Visione del difensore

3.1 Visione del difensore

La visione del difensore, dal punto di vista dell’impresa, permette di determinare i diversi scenari d’attacco a cui è soggetto il sistema IT, in modo da stabilire le contromisure più efficaci per fronteggiarli. Di seguito vedremo anche quali conseguenze ha la presenza di collusione nell’ambito di questa visione, conseguenze che saranno sicuramente negative per l’impresa.

A tal scopo, ci serviamo degli indici quantitativi definiti in precedenza:

ƒ

Asset Value (AV)

: valore monetario dell’asset;

ƒ

Fattore di Collusione (FC)

: indica la percentuale di complicità presente in un determinato attacco e viene stimato con metodi qualitativi in base al tipo d’attacco che viene analizzato;

ƒ

Exposure Factor (EF)

: livello d’esposizione di una risorsa ad un attacco;

ƒ

Exposure Factor in funzione della collusione (EF

_FC

):

fattore d’esposizione in funzione del fattore di collusione:

EFFC = EF + FC – (EF * FC) ;

ƒ

Annualized Rate of Occurrence (ARO)

: frequenza con cui un evento dannoso si verifica nell’arco di un anno;

ƒ

Single Loss Exposure (SLE

_FC

):

perdita derivante da una singola esposizione all’attacco relativamente al fattore di collusione: SLE_FC= AV * EF_FC

ƒ

Annualized Loss Expectancy (ALE):

perdita annua attesa derivante da un attacco e dal relativo fattore di collusione: ALE=

SLE_FC * ARO.

Per gli attacchi formati da una serie di nodi OR, il calcolo dell’EF_FC, SLE_FC e dell’ALE dipende dai valori di EF, FC e ARO associati al nodo stesso, mentre nel caso di attacchi formati da nodi AND, si trasforma l’albero in forma normale disgiunta e si calcolano i valori della congiunzione che verranno rappresentati sul solo nodo AND.

Figura 3.1: Etichettatura dell’attack tree con gli indici.

Vediamo ora un esempio di scenario d’attacco:

“Furto dei dati di un’impresa memorizzati all’interno di un server”.

Figura 3.2: Scenario d’attacco base.

Un attaccante potrebbe agire in due modi: rubare i dati memorizzati all’interno del server o rubare fisicamente la macchina server; ampliamo entrambi gli scenari:

Nel caso di furto dei dati:

Figura 3.3: Scenario d’attacco nel caso di furto dei dati memorizzati.

Nel caso di furto del server:

Figura 3.4: Scenario d’attacco nel caso di furto del server.

Trasformiamo l’attack tree in forma normale disgiunta per poter calcolare gli indici del nodo and:

Figura 3.5: Attack tree della figura 3.4 trasformato in forma normale disgiunta.

Procediamo con il calcolo degli indici per ogni strategia d’attacco ipotizzando che il valore del server (AV), più le informazioni in esso contenute, è stimato pari a

100.000 €:

Attacco EF FC EF_FC ARO SLE ALE 1) Furto dei dati memorizzati grazie

ai permessi rubati ad un utente con diritti di root

80% 5% 81% 0,09 81.000 € 7.290 €

2) Furto dei dati memorizzati grazie ai permessi ottenuti corrompendo un utente con diritti di root

70% 3% 71% 0,09 71.000 € 6.390 €

3) Furto dei dati memorizzati grazie al possesso dei permessi di root

90% 0% 90% 0,40 90.000 € 36.000 €

4) Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del DB online

85% 25% 89% 0,08 89.000 € 7.120 €

5) Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del server di posta

82% 25% 86% 0,68 86.000 € 58.480 €

6) Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server sfondando la porta e uscendo inosservati dal palazzo

40% 35% 61% 0,10 61.000 € 6.100 €

7) Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server, aprire la porta con le chiavi e uscendo inosservati dal palazzo

40% 37% 62% 0,10 62.000 € 6.200 €

Tabella 3.1: Valori delle etichette.

Vediamo un po’ più in dettaglio come abbiamo valutato il fattore di collusione: nel caso dell’attacco 1, “furto dei dati memorizzati grazie ai permessi rubati ad un utente con diritti di root”, stimiamo un fattore di collusione basso, del 5%, in quanto l’attacco è relativamente semplice e non richiede la presenza di molti complici.

