Approccio quantitativo

Questo approccio è di tipo oggettivo e si propone di fare delle valutazioni numeriche sulle risorse, sulla frequenza delle minacce, sull’impatto, le perdite, l’efficacia e il costo delle contromisure. La difficoltà di questo metodo sta nel fatto che è complicato fare le valutazioni corrette di quanto detto sopra; il vantaggio è che trattandosi di un metodo oggettivo è molto più affidabile rispetto all’approccio qualitativo. Un’altra caratteristica è che fa uso di particolari indici per effettuare le previsioni.

1.1.2.1 Indici

Servono per calcolare le stime sulla frequenza degli attacchi, sull’impatto sui diversi asset, sulla quantità di complici e sulle perdite attese; gli indici utilizzati sono discussi di seguito.

FATTORE DI COLLUSIONE (FC)

Questo indice rappresenta, in misura percentuale, la quantità di complici necessari per portare a termine con maggior probabilità di successo un attacco.

Questo indice verrà utilizzato nella doppia visione difensore VS attaccante con lo scopo di capire in quale misura questo incrementi il rischio d’esposizione ad una particolare minaccia per quanto riguarda la prima visione, e per comprendere quali vantaggi economici comporta per l’attaccante nella seconda.

• Un FC pari allo 0% indica che, quasi sicuramente, nell’attacco non sono coinvolti complici;

• valori bassi di FC, compresi tra l’1% e il 30% indicano che è coinvolto nell’attacco un piccolo numero di persone;

• valori medi di FC, compresi tra il 31% e il 60% indicano che è coinvolto nell’attacco un numero medio di persone;

• valori alti di FC, compresi tra il 61% e il 90% indicano che è coinvolto nell’attacco un numero cospicuo di persone;

• valori di FC molto alti, compresi tra il 91% e il 99% indicano che sono

coinvolti nell’attacco un numero molto elevato di persone;

• un FC del 100% non è mai utilizzato in pratica perché dovrebbe rappresentare un numero infinito di persone.

Valori tipici dell’FC sono quelli compresi tra lo 0% e il 70%; valori molto alti potrebbero essere usati in caso di attacchi da parte di terroristi internazionali, in cui non si conosce con esattezza il numero di corresponsabili, ma si sa che è molto alto. Per la stima di questo indice ci si serve di metodologie qualitative o dell’esperienza.

FATTORE D’ESPOSIZIONE (EF

_FC

)

Il fattore d’esposizione rappresenta l’impatto che può provocare un evento dannoso su una certa risorsa; esso è direttamente proporzionale al fattore di collusione, e può essere espresso come:

EF_FC = EF + FC – (EF * FC)

Dove EF rappresenta il livello d’esposizione al rischio a cui un particolare asset è soggetto, senza considerare la collusione.

Il motivo per cui il fattore d’esposizione cresce all’aumentare del fattore di collusione è che esistono degli attacchi per i quali, un attaccante ha scarse possibilità di successo senza la collusione con eventuali complici; facciamo un

esempio

:

Accedere ai locali di un’impresa, evadere la sorveglianza e riuscire a rubare il disco rigido da un computer aziendale per ottenere delle informazioni segrete è un crimine per il quale un attaccante da solo avrebbe scarse possibilità di successo;

quindi, si può affermare che vi sarebbe uno scarso fattore d’esposizione nei confronti di questo attacco. Se invece supponiamo che l’attaccante possa contare sulla complicità di altre persone, allora l’attacco diventa più fattibile per l’attaccante, aumentando il fattore d’esposizione per l’azienda; quindi possiamo dire che maggiore è il numero dei complici, ovvero degli attaccanti collusi, maggiore è la probabilità che l’attacco sia messo in atto e abbia successo, quindi maggiore è il fattore d’esposizione.

