UNIVERSITÀ DEGLI STUDI DI CATANIA FACOLTÀ DI SCIENZE MATEMATICHE, FISICHE E NATURALI CORSO DI STUDI IN INFORMATICA, PRIMO LIVELLO

(1)

UNIVERSITÀ DEGLI STUDI DI CATANIA

F

ACOLTÀ DI

S

CIENZE

M

ATEMATICHE

, F

ISICHE E

N

ATURALI CORSO DI STUDI IN INFORMATICA, PRIMO LIVELLO

GIUSEPPINA MACCARRONE

ANALISI DEI RISCHI DI SICUREZZA CON

“FATTORE DI COLLUSIONE”

RELAZIONE PROGETTO FINALE

TUTOR UNIVERSITARIO:

Ch.mo Prof. Giampaolo Bella

ANNO ACCADEMICO 2004  2005

(2)

Alla mia famiglia

(3)

Indice

Introduzione 4

1 Information Security Risk Management ……… 7

1.1 A

pprocci per il processo di valutazione dei rischi ……… 9

1.1.1 Approccio qualitativo ……… 10

1.1.2 Approccio quantitativo ……… 12

1.1.3 Approccio ibrido ……… 20

2 Attack Trees ……… 21

2.1 Struttura degli attack trees ……… 21

2.2 Creazione di un attack tree ……… 22

3 Utilizzo degli indici quantitativi sugli attack trees ………… 28

3.1 Visione del difensore ……… 28

3.2 Visione dell’attaccante ……… 44

4 Caso di studio: “phishing ai danni di una società bancaria… 51 4.1 Cos’è il Phishing ……… 51

4.2 Metodologia di attacco ……… 52

4.3 Applicazione dell’analisi dei rischi al caso di studio……… 53

Conclusioni 59

Riferimenti 61

(4)

Introduzione

Osservando le recenti tendenze evolutive dei mercati, e del contesto nazionale e internazionale, emerge che le informazioni rivestono un ruolo cruciale per il successo dell'impresa, sono cioè percepite come un vero e proprio patrimonio di grande valore per la vita aziendale e quindi da proteggere. Ultimamente, a causa dei rapidi cambiamenti nelle tecnologie e nelle organizzazioni, sono emerse nuove vulnerabilità: quanto più le organizzazioni si affidano alla tecnologia per automatizzare o trasferire online i propri processi, tanto più crescono i rischi per la sicurezza.

L’utilizzo di Internet e dei computers in generale, è oggigiorno essenziale per la produttività aziendale: dall’automatizzazione dei processi, all’archiviazione delle informazioni, dall’utilizzo della posta elettronica, alla ricerca o lo scambio di informazioni, dagli aspetti di marketing alla offerta o alla fruizione di servizi, le modalità d'uso che creano valore per le imprese sono innumerevoli; esiste però un rovescio della medaglia, ed è rappresentato dal fatto che ogni connessione a Internet espone il computer o l'intera rete ad una serie di rischi: i virus informatici sono forse il più noto dei veicoli di rischio, ma sono solo uno tra i tanti a cui è sottoposto un computer connesso ad Internet.

Tuttavia, le minacce connesse agli attacchi ad un sistema informatico possono essere molteplici e di diversa gravità: dall'accesso non autorizzato a dati e informazioni riservati, al danneggiamento o al blocco della capacità di fornire o fruire di servizi, dal furto di credenziali di autenticazione alla compromissione dell'autenticità e disponibilità dei dati, fino anche all'uso illecito di risorse informatiche aziendali. Questo dovrebbe porre la tutela della sicurezza del sistema informativo tra le priorità aziendali e farla considerare come un investimento per la tutela del valore.

(5)

La prima, e più importante, delle misure di sicurezza è dunque predisporre il quadro complessivo e ragionato dei rischi che corre il sistema informativo aziendale, e dell'insieme di misure che occorrono per prevenire, contrastare o contenere tali rischi. Una tutela efficace è possibile solo a partire da una nuova consapevolezza rispetto alle minacce e dall'esplicitazione dei bisogni emergenti.

Per far fronte all’avanzata di queste nuove minacce incombenti sui sistemi informativi, sono stati inventati dei processi di analisi e gestione dei rischi con lo scopo di valutare la gravità dei rischi stessi, individuare le vulnerabilità dei sistemi e stabilire quali controlli sono più efficaci per limitare tali rischi; proprio questo è il compito dell’

Information Security Risk Management,

il quale si propone di identificare, misurare e gestire le varie esposizioni al rischio.

Prima di scegliere quale strategia di sicurezza adottare, e dunque determinare il relativo investimento, è fondamentale stimare il valore delle risorse da proteggere e l'entità dei danni da prevenire. Ovvero, cosa difendere e da chi o cosa difenderla. In altri termini, è necessario partire da una approfondita e seria analisi funzionale dell'organizzazione, che comprenda non solo caratteristiche strutturali o infrastrutturali, processi e flussi operativi, obiettivi e priorità, ma anche le disfunzioni. Individuare, le possibili fonti di rischio e i punti di vulnerabilità aumenta la probabilità di attivare forme di difesa (e prevenzione) efficaci.

Questa tesi si propone di discutere le problematiche riguardanti l’analisi dei rischi di sicurezza di un sistema informativo aziendale, analizzando le varie metodologie esistenti ed introducendo dei nuovi indicatori per arricchire l’analisi.

Il lavoro è articolato in una serie di capitoli; nel primo dei quali viene descritto il processo di Information Security Risk Management, le sue varie fasi (

Risk

Assessment, Risk Mitigation

ed

Evaluation and Assessment

), e gli approcci da esso adottati (approcci

qualitativo, quantitativo e ibrido

); in particolare, riguardo all’approccio quantitativo, analizzeremo gli indici quantitativi esistenti prevedendo in particolare l’introduzione di un originale fattore di misurazione della

collusione

fra attaccante e complici; questo indicatore si propone di stimare, in misura percentuale, la quantità di complici presenti in un determinato attacco, allo scopo di verificare l’influenza che ha tale collusione sull’attacco stesso (influenza che, come vedremo, sarà negativa sull’azienda in quanto aumenterà il livello d’esposizione al rischio).

(6)

Nel secondo capitolo esamineremo la metodologia degli

attack trees,

una categoria di alberi utilizzati per l’individuazione dei vari scenari d’attacco e delle rispettive contromisure.

Nel terzo capitolo, andremo a vedere come utilizzare gli indici quantitativi su uno strumento prettamente qualitativo come gli attack trees; in questa parte verrà discussa l’influenza che ha il fattore di collusione nel calcolo degli indici ROSI e ROA (utilizzati nella già nota doppia visione “Difensore vs. Attaccante”) che rappresentano rispettivamente, il rendimento per l’azienda dall’adozione di una particolare contromisura, e il rendimento per l’attaccante da un determinato attacco tenendo conto di variabili come: guadagno, probabilità di successo dell’attacco in relazione alla contromisura, costo sostenuto per l’attacco, con l’introduzione del rischio di essere sorpreso nell’attacco e del costo da sostenere se scoperto.

Nel quarto ed ultimo capitolo verrà trattato un caso di studio riguardante un attacco noto al quale verrà applicata l’analisi dei rischi precedentemente studiata;

l’attacco in questione è rappresentato dal caso di “Phishing” ai danni di un’azienda bancaria.

(7)

Capitolo 1

Information Security Risk Management

Chi al giorno d’oggi non vive con il rischio? Gestirlo è diventato sinonimo di sfida e di opportunità. Il controllo del rischio è una delle idee fondamentali che animano la società moderna e la distinguono dalle civiltà arcaiche.

Il teorico tedesco Beck, afferma che siamo testimoni di un grande cambiamento politico: ci troviamo in uno stato di transizione da una società basata sulla classe ad una società basata sul rischio. Secondo Beck, ci troviamo nel mezzo di uno sviluppo sociale in cui l’attesa dell’inaspettato, l’attesa dei rischi possibili domina sempre più la scena della nostra vita. E’ il fenomeno nuovo che diventa un fattore di stress per le istituzioni nel diritto, nell’economia, nel sistema politico e anche nella vita quotidiana delle famiglie.

Tuttavia, rischio e sicurezza sono stati anche nell’antichità, oggetti di preoccupazione e interesse (Aristotele in uno dei suoi scritti afferma: “bisogna aspettarsi che qualcosa di inatteso accada”), così come la gestione del rischio: lo testimonia l’antico libro cinese “I Ching”, che rappresenta il più vecchio tool per la formulazione di decisioni utilizzato ancora oggi nelle aziende. Comunque, il significato di rischio e la sua gestione, sono cambiati nel corso dei secoli; con lo sviluppo della tecnologia si è verificato l’avvento di nuovi e sconosciuti rischi che tuttora si cerca di controllare e gestire.

Figura 1.1: Schema delle fasi del processo di Information Security Risk Management.

(8)

L’information Security Risk Management è un processo di valutazione dei rischi inerenti un sistema informativo e dell’efficacia dei controlli pianificati o realizzati per mitigarli; esso si compone di tre fasi:

1. Risk Assessment: fase durante la quale vengono studiate le caratteristiche del sistema (vengono cioè identificate le risorse da proteggere), identificate le minacce e le vulnerabilità che possono essere sfruttate, e sulla base di queste, vengono selezionati i controlli più adatti a proteggere le risorse.

2. Risk Mitigation: in questa fase vengono valutati ed implementati i controlli raccomandati nella prima fase, assegnando una priorità alle varie situazioni a rischio; in questa fase viene effettuata un’analisi costi/benefici, che permette di selezionare le contromisure col miglior rapporto costo/efficienza.

3. Evaluation and assessment: è l’ultima fase del processo, si propone di effettuare periodicamente i processi di valutazione e gestione dei rischi in modo da adattare le contromisure presenti nel sistema alle modifiche software e hardware dovute ad aggiornamenti del sistema stesso, con lo scopo di mantenere il livello di rischio residuo il più basso possibile.

(9)

1.1 Approcci per il processo di valutazione dei rischi

I metodi principali utilizzati per il processo di valutazione dei rischi sono :

•

QUALITATIVO:

si propone di effettuare valutazioni soggettive tra il team tramite questionari, interviste, sondaggi; è di semplice utilizzo ma non fornisce risultati attendibili in quanto è un metodo appunto oggettivo.

•

QUANTITATIVO:

si occupa di misurare le grandezze necessarie per la valutazione dei rischi attraverso l’uso di indici; a differenza del primo, è un po’ più complicato da utilizzare in quanto necessita di molte valutazioni numeriche, ma ha il vantaggio di essere molto preciso.

•

IBRIDO:

è una combinazione degli approcci precedenti, che generalmente utilizza gli strumenti dell’approccio qualitativo per identificare le possibili aree di rischio, mentre utilizza quelli quantitativi per stimare la perdita associata ad ogni rischio individuato.

Figura 1.3: schematizzazione degli approcci utilizzati dall’Information Security Risk Management.

(10)

1.1.1 Approccio qualitativo

E’ un metodo di analisi semplice, flessibile, comprensibile e di facile applicazione; non fa uso di valutazioni monetarie e non necessita di quantificare la frequenza degli attacchi. La valutazione avviene in modo soggettivo: vengono intervistati coloro che lavorano direttamente con gli asset.

Per ogni asset, minaccia e rischio viene fornito un giudizio espresso con una scala del tipo basso-medio-alto; una volta raccolte le informazioni, il team trae le proprie conclusioni stabilendo se intervenire o meno.

Uno degli strumenti più comuni per la raccolta delle informazioni è la matrice di rischio (Risk matrix). Un tipo di matrice mette in relazione il valore di ogni asset ed il rischio ad essa associato:

Figura 1.4: Esempio di matrice di rischio (Risk Matrix).

Quelle scritte di seguito sono le tecniche utilizzate nell’approccio qualitativo per la raccolta delle informazioni;

•

Metodo Delphi

: un gruppo di persone viene chiamato ad esprimere, in maniera anonima ed individuale, il proprio giudizio circa l’impatto che una minaccia potrà avere su un certo asset; i vari componenti, presa visione dei giudizi, convergono ad un unico risultato finale.

(11)

•

Brainstorming:

un gruppo di persone deve dare, per iscritto, il proprio parere circa le possibili minacce sul sistema; lo scopo è individuare il maggior numero possibile di scenari.

•

Story Boarding:

il leader di un gruppo costruisce uno scenario di attacco base e tutti i partecipanti devono ampliarlo, evidenziando il maggior numero di rischi possibile.

•

Interviste ad esperti:

vengono intervistati esperti esterni e interni; tra i risultati vengono selezionati quelli comuni;

•

Tecnica di Nominal Group:

ogni membro del gruppo scrive quali sono, per lui, le minacce più rilevanti; a turno vengono lette tutte le voci in lista e ognuno cerca di modificare il contenuto della propria in linea con quella degli altri.

•

Affinity diagram:

il leader di un gruppo scrive un rischio su un foglio; gli altri aggiungono gli effetti e le conseguenze di tale minaccia.

(12)

1.1.2 Approccio quantitativo

Questo approccio è di tipo oggettivo e si propone di fare delle valutazioni numeriche sulle risorse, sulla frequenza delle minacce, sull’impatto, le perdite, l’efficacia e il costo delle contromisure. La difficoltà di questo metodo sta nel fatto che è complicato fare le valutazioni corrette di quanto detto sopra; il vantaggio è che trattandosi di un metodo oggettivo è molto più affidabile rispetto all’approccio qualitativo. Un’altra caratteristica è che fa uso di particolari indici per effettuare le previsioni.

1.1.2.1 Indici

Servono per calcolare le stime sulla frequenza degli attacchi, sull’impatto sui diversi asset, sulla quantità di complici e sulle perdite attese; gli indici utilizzati sono discussi di seguito.

FATTORE DI COLLUSIONE (FC)

Questo indice rappresenta, in misura percentuale, la quantità di complici necessari per portare a termine con maggior probabilità di successo un attacco.

Questo indice verrà utilizzato nella doppia visione difensore VS attaccante con lo scopo di capire in quale misura questo incrementi il rischio d’esposizione ad una particolare minaccia per quanto riguarda la prima visione, e per comprendere quali vantaggi economici comporta per l’attaccante nella seconda.

• Un FC pari allo 0% indica che, quasi sicuramente, nell’attacco non sono coinvolti complici;

• valori bassi di FC, compresi tra l’1% e il 30% indicano che è coinvolto nell’attacco un piccolo numero di persone;

• valori medi di FC, compresi tra il 31% e il 60% indicano che è coinvolto nell’attacco un numero medio di persone;

• valori alti di FC, compresi tra il 61% e il 90% indicano che è coinvolto nell’attacco un numero cospicuo di persone;

• valori di FC molto alti, compresi tra il 91% e il 99% indicano che sono

(13)

coinvolti nell’attacco un numero molto elevato di persone;

• un FC del 100% non è mai utilizzato in pratica perché dovrebbe rappresentare un numero infinito di persone.

Valori tipici dell’FC sono quelli compresi tra lo 0% e il 70%; valori molto alti potrebbero essere usati in caso di attacchi da parte di terroristi internazionali, in cui non si conosce con esattezza il numero di corresponsabili, ma si sa che è molto alto. Per la stima di questo indice ci si serve di metodologie qualitative o dell’esperienza.

FATTORE D’ESPOSIZIONE (EF

_FC

)

Il fattore d’esposizione rappresenta l’impatto che può provocare un evento dannoso su una certa risorsa; esso è direttamente proporzionale al fattore di collusione, e può essere espresso come:

EF_FC = EF + FC – (EF * FC)

Dove EF rappresenta il livello d’esposizione al rischio a cui un particolare asset è soggetto, senza considerare la collusione.

Il motivo per cui il fattore d’esposizione cresce all’aumentare del fattore di collusione è che esistono degli attacchi per i quali, un attaccante ha scarse possibilità di successo senza la collusione con eventuali complici; facciamo un

esempio

:

Accedere ai locali di un’impresa, evadere la sorveglianza e riuscire a rubare il disco rigido da un computer aziendale per ottenere delle informazioni segrete è un crimine per il quale un attaccante da solo avrebbe scarse possibilità di successo;

quindi, si può affermare che vi sarebbe uno scarso fattore d’esposizione nei confronti di questo attacco. Se invece supponiamo che l’attaccante possa contare sulla complicità di altre persone, allora l’attacco diventa più fattibile per l’attaccante, aumentando il fattore d’esposizione per l’azienda; quindi possiamo dire che maggiore è il numero dei complici, ovvero degli attaccanti collusi, maggiore è la probabilità che l’attacco sia messo in atto e abbia successo, quindi maggiore è il fattore d’esposizione.

Quanto detto è in contrasto con il modello di attaccante alla

Dolev-Yao

citato

(14)

negli attacchi informatici ai protocolli crittografici, in base al quale ci si trova a doversi difendere da un unico attaccante superpotente in grado di tentare ogni possibile attacco: controllare la rete di comunicazione, osservare, eliminare o modificare i messaggi che viaggiano nella rete; in questo modello un insieme di agenti onesti comunica attraverso l’ambiente che è totalmente controllato da un attaccante; dal momento che l’attaccante ha il completo controllo dell’ambiente, possiamo affermare che l’attaccante si identifica con l’ambiente stesso. In questo contesto non ha senso parlare di collusione: non è infatti necessario assumere l’esistenza di attaccanti multipli poiché questi non hanno più abilità dell’ambiente.

Per questo motivo il modello Dolev-Yao non può essere usato in un contesto reale ma è pensabile solamente nel mondo virtuale, dove tutto è fatto di bit e non esistono barriere fisiche, mentre nel mondo reale vale sempre la regola “l’unione fa la forza”.

Vediamo qualche

esempio

per chiarire meglio l’influenza della collusione sul fattore di esposizione:

• Nel sistema IT di un’azienda, la minaccia “virus” presenta un EF dell’80% e un FC del 3%, il che significa che il livello d’esposizione al rischio virus è molto elevato e la presenza della collusione, essendo molto bassa, non influisce molto nell’attacco, quindi il fattore d’esposizione non subirà variazioni significative: EF_FC= 0,8+0,03 - (0,8 * 0,03)= 0,806 cioè circa 81%

• Se invece supponiamo che l’attacco “furto di informazioni riservate tramite accesso ai locali dell’impresa” abbia un EF pari a 35% e un FC del 40%, il fattore d’esposizione sarà pari a: EF_FC= 0,35 + 0,4 – (0,35 * 0,4)= 0,61 cioè 61%; in quest’esempio, vediamo come in un attacco con un basso livello d’esposizione, la presenza di un cospicuo tasso di collusione influisca molto sul fattore d’esposizione.

SINGLE LOSS EXPOSURE (SLE

_FC

)

Lo SLE rappresenta la perdita associata al successo dell’evento dannoso; di conseguenza si calcola moltiplicando il fattore d’esposizione (EF_FC) per il valore monetario della risorsa (AV); lo SLE, tenendo quindi conto della collusione, sarà:

SLE_FC= AV * EF_FC.

(15)

ANNUALIZED RATE OF OCCURRENCE (ARO)

Rappresenta la frequenza, ovvero il numero di volte che un particolare evento dannoso si verifica nell’arco di un anno.

ANNUALIZED LOSS EXPECTANCY (ALE)

Esprime la perdita annua attesa associata ad una specifica minaccia; quindi anche questa può essere espressa in funzione dell’FC: ALE= SLE_FC * ARO.

PERCENTUALE DI SUCCESSO DELLA CONTROMISURA (%SC)

Indica, in misura percentuale, il successo di una determinata contromisura nello scoraggiare un eventuale malintenzionato dal portare a termine l’attacco. La percentuale di successo di una contromisura è dipendente dalla presenza di collusione: infatti, una contromisura può avere un’alta percentuale di successo in presenza di un solo attaccante, mentre potrebbe essere meno efficace di fronte ad un insieme di attaccanti collusi.

Quindi distinguiamo i due casi:

• in assenza di collusione avremo %SC definita come la percentuale di successo della contromisura nei confronti di un singolo attaccante; possiamo inoltre affermare che una contromisura è efficace se per violarla servono costi elevati e un livello avanzato di competenze o conoscenze tecniche da parte dell’attaccante. Quindi possiamo dedurre che il successo di una contromisura dipende da queste due variabili: “costi” e “conoscenze”

dell’attaccante. Vediamo qualche

esempio

per capire meglio: consideriamo la contromisura “porta blindata”; abbiamo precedentemente detto che il suo successo dipende dai costi che l’attaccante deve sostenere e dalle competenze che egli deve possedere (maggiori sono i costi che devono essere sostenuti e maggiori le abilità richieste, minori sono le probabilità che l’attaccante tenti l’attacco e quindi maggiore sarà il successo della contromisura). Valutiamo costi e competenze assegnandovi valori compresi nell’intervallo [0, 1] (0= nessun costo/nessuna competenza o conoscenza, 1= costo molto elevato/altissime competenze o conoscenze): assegniamo

(16)

alla variabile “costi” il valore 0,6 (assumendo che per violare la porta blindata si necessita di attrezzatura speciale che ha dei costi sostenuti) e alla variabile

“competenze” il valore 0,35 (ipotizzando che non siano richieste elevate conoscenze tecniche per violare una porta blindata); a questo punto, possiamo calcolare la percentuale di successo della contromisura “porta blindata” semplicemente facendo una media aritmetica di queste due variabili:

%SC= media (costi, competenze)

= media (0.6, 0.35)= 48%.

Mentre, nel caso della contromisura “antivirus”, avremo: costi= 0.4, competenze= 0.9, quindi %SC= media (0.4, 0.9)= 65%.

• in presenza di collusione abbiamo %SC_C che si calcola in funzione del fattore di collusione come:

%SC

_C =

**%SC * (1 – FC)**

; il motivo per cui la percentuale di successo di una contromisura è inversamente proporzionale al fattore di collusione è che, come abbiamo detto prima, “l’unione fa la forza”, quindi maggiore è il numero degli attaccanti collusi, maggiori sono le probabilità che questi, unendo le loro forze, riescano a rendere inefficace la contromisura; continuando gli

esempi

di cui sopra, con un fattore di collusione pari al 25% avremo, per la porta blindata: %SC_C= 0.48 * (1 - 0.25)= 36%, e per l’antivirus: %SC_C= 0.65 * (1 - 0.25)= 49%.

RETURN ON A SECURITY INVESTMENT (ROSI)

Questo indice è utilizzato per calcolare la percentuale di guadagno risultante da un investimento in sicurezza, tenendo conto del successo della contromisura, della perdita annua causata dall’attacco cui la contromisura dovrebbe far fronte e del costo per implementare la contromisura stessa:

Facciamo degli

esempi

:

• In un’azienda il rischio di sabotaggio dei macchinari (il cui valore è pari a 100.000 €) da parte di aziende concorrenti presenta un fattore di collusione del 35% e un conseguente fattore d’esposizione del 90%, mentre l’ARO stimato è pari a 2. