Corso di Sicurezza e Privacy
mercoledì 7 novembre 2007
Security Risk Analysis
Pamela Peretti
PhD student in Computer Science
Dipartimento di Scienze
Università degli Studi “G. d’Annunzio”
Pescara
Dipartimento
di Scienze
- 21 -dicembre
20152015
Corso
di Sicurezza
e Privacy
21 dicembre
1
Risk Management Process
Il processo di risk management è l'insieme di attività coordinate
per gestire un'organizzazione con riferimento ai rischi.
Tipicamente include l'identificazione, la misurazione e la
mitigazione delle varie esposizioni al rischio.
Corso di Sicurezza e Privacy - 21 dicembre 2015
2
Risk Management Process
Il rischio è l'incertezza che eventi inaspettati possano manifestarsi
producendo effetti negativi per l'organizzazione.
Corso di Sicurezza e Privacy - 21 dicembre 2015
3
Risk Management Process
Il rischio di Information Technology: il pericolo di interruzione di
servizio, diffusione di informazioni riservate o di perdita di dati rilevanti
archiviati tramite mezzi computerizzati.
Information Security Risk Management
Corso di Sicurezza e Privacy - 21 dicembre 2015
4
1. Risk Assessment
Il processo di risk assessment è usato per
determinare l'ampiezza delle potenziali minacce ad un
sistema IT ed identificare tutte le possibili contromisure
per ridurre o eliminare tali voci di rischio.
Vengono identificati:




asset
minacce
vulnerabilità
contromisure
Vengono determinati:
 impatto prodotto dalle minacce,
 fattibilità delle minacce,
 complessivo livello di rischio.
Corso di Sicurezza e Privacy - 21 dicembre 2015
5
2. Risk Mitigation
Nel processo di risk mitigation vengono
analizzati le contromisure raccomandati dal
team di assessment, e vengono selezionati
e implementate le contromisure che
presentano il miglior rapporto costi/benefici.
Corso di Sicurezza e Privacy - 21 dicembre 2015
6
3. Monitoring
All'interno di grandi imprese i sistemi IT
subiscono frequenti modifiche dovuti ad
aggiornamenti, cambiamento dei
componenti, modifica dei software, cambio
del personale, ecc.
Mutano le condizioni del sistema,
modificando anche gli effetti delle
contromisure adottate.
Corso di Sicurezza e Privacy - 21 dicembre 2015
7
approcci
Approcci
Approcci qualitativi
Attack
tree
 Analisi degli scenari che possono realizzarsi all’interno di un
sistema. Lo scopo è quello di individuare le possibili minacce
e il livello di rischio associato ad ogni risorsa che compone il
sistema.
Approcci quantitativi
 Quantificazione di tutte le grandezze necessarie per una
valutazione dei rischi con l'obiettivo di determinare,
attraverso l’uso di una serie d’indici, la convenienza
economica di un investimento in sicurezza.
Indici
economici
Corso di Sicurezza e Privacy - 21 dicembre 2015
9
Approcci
Approcci qualitativi
 Analisi degli scenari che possono realizzarsi all’interno di un
sistema. Lo scopo è quello di individuare le possibili minacce
e il livello di rischio associato ad ogni risorsa che compone il
sistema.
Approcci quantitativi
 Quantificazione di tutte le grandezze necessarie per una
valutazione dei rischi con l'obiettivo di determinare,
attraverso l’uso di una serie d’indici, la convenienza
economica di un investimento in sicurezza.
Corso di Sicurezza e Privacy - 21 dicembre 2015
10
analisi di uno scenario
A security scenario
Corso di Sicurezza e Privacy - 21 dicembre 2015
12
Defence trees
Defence trees are an extension of attack trees [Schneier00].
Attack tree:
 the root is an asset of an IT system
 paths from a leaf to the root
represent attacks to the asset
 the non-leaf nodes can be:
 and-nodes
 or-nodes
root
or-nodes
and-nodes
Defence tree:
 attack tree
 a set of countermeasures
Corso di Sicurezza e Privacy - 21 dicembre 2015
13
Defence trees (example)
Steal data
stored in a server
Obtain root
privileges
a1
a2
$
Stealing access
Corrupting a user
Corso di Sicurezza e Privacy - 21 dicembre 2015
14
Defence trees (example)
Steal data
stored in a server
Attack the
system with a
remote login
a3
a1
a4
a2
Exploit an on-line
vulnerability
Corso di Sicurezza e Privacy - 21 dicembre 2015
Exploit a web
server vulnerability
15
Defence trees (example)
Steal data
stored in a server
Steal the
server
a5
a1
a2
a3
a6
a4

Access to the
server’s room
Corso di Sicurezza e Privacy - 21 dicembre 2015
Go out
unobserved
16
Defence trees (example)
Steal data
stored in a server
a1
a2
Corso di Sicurezza e Privacy - 21 dicembre 2015
a3
a4
a5
a6
17
Defence trees (example)
Steal data
stored in a server
c1
c3
c6
c8
c10
c12
c2
c4
c7
c9
c11
c13
c3
c5
a1
a2
Corso di Sicurezza e Privacy - 21 dicembre 2015
a3
a4
a5
a6
18
metodi di scelta
Cp-nets
Conditional preference networks [Boutiliet99] are a
graphical formalism to specify and representing
conditional preference relations.