Quanto detto è in contrasto con il modello di attaccante alla

Dolev-Yao

citato

negli attacchi informatici ai protocolli crittografici, in base al quale ci si trova a doversi difendere da un unico attaccante superpotente in grado di tentare ogni possibile attacco: controllare la rete di comunicazione, osservare, eliminare o modificare i messaggi che viaggiano nella rete; in questo modello un insieme di agenti onesti comunica attraverso l’ambiente che è totalmente controllato da un attaccante; dal momento che l’attaccante ha il completo controllo dell’ambiente, possiamo affermare che l’attaccante si identifica con l’ambiente stesso. In questo contesto non ha senso parlare di collusione: non è infatti necessario assumere l’esistenza di attaccanti multipli poiché questi non hanno più abilità dell’ambiente.

Per questo motivo il modello Dolev-Yao non può essere usato in un contesto reale ma è pensabile solamente nel mondo virtuale, dove tutto è fatto di bit e non esistono barriere fisiche, mentre nel mondo reale vale sempre la regola “l’unione fa la forza”.

Vediamo qualche

esempio

per chiarire meglio l’influenza della collusione sul fattore di esposizione:

• Nel sistema IT di un’azienda, la minaccia “virus” presenta un EF dell’80% e un FC del 3%, il che significa che il livello d’esposizione al rischio virus è molto elevato e la presenza della collusione, essendo molto bassa, non influisce molto nell’attacco, quindi il fattore d’esposizione non subirà variazioni significative: EF_FC = 0,8+0,03 - (0,8 * 0,03)= 0,806 cioè circa 81%

• Se invece supponiamo che l’attacco “furto di informazioni riservate tramite accesso ai locali dell’impresa” abbia un EF pari a 35% e un FC del 40%, il fattore d’esposizione sarà pari a: EF_FC= 0,35 + 0,4 – (0,35 * 0,4)= 0,61 cioè 61%; in quest’esempio, vediamo come in un attacco con un basso livello d’esposizione, la presenza di un cospicuo tasso di collusione influisca molto sul fattore d’esposizione.

SINGLE LOSS EXPOSURE (SLE

_FC

)

Lo SLE rappresenta la perdita associata al successo dell’evento dannoso; di conseguenza si calcola moltiplicando il fattore d’esposizione (EF_FC) per il valore monetario della risorsa (AV); lo SLE, tenendo quindi conto della collusione, sarà:

SLE_FC= AV * EF_FC.

ANNUALIZED RATE OF OCCURRENCE (ARO)

Rappresenta la frequenza, ovvero il numero di volte che un particolare evento dannoso si verifica nell’arco di un anno.

ANNUALIZED LOSS EXPECTANCY (ALE)

Esprime la perdita annua attesa associata ad una specifica minaccia; quindi anche questa può essere espressa in funzione dell’FC: ALE= SLE_FC * ARO.

PERCENTUALE DI SUCCESSO DELLA CONTROMISURA (%SC)

Indica, in misura percentuale, il successo di una determinata contromisura nello scoraggiare un eventuale malintenzionato dal portare a termine l’attacco. La percentuale di successo di una contromisura è dipendente dalla presenza di collusione: infatti, una contromisura può avere un’alta percentuale di successo in presenza di un solo attaccante, mentre potrebbe essere meno efficace di fronte ad un insieme di attaccanti collusi.

Quindi distinguiamo i due casi:

• in assenza di collusione avremo %SC definita come la percentuale di successo della contromisura nei confronti di un singolo attaccante; possiamo inoltre affermare che una contromisura è efficace se per violarla servono costi elevati e un livello avanzato di competenze o conoscenze tecniche da parte dell’attaccante. Quindi possiamo dedurre che il successo di una contromisura dipende da queste due variabili: “costi” e “conoscenze”

dell’attaccante. Vediamo qualche

esempio

per capire meglio: consideriamo la contromisura “porta blindata”; abbiamo precedentemente detto che il suo successo dipende dai costi che l’attaccante deve sostenere e dalle competenze che egli deve possedere (maggiori sono i costi che devono essere sostenuti e maggiori le abilità richieste, minori sono le probabilità che l’attaccante tenti l’attacco e quindi maggiore sarà il successo della contromisura). Valutiamo costi e competenze assegnandovi valori compresi nell’intervallo [0, 1] (0= nessun costo/nessuna competenza o conoscenza, 1= costo molto elevato/altissime competenze o conoscenze): assegniamo

alla variabile “costi” il valore 0,6 (assumendo che per violare la porta blindata si necessita di attrezzatura speciale che ha dei costi sostenuti) e alla variabile

“competenze” il valore 0,35 (ipotizzando che non siano richieste elevate conoscenze tecniche per violare una porta blindata); a questo punto, possiamo calcolare la percentuale di successo della contromisura “porta blindata” semplicemente facendo una media aritmetica di queste due variabili:

%SC= media (costi, competenze)

= media (0.6, 0.35)= 48%.

Mentre, nel caso della contromisura “antivirus”, avremo: costi= 0.4, competenze= 0.9, quindi %SC= media (0.4, 0.9)= 65%.

• in presenza di collusione abbiamo %SC_C che si calcola in funzione del fattore di collusione come:

%SC

_C =

%SC * (1 – FC)

; il motivo per cui la percentuale di successo di una contromisura è inversamente proporzionale al fattore di collusione è che, come abbiamo detto prima, “l’unione fa la forza”, quindi maggiore è il numero degli attaccanti collusi, maggiori sono le probabilità che questi, unendo le loro forze, riescano a rendere inefficace la contromisura; continuando gli

esempi

di cui sopra, con un fattore di collusione pari al 25% avremo, per la porta blindata: %SC_C= 0.48 * (1 - 0.25)= 36%, e per l’antivirus: %SC_C= 0.65 * (1 - 0.25)= 49%.

RETURN ON A SECURITY INVESTMENT (ROSI)

Questo indice è utilizzato per calcolare la percentuale di guadagno risultante da un investimento in sicurezza, tenendo conto del successo della contromisura, della perdita annua causata dall’attacco cui la contromisura dovrebbe far fronte e del costo per implementare la contromisura stessa:

Facciamo degli

esempi

:

• In un’azienda il rischio di sabotaggio dei macchinari (il cui valore è pari a 100.000 €) da parte di aziende concorrenti presenta un fattore di collusione del 35% e un conseguente fattore d’esposizione del 90%, mentre l’ARO stimato è pari a 2. Calcoliamo lo SLE= AV * EF= 100.000 * 0,9=90.000 €

e l’ALE= SLE * ARO= 90.000 * 0,5= 45.000 €

Una contromisura adatta potrebbe essere l’installazione di un sistema di videosorveglianza, la quale ha un costo per l’azienda di 3.000 €.

Esaminiamone la percentuale di successo :

o Calcoliamo %SC in assenza di collusione: stimiamo innanzitutto i costi per violare il sistema pari a 0,8 e le competenze pari a 0,75;

quindi %SC= media(0.8, 0.75)= 78%.

o Nel nostro caso invece, cioè in presenza di collusione, dal momento che gli attaccanti collusi potrebbero escogitare qualcosa per evadere il controllo delle telecamere, l’efficacia della contromisura verrà diminuita; quindi abbiamo che %SC_C = %SC * (1 – FC) = 0,78 * (1 - 0,35)= 0,51 cioè 51%

A questo punto possiamo calcolare il ROSI della contromisura relativo all’attacco menzionato:

ROSI = (0,51 * 45.000 - 3.000) / (45.000 + 3.000) = 0,48 = 42%

• Se invece al posto del sistema di videosorveglianza si scegliesse di installare una porta blindata, con un costo per l’azienda di 3.500 €:

o %SC: costi= 0.6, competenze= 0.35; %SC= media (0.6, 0.35)= 48%

o %SC_C = 0,48 * (1 – 0,35)= 0,31 cioè 31%

ROSI = (0,31 * 45.000 - 3.500) / (45.000 + 3.500) = 0,22 = 22%

Dai calcoli effettuati emerge che per l’azienda l’investimento più conveniente è quello per il sistema di videosorveglianza dal momento che presenta il ROSI più alto.

PERCENTUALE DI SUCCESSO DELL’ATTACCANTE (%SA)

Indica, in misura percentuale, il successo o l’efficacia dell’attaccante nel violare la misura di sicurezza.

Il successo dell’attaccante nel violare la misura di sicurezza, può essere definito come l’insuccesso della misura di sicurezza stessa nello scoraggiare l’attacco; abbiamo precedentemente definito %SC come il successo della misura di sicurezza, adesso definiamo %SA, il successo dell’attaccante, che è pari a 1-%SC.

Di conseguenza, come abbiamo fatto prima, dobbiamo distinguere 2 casi:

• la percentuale di successo dell’attaccante in assenza di collusione:

%SA =1-%SC;

• la percentuale di successo di più attaccanti collusi: %SA_C =1-%SC_C.

PERCENTUALE DI RISCHIO PER L’ATTACCANTE COME CONSEGUENZA DELL’ATTACCO (%RA)

Questo indice, rappresenta in percentuale il rischio per l’attaccante o gli attaccanti di essere scoperti e puniti in seguito all’attacco. Il rischio associato alla possibilità di essere perseguiti e puniti secondo legge va a tutto favore delle frodi telematiche. Non solo, infatti, questo genere di reati sono trattati con minore severità, ma possono pure contare su una probabilità di individuazione degli autori estremamente bassa.

RETURN ON ATTACK (ROA)

Quest’ultimo indice rappresenta il guadagno percentuale atteso dall’attaccante da un attacco portato a termine con successo, tenendo conto della sua efficacia nel violare la misura di sicurezza e dei costi dell’attacco (i quali si compongono dei costi affrontati dall’attaccante per sfruttare la vulnerabilità e dei costi che egli dovrebbe affrontare nel caso venga scoperto):

Dove

costi PreAttacco

sono i costi che l’attaccante o gli attaccanti devono sostenere per mettere in atto l’attacco,

costi PostAttacco

sono i costi che gli attaccanti devono pagare in caso di fallimento dell’attacco e

guadagno cumulativo

rappresenta il ricavo dell’attacco, il quale verrà poi ripartito tra gli attaccanti in parti che dipendono dal ruolo che essi hanno avuto nell’attacco stesso.

Esempio

di calcolo del ROA:

• Supponiamo che, per un’attaccante, accedere ai locali di un’impresa per rubare dei piani strategici, gli fornisca un guadagno di 70.000 €.

Il costo stimato per attuare l’attacco è pari a 6.000 €, mentre il rischio di essere scoperto %RA = 60%; stimiamo il costo della pena da pagare in caso di fallimento pari a 10.000 €.

Il fattore di collusione stimato è del 15%; calcoliamo la percentuale di successo della contromisura porta blindata; per %SC si ha: costi= 0.6, competenze= 0.35 per cui

%SC

= 48%, mentre

%SC

_C = %SC * (1 – FC) = 0,48 * (1 – 0,15)= 0,41 cioè 41%; quindi %SA_C = 1- 0.41 = 0,59 = 59%, il ROA ottenuto sarà dunque:

• Lo stesso attacco con un fattore di collusione pari a 0 avrebbe avuto un ROA pari a:

ovvero un rendimento minore per l’attaccante.

Nel documento UNIVERSITÀ DEGLI STUDI DI CATANIA FACOLTÀ DI SCIENZE MATEMATICHE, FISICHE E NATURALI CORSO DI STUDI IN INFORMATICA, PRIMO LIVELLO (pagine 12-20)