b
a,c
x a  b  c
y c  a
z a  b
<b,a,a>
<b,c,b>
A = {x,y,z}C = {a,b,c}
b b a c a b
[b,c] [a,b]
<a,a,a> <a,a,b><a,c,a> <a,c,b><b,a,a> <b,a,b><b,c,a> <b,c,b><c,a,a> <c,a,b><c,c,a> <c,c,b>
[a][a,b] [a,c] [b,c][a,b,c]
or-composition
Corso di Sicurezza e Privacy - 25 aprile 2023 3131
or-composition: example
c1 Æ c5
c3 Æ c4c1 Æ c3
c1 Æ c4
c2 Æ c5
c2 Æ c3 c2 Æ c4
c3 Æ c5
c3
c2
c3
c1
c4
c5
c3
a1 a2
a1 Ç a2
Corso di Sicurezza e Privacy - 25 aprile 2023 32
Approcci
32
Approcci qualitativi Analisi degli scenari che possono realizzarsi all’interno di un
sistema. Lo scopo è quello di individuare le possibili minacce e il livello di rischio associato ad ogni risorsa che compone il sistema.
Approcci quantitativi Quantificazione di tutte le grandezze necessarie per una
valutazione dei rischi con l'obiettivo di determinare, attraverso l’uso di una serie d’indici, la convenienza economica di un investimento in sicurezza.
indici
Corso di Sicurezza e Privacy - 25 aprile 2023 34
Indici: SLE
34
The Single Loss Exposure (SLE) represents a measure of an enterprise's loss from a single threat event and can be computed by using the following formula:
where: the Asset Value (AV) is the cost of creation, development, support, replacement and ownership values of an asset, the Exposure Factor (EF) represents a measure of the magnitude of loss or impact on the value of an asset arising from a threat event.
Corso di Sicurezza e Privacy - 25 aprile 2023 35
Indici: ALE
35
The Annualized Loss Expectancy (ALE) is the annually expected financial loss of an enterprise that can be ascribed to a threat and can be computed by using the following formula:
where: the Annualized Rate of Occurrence, (ARO) is a number that represents the estimated number of annual occurrences of a threat.
Corso di Sicurezza e Privacy - 25 aprile 2023 36
Indici: ROI
36
The Return on Investment (ROI) indicator can be computed by using the following formula:
where: RM is the risk mitigated by a countermeasure and represents the effectiveness of a countermeasure in mitigating the risk of loss deriving from exploiting a vulnerability CSI is the cost of security investment that an enterprise must face for implementing a given countermeasure.
Corso di Sicurezza e Privacy - 25 aprile 2023 37
where: GI is the expected gain from the successful attack on the specified
target costa is the cost sustained by the attacker to succeed, costac is the additional cost brought by the countermeasure c
adopted by the defender to mitigate the attack a.
The Return On Attack (ROA) measures the gain that an attacker expects from a successful attack over the losses that he sustains due to the adoption of security measures by his target
Indici: ROA
scenari + indici
Corso di Sicurezza e Privacy - 25 aprile 2023 39
Etichettatura per ROI
39
SLEbAROb
RM3
Cost3
EFbAROb
RM4
Cost4RM5
Cost5
RM1
Cost1RM2
Cost2
EFdAROd
AV
EFeAROe
SLEeALEeSLEd
ALEd
A
B C
D E1
2
4
5
3
Corso di Sicurezza e Privacy - 25 aprile 2023 40
Etichettatura per ROA
Corso di Sicurezza e Privacy - 25 aprile 2023 40
A
B C
D E1
2
4
5
3
costb
GI
costc
RM3
costc,3RM4
costc,4RM5
costc,5
RM1
costb,1RM2
costb,2
Corso di Sicurezza e Privacy - 25 aprile 2023 41
Etichettatura
41
Obtain root privileges
Stealing access
Corrupting a user
Change the password
periodically
Log out the pc after the
use
Add an identification
token
Add an identification
token
Distribute responsab.
among users
Motivate employees
Steal datastored in a
server
Attack the system with a remote login
Exploit an on-line
vulnerability
Exploit a web server vulnerability
Update the system
periodically
Separate the contents on the server
Use an antivirus software
Stop suspicious attachment
Steal the server
Access to the server’s room
Go out unobserved
Install a security door
Install a safety lock
Install a video surveillance equipment
Employ a security guard
Corso di Sicurezza e Privacy - 25 aprile 2023 42
Etichettatura ROI
42
Obtain root privileges
Stealing access
Corrupting a user
Change the password
periodically
Log out the pc after the
use
Add an identification
token
Add an identification
token
Distribute responsab.
among users
Motivate employees
Steal datastored in a
server
Attack the system with a remote login
Exploit an on-line
vulnerability
Exploit a web server vulnerability
Update the system
periodically
Separate the contents on the server
Use an antivirus software
Stop suspicious attachment
Steal the server
Access to the server’s room
Go out unobserve
d
Install a security door
Install a safety lock
Install a video survellaince equipment
Employ a security guard
AV=100.000 €
EF=100%ARO=0,09
SLE=90.000 €EF=100%
ARO=0,09
SLE=90.000 €
RM=60%CSI=500€
RM=10%CSI=100€
RM=80%CSI=3000€
RM=80%CSI=3000€
RM=50%CSI=15000€
RM=80%CSI=2000€
ROI=9.8
ROI=8
ROI=1.4
ROI=1.4
ROI=-0.7
ROI=2.6
Corso di Sicurezza e Privacy - 25 aprile 2023 43
Etichettatura ROA
43
Obtain root privileges
Stealing access
Corrupting a user
Change the password
periodically
Log out the pc after the
use
Add an identification
token
Add an identification
token
Distribute responsab.
among users
Motivate employees
Steal datastored in a
server
Attack the system with a remote login
Exploit an on-line
vulnerability
Exploit a web server vulnerability
Update the system
periodically
Separate the contents on the server
Use an antivirus software
Stop suspicious attachment
Steal the server
Access to the server’s room
Go out unobserve
d
Install a security door
Install a safety lock
Install a video survellaince equipment
Employ a security guard
GI=30.000 €
RM=60%cost=1000€
RM=10%cost=500€
RM=80%cost=1.500€
RM=80%cost=1.500€
RM=50%cost=700€
RM=80%cost=2000€
Costa=3000 € Costb=10000 €
ROA=2
ROA=6.71
ROA=0.33
ROA=-0.48
ROA=0.40
ROA=0.50
varianti
Corso di Sicurezza e Privacy - 25 aprile 2023 45
Three novel indicators
Critical time
Retaliation
Collusion
Corso di Sicurezza e Privacy - 25 aprile 2023 46
Critical time
Corso di Sicurezza e Privacy - 25 aprile 2023 47
Exposure Factor during Critical Timeexpresses the influence that the criticality of a specific time instance plays on the EF .
Critical time
Corso di Sicurezza e Privacy - 25 aprile 2023 48
Annualized Rate of Occurrence, AROCT, is the rate of occurrence of an attack at a specific CTF per year. Single Loss Exposure, SLECT, is the cost of a single attack at a specific CTF:
Annualized Loss Expectancy, ALECT, is the cost per year of an attack at a specific CTF:
Return On Investment, ROICT, is the economic return of an enterprise's investment against an attack mounted at a specific CTF:
Critical time: the indicators
Corso di Sicurezza e Privacy - 25 aprile 2023 49
Retaliation
Corso di Sicurezza e Privacy - 25 aprile 2023 50
Exposure Factor under Retaliationexpresses the influence that the chance of retaliating an attack to an asset plays on the EF.
Retaliation
Corso di Sicurezza e Privacy - 25 aprile 2023 51
Annualized Rate of Occurrence, AROR, is the rate of occurrence per year of an attack that can be retaliated. Single Loss Exposure, SLER, is the cost of a single attack that can retaliated:
Annualized Loss Expectancy, ALER, is the cost per year of an attack that can be retaliated:
Return On Investment, ROIR, is the economic return of an enterprise's investment against an attack that can be retaliated:
Retaliation: the indicators
Corso di Sicurezza e Privacy - 25 aprile 2023 52
Collusion
Corso di Sicurezza e Privacy - 25 aprile 2023 53
Mitigated Risk against Collusionexpresses the influence that collusion of attackers plays on the MR (mitigated risk) as follows:
Collusion
Corso di Sicurezza e Privacy - 25 aprile 2023 54
The Return On Investment against Collusionis the economic return of an enterprise's investment against an attack mounted by one or more colluding attackers:
Collusion: the indicators
fine