preference
I prefer red wine to white wine
if a meat dish is served.
D
W
condition
 Two variables: the dish D, the wine W.
 D is a parent of W: Pa(W)=D
Corso di Sicurezza e Privacy - 21 dicembre 2015
20
Cp-nets (example)
I prefer red wine to white wine
if a meat dish is served.
Less preferred
Df  Wr
Df  Ww
Dm  Df
Dm  Ww
Dm  Wr
Dm Wr ÂWw
Df WwÂWr
Most preferred
Corso di Sicurezza e Privacy - 21 dicembre 2015
21
Cp-nets on defence trees
Cp-nets can be used to model conditional preferences
over attacks and countermeasures
A
C
a4
Exploit a web
server vulnerability
a4Âa3Âa5Âa6Âa1Âa2
a3
Exploit an on-line
vulnerability
less dangerous…
Corso di Sicurezza e Privacy - 21 dicembre 2015
…
… more dangerous
a1
c1Â c2Â c3
a2
c5Â c3Â c4
a3
c6Â c7
a4
c8Â c9
a5
c11Â c10
a6
c13Â c12
22
Cp-nets on defence trees
Cp-nets can be used to model conditional preferences
over attacks and countermeasures
A
a1
Obtain root privileges
stealing access
C
:
a4Âa3Âa5Âa6Âa1Âa2
c1
Change the password
periodically
c3
c2
Log out the pc
after the use
less expensive…
Corso di Sicurezza e Privacy - 21 dicembre 2015
Add an identification
token
…more expensive
a1
c1Â c2Â c3
a2
c5Â c3Â c4
a3
c6Â c7
a4
c8Â c9
a5
c11Â c10
a6
c13Â c12
23
Cp-nets on defence trees
Cp-nets can be used to model conditional preferences
over attacks and countermeasures
A
C
Ç
a1
Æ
Ç
a2
a3
a5
a4
a4Âa3Âa5Âa6Âa1Âa2
a6
a1
c1Â c2Â c3
c1
c3
c6
c8
c10
c12
a2
c5Â c3Â c4
c2
c4
c7
c9
c11
c13
a3
c6Â c7
c3
c5
a4
c8Â c9
a5
c11Â c10
a6
c13Â c12
Corso di Sicurezza e Privacy - 21 dicembre 2015
24
and-composition
An and-attack is an attack composed
by a set of actions that an attacker
has to successfully achieve to obtain
his goal.
How to combine the preferences for the
countermeasure associated to each
attack action?
Corso di Sicurezza e Privacy - 21 dicembre 2015
25
and-composition (example)
x
y
A = {x,y,z}
C = {a,b,c}
a
x aÂbÂc
b
b
c
c
z
a
a
b
b
y b Âc
z a Âb
c
x Æ y Æ z: a  b  c
and-composition
A countermeasure is preferred to another one if it is preferred in,
at least, one of the partial orders.
Corso di Sicurezza e Privacy - 21 dicembre 2015
26
and-composition (example 2)
A = {x,y}
C = {a,b,c,d}
x aÂb
x
y
a
c
b
d
a
b
y cÂd
c
xÂy
d
and-composition
x Æ y: c  d  a  b
We have also to consider the preferences over the value of the
parent variable
Corso di Sicurezza e Privacy - 21 dicembre 2015
27
or-composition
An or-attack is an attack that can be
performed with different and
alternative actions: the attacker can
complete successfully any of its
actions to obtain his goal
How to combine the preferences
associated to each action that compose
the attack and determine sets of
countermeasures?
Corso di Sicurezza e Privacy - 21 dicembre 2015
29
or-composition (example)
x
y
z
A = {x,y,z}
C = {a,b,c}
a
a
a
x aÂbÂc
b
xÇyÇz
a
or-composition
a,b
b
a,b,c
y c Âa
z a Âb
<b,a,a>
<b,c,b>
c
<a,a,a>
[a]
<a,c,a>
[a,b]
<b,a,a>
[a,c]
<b,c,a>
[b,c]
<c,a,a>
[a,b,c]
<c,c,a>
Corso di Sicurezza e Privacy - 21 dicembre 2015
c
<a,a,b>
<a,c,b>
<b,a,b>
<b,c,b>
<c,a,b>
<c,c,b>
a,c
b,c
[b,c]
b
b
a
c
a
[a,b]
b
30
or-composition: example
a1 Ç a2
c1 Æ c5
c1 Æ c3
a1
a2
c3 Æ c4
c3
c1 Æ c4
c1
c3
c2
c4
c3
c5
c2 Æ c5
c3 Æ c5
c2 Æ c3
Corso di Sicurezza e Privacy - 21 dicembre 2015
c2 Æ c4
31
Approcci
Approcci qualitativi
 Analisi degli scenari che possono realizzarsi all’interno di un
sistema. Lo scopo è quello di individuare le possibili minacce
e il livello di rischio associato ad ogni risorsa che compone il
sistema.
Approcci quantitativi
 Quantificazione di tutte le grandezze necessarie per una
valutazione dei rischi con l'obiettivo di determinare,
attraverso l’uso di una serie d’indici, la convenienza
economica di un investimento in sicurezza.
Corso di Sicurezza e Privacy - 21 dicembre 2015
32
indici
Indici: SLE
The Single Loss Exposure (SLE) represents a measure of an
enterprise's loss from a single threat event and can be computed by
using the following formula:
where:
 the Asset Value (AV) is the cost of creation, development, support,
replacement and ownership values of an asset,
 the Exposure Factor (EF) represents a measure of the magnitude of
loss or impact on the value of an asset arising from a threat event.
Corso di Sicurezza e Privacy - 21 dicembre 2015
34
Indici: ALE
The Annualized Loss Expectancy (ALE) is the annually
expected financial loss of an enterprise that can be ascribed to a
threat and can be computed by using the following formula:
where:
 the Annualized Rate of Occurrence, (ARO) is a number that
represents the estimated number of annual occurrences of a
threat.
Corso di Sicurezza e Privacy - 21 dicembre 2015
35
Indici: ROI
The Return on Investment (ROI) indicator can be computed by
using the following formula:
where:
 RM is the risk mitigated by a countermeasure and represents the
effectiveness of a countermeasure in mitigating the risk of loss
deriving from exploiting a vulnerability
 CSI is the cost of security investment that an enterprise must face
for implementing a given countermeasure.
Corso di Sicurezza e Privacy - 21 dicembre 2015
36
Indici: ROA
The Return On Attack (ROA) measures the gain that an
attacker expects from a successful attack over the losses that he
sustains due to the adoption of security measures by his target
where:
 GI is the expected gain from the successful attack on the specified
target
 costa is the cost sustained by the attacker to succeed,
 costac is the additional cost brought by the countermeasure c
adopted by the defender to mitigate the attack a.
Corso di Sicurezza e Privacy - 21 dicembre 2015
37
scenari + indici
Etichettatura per ROI
A
EFb
AROb
RM1
Cost1
RM2
Cost2
B
AV
SLEb
AROb
1
2
C
EFd
AROd
RM3
Cost3
Corso di Sicurezza e Privacy - 21 dicembre 2015
3
EFe
AROe
D
SLEd
ALEd
E
SLEe
ALEe
4
RM4
Cost4
5
RM5
Cost5
39
Etichettatura per ROA
A
GI
costb
costc
B
RM1
costb,1
RM2
costb,2
C
1
D
2
RM3
costc,3
Corso di Sicurezza e Privacy - 21 dicembre 2015
3
E
4
RM4
costc,4
5
RM5
costc,5
40
Etichettatura
Steal data
stored in a
server
Attack the
system with a
remote login
Obtain root
privileges
Stealing
access
Exploit an
on-line
vulnerability
Corrupting
a user
Steal the
server
Exploit a
web server
vulnerability
Access to the
server’s room
Go out
unobserved
Change the
password
periodically
Add an
identification
token
Update the
system
periodically
Use an
antivirus
software
Install a
security door
Install a video
surveillance
equipment
Log out the
pc after the
use
Distribute
responsab.
among users
Separate the
contents on
the server
Stop
suspicious
attachment
Install a
safety lock
Employ a
security guard
Add an
identification
token
Motivate
employees
Corso di Sicurezza e Privacy - 21 dicembre 2015
41
Etichettatura ROI
Steal data
stored in a
server
AV=100.000 €
Attack the
system with a
remote login
Obtain root
privileges
SLE=90.000 €
EF=100%
ARO=0,09
Stealing
access
Corrupting
a user
SLE=90.000
€ an
Exploit
EF=100% on-line
vulnerability
ARO=0,09
Steal the
server
Exploit a
web server
vulnerability
Access to the
server’s room
Go out
unobserved
RM=60%
ROI=9.8
CSI=500€
Change the
password
periodically
Add an
identification
token
RM=80%
system
ROI=1.4
periodically
CSI=3000€
Use an
antivirus
software
Install a
security door
Install a video
survellaince
equipment
RM=10%
ROI=8
CSI=100€
Log out the
pc after the
use
Distribute
responsab.
among users
Separate the
RM=50%
contents on
ROI=-0.7
CSI=15000€
the server
Stop
suspicious
attachment
Install a
safety lock
Employ a
security guard
RM=80%
CSI=3000€
Add an
identification
token
Motivate
employees
ROI=1.4
Corso di Sicurezza e Privacy - 21 dicembre 2015
Update the
RM=80%
ROI=2.6
CSI=2000€
42
Etichettatura ROA
Steal data
stored in a
server
GI=30.000 €
Attack the
system with a
remote login
Obtain root
privileges
Costa=3000 €
Stealing
access
Corrupting
a user
Exploit an
on-line
Costb=10000
€
vulnerability
Steal the
server
Exploit a
web server
vulnerability
Access to the
server’s room
Go out
unobserved
RM=60%
ROA=2
cost=1000€
Change the
password
periodically
Add an
identification
token
RM=80%
system
ROA=-0.48
periodically
cost=1.500€
Use an
antivirus
software
Install a
security door
Install a video
survellaince
equipment
RM=10%
ROA=6.71
cost=500€
Log out the
pc after the
use
Distribute
responsab.
among users
Separate the
RM=50%
contents on
ROA=0.40
cost=700€
the server
Stop
suspicious
attachment
Install a
safety lock
Employ a
security guard
RM=80%
cost=1.500€
Add an
identification
token
Motivate
employees
ROA=0.33
Corso di Sicurezza e Privacy - 21 dicembre 2015
Update the
RM=80%
ROA=0.50
cost=2000€
43
varianti
Three novel indicators
 Critical time
 Retaliation
 Collusion
Corso di Sicurezza e Privacy - 21 dicembre 2015
45
Critical time
Corso di Sicurezza e Privacy - 21 dicembre 2015
46
Critical time
Exposure Factor during Critical Time
expresses the influence that the criticality of a specific time instance
plays on the EF .
Corso di Sicurezza e Privacy - 21 dicembre 2015
47
Critical time: the indicators
 Annualized Rate of Occurrence, AROCT, is the rate of occurrence
of an attack at a specific CTF per year.
 Single Loss Exposure, SLECT, is the cost of a single attack at a
specific CTF:
 Annualized Loss Expectancy, ALECT, is the cost per year of an
attack at a specific CTF:
 Return On Investment, ROICT, is the economic return of an
enterprise's investment against an attack mounted at a specific CTF:
Corso di Sicurezza e Privacy - 21 dicembre 2015
48
Retaliation
Corso di Sicurezza e Privacy - 21 dicembre 2015
49
Retaliation
Exposure Factor under Retaliation
expresses the influence that the chance of retaliating an attack to an
asset plays on the EF.
Corso di Sicurezza e Privacy - 21 dicembre 2015
50
Retaliation: the indicators
 Annualized Rate of Occurrence, AROR, is the rate of occurrence per
year of an attack that can be retaliated.
 Single Loss Exposure, SLER, is the cost of a single attack that can
retaliated:
 Annualized Loss Expectancy, ALER, is the cost per year of an
attack that can be retaliated:
 Return On Investment, ROIR, is the economic return of an
enterprise's investment against an attack that can be retaliated:
Corso di Sicurezza e Privacy - 21 dicembre 2015
51
Collusion
Corso di Sicurezza e Privacy - 21 dicembre 2015
52
Collusion
Mitigated Risk against Collusion
expresses the influence that collusion of attackers plays on the MR
(mitigated risk) as follows:
Corso di Sicurezza e Privacy - 21 dicembre 2015
53
Collusion: the indicators
The Return On Investment against Collusion
is the economic return of an enterprise's investment against an attack
mounted by one or more colluding attackers:
Corso di Sicurezza e Privacy - 21 dicembre 2015
54
fine