Per quanto riguarda l’attacco 2, abbiamo stimato la collusione pari al 3% in quanto per mettere in atto questo attacco, l’attaccante necessita solo della complicità della vittima per ottenere i permessi.

Nel caso dell’attacco 3, abbiamo calcolato FC = 0% perché dal momento in cui è l’attaccante stesso a possedere i permessi, non serve la complicità di nessun altro.

Per quanto riguarda gli attacchi 4 e 5, l’attaccante potrebbe ingaggiare degli hackers che siano in grado di sferrare degli attacchi remoti, per cui assegniamo a FC un valore del 25%.

Nell’attacco 6, l’attaccante ha sicuramente bisogno di più complici per portare a termine l’attacco: ha certamente bisogno di qualcuno che gli permetta di entrare e uscire inosservato e di qualcuno che gli permetta di evadere i controlli presenti, quindi in questo caso abbiamo stimato un FC medio, pari al 35%.

Infine, l’attacco 7, similmente al 6 necessita di un elevato fattore di collusione:

entrare e uscire inosservati, ottenere le chiavi per aprire la porta ed evadere tutti i controlli… infatti, il fattore di collusione stimato è del 37%.

Andiamo adesso a scoprire quali sono le

contromisure

più appropriate per ogni strategia d’attacco.

Nel caso di furto di dati:

Figura 3.6: Individuazione delle contromisure per il furto di dati.

E nel caso di furto della macchina server:

Figura 3.7: Individuazione delle contromisure per il furto del server.

Dopo aver identificato tutte le possibili contromisure, si procede con

l’etichettatura

di queste ultime, in modo da stabilire la contromisura che riesce a mitigare il più possibile il livello di rischio.

Per far ciò ci serviamo delle seguenti etichette:

ƒ %SC_C : indica il successo della contromisura nello scoraggiare l’attacco in presenza di collusione e si calcola come: %SC C = %SC * (1 – FC) dove %SC rappresenta il successo che avrebbe la contromisura in assenza di collusione e come detto in precedenza si calcola in funzione di due variabili: costo che l’attaccante deve sostenere per violare la contromisura e competenze necessarie; dopo aver stimato queste variabili, %SC si calcola come la media (costi, competenze).

ƒ

Costo contromisura:

indica il costo da sostenere per l’implementazione della contromisura;

ƒ

ROSI

(Return On Security Investment): è espresso in forma percentuale e permette di individuare le contromisure che riescono a mitigare gli effetti di un attacco nella maniera più economica possibile, tenendo conto dell’efficacia della contromisura, della perdita annuale che comporta l’attacco e del costo che l’azienda deve sostenere per implementare la contromisura in questione:

Vediamo invece come calcolare il ROSI in base ai tipi di nodi:

o Nel caso di nodi OR, il ROSI viene calcolato per ogni contromisura;

o Nel caso di nodi AND, bisogna calcolare il ROSI delle diverse combinazioni di contromisure.

Figura 3.8: Etichettatura delle contromisure.

Procediamo ora col calcolo delle etichette per ogni contromisura.

•

Attacco 1:

Furto dei dati memorizzati grazie ai permessi rubati ad un utente con diritti di root (ALE= 7.290 €, FC= 5%).

Tabella 3.2: Etichettatura delle contromisure per l’attacco 1.

•

Attacco 2:

Furto dei dati memorizzati grazie ai permessi ottenuti corrompendo un utente con diritti di root (ALE=6.390 €, FC= 3%).

Contromisure Costi

Tabella 3.3: Etichettatura delle contromisure per l’attacco 2.

•

Attacco 3:

Furto dei dati memorizzati grazie al possesso dei permessi di root (ALE= 36.000 €, FC=0).

Tabella 3.4: Etichettatura delle contromisure per l’attacco 3.

•

Attacco 4:

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del DB online (ALE=7.120 €, FC= 25%).

Contromisure Costi

Tabella 3.5: Etichettatura delle contromisure per l’attacco 4.

•

Attacco 5:

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del server di posta (ALE=58.480 €, FC= 25%).

Contromisure Costi

Tabella 3.6: Etichettatura delle contromisure per l’attacco 5.

•

Attacco 6:

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server sfondando la porta e uscendo inosservati dal palazzo (ALE=6.100 €, FC= 35%).

1° Combinazione:

Tabella 3.7: Etichettatura della prima combinazione di contromisure per l’attacco 6.

Per calcolare il ROSI di queste 2 contromisure, bisogna innanzitutto calcolare la percentuale di successo dell’unione delle due:

%SCCtot=%SCC1+%SCC2 – (%SCC1 * %SCC2) = 0,47+0,31 – (0,47 * 0,31)= 63%

e in seguito calcolare il costo totale:

Costotot= costo1 + costo2= 1.300 + 1.800 = 3.100 € Quindi, il ROSI sarà:

2° Combinazione:

Calcoliamo la percentuale di successo dell’unione:

%SC_Ctot=%SC_C1+%SC_C2 – (%SC_C1 * %SC_C2) = 0,55+0,31 – (0,55 * 0,31) =69%

e il costo totale:

Costo_tot= costo₁ + costo₂= 12.000 + 1.800 = 13.300 € Quindi, il ROSI sarà:

Quindi possiamo dedurre che conviene implementare la 1° combinazione di contromisure.

•

Attacco 7:

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server, aprire la porta con le chiavi e uscendo inosservati dal palazzo (ALE=6.200 €, FC= 37%).

1° Combinazione:

Tabella 3.9: Etichettatura della prima combinazione di contromisure per l’attacco 7.

Calcoliamo la percentuale di successo dell’unione:

%SC_Ctot=%SC_C1+%SC_C2 – (%SC_C1 * %SC_C2) = 0,46+0,58 – (0,46 * 0,58) =77%

e il costo totale:

Costo_tot= costo₁ + costo₂= 1.800 + 2.000 = 3.800 €

Quindi, il ROSI sarà:

2° Combinazione:

Contromisure Costi attaccante

Competenze attaccante

%SC %SC_C Costo

Assumere un agente

all’ingresso 0.90 0.80 85% 54% 12.000 €

Utilizzare una serratura con tessera magnetica

0.90 0.95 93% 58% 2.000 €

Tabella 3.10: Etichettatura della seconda combinazione di contromisure per l’attacco 7.

Calcoliamo la percentuale di successo dell’unione:

%SC_Ctot=%SC_C1+%SC_C2 – (%SC_C1 * %SC_C2) = 0,54+0,58 – (0,54 * 0,58) =81%

e il costo totale:

Costo_tot= costo₁ + costo₂= 12.000 + 2.000 = 14.000 € Quindi, il ROSI sarà:

quindi possiamo affermare che anche qui conviene implementare la 1°

combinazione di contromisure.

A questo punto, siamo in grado di selezionare, per ogni attacco, la contromisura migliore in termini di efficienza e costo: ovvero quella che presenta il ROSI più elevato:

Attacco Contromisura selezionata ROSI

Furto dei dati memorizzati grazie ai permessi

rubati ad un utente con diritti di root Cambiare la password

periodicamente 39%

Furto dei dati memorizzati grazie ai permessi ottenuti corrompendo un utente con diritti di root

Cambiare la password

periodicamente 38%

Furto dei dati memorizzati grazie al possesso

dei permessi di root Motivare il personale 50%

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del DB online

Controllare la validità degli

script 28%

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del server di posta

Utilizzare un software

antivirus 58%

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server sfondando la porta e uscendo inosservati dal palazzo

Installare telecamere +

Installare una porta blindata

8%

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server, aprire la porta con le chiavi e uscendo inosservati dal palazzo

Installare telecamere +

Utilizzare una serratura con tessera magnetica

10%

Tabella 3.11: ROSI per ogni strategia d’attacco.

Le contromisure sopra elencate sono quelle che l’azienda adotterà, in quanto è emerso dall’analisi dei rischi essere quelle che riescono nel miglior modo e il più economico possibile a scoraggiare un attaccante.

Nel documento UNIVERSITÀ DEGLI STUDI DI CATANIA FACOLTÀ DI SCIENZE MATEMATICHE, FISICHE E NATURALI CORSO DI STUDI IN INFORMATICA, PRIMO LIVELLO (pagine 28-44)