1 / 15

UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali

UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello. Analisi dei rischi di sicurezza con “fattore di collusione”. Realizzato da: Giuseppina Maccarrone Relatore: Ch.mo Prof. Giampaolo Bella. Introduzione.

cynara
Télécharger la présentation

UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello Analisi dei rischi di sicurezzacon “fattore di collusione” Realizzato da: Giuseppina Maccarrone Relatore: Ch.mo Prof. Giampaolo Bella

  2. Introduzione Negli ultimi decenni si è assistito ad un rapido progresso tecnologico, da cui emerge che leinformazioni rivestono un ruolo cruciale per il successo dell'impresa, e di conseguenza bisogna porre la tutela della sicurezza del sistema informativo tra le priorità aziendali. Lo scopo di questa tesi è di studiare le varie tecniche di analisi dei rischi, in particolare esaminare il processo di Information Security Risk Management, analizzando le varie metodologie esistenti ed introducendo dei nuovi indicatori per arricchire l’analisi.

  3. Information Security Risk Management Evaluation and Assessment Risk Assessment Risk Mitigation • Risk Assessment:identificazione di risorse, minacce, vulnerabilità e controlli; • Risk Mitigation:valutazione ed implementazione controlli; • Evaluation and assessment: verificheperiodiche di valutazione e gestione dei rischi.

  4. Approcci per il processo di valutazione dei rischi QUALITATIVO QUANTITATIVO IBRIDO • Qualitativo: valutazioni soggettive tra il team tramite questionari, interviste, sondaggi; è di semplice utilizzo ma non fornisce risultati attendibili; • Quantitativo: misura delle grandezze necessarie per la valutazione dei rischi attraverso l’uso di indici; più complicato del primo ma più preciso; • Ibrido: combinazione degli approcci precedenti.

  5. Indicatori utilizzati nell’approccio quantitativo per l’analisi dei rischi • Fattore di collusione (FC): quantità di complici necessari per portare a termine con maggior probabilità di successo un attacco. • FC incrementa il rischio d’esposizione ad una particolare minaccia (dal punto di vista dell’impresa); • FC diminuisce la difficoltà dell’attacco e ne aumenta la fattibilità (dal punto di vista dell’attaccante). • Fattore d’esposizione in funzione della collusione (EFFC): impatto di un evento dannoso su una certa risorsa: EFFC= EF + FC – (EF * FC); • EF: livello d’esposizione al rischio, senza considerare la collusione. • Single Loss Exposure (SLEFC):perdita associata al successo dell’evento dannoso.

  6. Indicatori utilizzati nell’approccio quantitativo per l’analisi dei rischi • Annualized Rate of Occurrence(ARO): frequenza, ovvero numero di volte che un particolare evento dannoso si verifica nell’arco di un anno. • Annualized Loss Expectancy (ALE): perdita annua attesa associata ad una specifica minaccia. • Percentuale di Successo della Contromisura (%SC): successo di una contromisura nello scoraggiare un malintenzionato dal portare a termine l’attacco. • Percentuale di Successo dell’Attaccante (%SA):successo o efficacia dell’attaccante nel violare la misura di sicurezza.

  7. Indicatori utilizzati nell’approccio quantitativo per l’analisi dei rischi • Return On A Security Investment (ROSI):percentuale di guadagno risultante da un investimento in sicurezza, tenendo conto del successo della contromisura, del suo costo e della perdita annua causata dall’attacco. • Percentuale di Rischio per l’Attaccante come conseguenza dell’attacco (%RA):percentuale di rischio per l’attaccante o gli attaccanti di essere scoperti e puniti in seguito all’attacco. • Return On Attack (ROA):guadagno percentuale atteso dall’attaccante, tenendo conto della sua efficacia nel violare la misura di sicurezza e dei costi dell’attacco.

  8. Attack Trees • Strumento qualitativo • utilizzato per • l’individuazione degli • scenari d’attacco; • Rappresentano: • - i vari modi • attraverso i quali • un sistema può essere colpito (OR); • - l’insieme di passi da seguire (AND); • Mettono in evidenza le • vulnerabilità del sistema in • modo da poter individuare le • contromisure necessarie. Obiettivo Nodi OR Modalità 1 Modalità 2 Nodi AND Passo 1 Passo 2

  9. Utilizzo degli indici quantitativi sugli attack trees E’ possibile utilizzare gli attack trees come strumento quantitativo grazie all’aggiunta degli indici prima discussi. In tal modo è possibile valutare la visione da due punti di vista: quello del difensore, ovvero l’azienda e quello dell’attaccante. VS

  10. Visione del difensore • Determinare i diversi scenari d’attacco a cui è soggetto il sistema IT; • Stabilire le contromisure più efficaci per fronteggiarli.

  11. Visione dell’attaccante • Stabilire quale attacco è • più vantaggioso in • termini di guadagno (e più • probabilmente messo in atto), tenendo conto: • dell’efficacia dell’aggressore; • dei costi sostenuti per portare a termine l’attacco; • della collusione.

  12. Applicazione dell’analisi dei rischi al caso di studio “Phishing a danni di una società bancaria” Def. Phishing:ottenere l'accesso ad informazioni personali e riservate mediante l'utilizzo di messaggi di posta elettronica fasulli. - Stima del fattore di collusione: FC= 55%; - Fattore d’esposizione: EFFC= EF + FC – (EF * FC)= 0,65 + 0,55 – (0,65 * 0,55)= 84% assumendo che EF sia pari a 65% in assenza di collusione; - ARO= 3 (l’azienda ha subito 3 attacchi di phishing nel 2005); - Capitale sociale della banca: AV= 202.292.987 €; - SLE= 202.292.987 * 0.84 = 169.926.109 €, ridimensioniamo la perdita supponendo che circa 1/10 dei clienti hanno ricevuto le email e hanno “abboccato”: SLE/10= 16.992.610 € ; - ALE= SLE * ARO = 16.992.610 * 3= 50.977.833 € ; - Guadagno per l’attaccante: circa 16.000.000 €, Costomedio attacco: 5.000 € - Costi postAttacco: 80.000 €, percentuale di rischioper gli attaccanti: 25%.

  13. Possibili contromisure per fronteggiare il rischio di phishing: • Effettuare dei controlli approfonditi sui redirect dei siti web; • Avvisare tempestivamente tutti i clienti di diffidare di qualunque email chieda di inserire codici segreti o informazioni personali e diffondere una cultura di internet; • Aggiungere un ulteriore livello di autenticazione (con password differenziata) per l’esecuzione di operazioni dispositive tramite il servizio di home banking; • Inserire dei codici di validazione sulla banda magnetica delle carte per autorizzare le transazioni di denaro;

  14. Conclusioni • Grazie a questa analisi dei rischi, è possibile dedurre: • quali attacchi saranno più probabilmente portati a termine (quelli • con il ROA più elevato); • quali contromisure riescono meglio a mitigare i rischi e l’impatto • degli attacchi stessi (quelle con il ROSI più alto). • Grazie all’aggiunta dell’originale “fattore di collusione” è stato possibile effettuare un’analisi dei rischi più precisa e il più vicinopossibile alla realtà.

  15. Ringraziamenti: • Prof. Giampaolo Bella • La mia famiglia • Tutti i miei cari presenti Fine

More Related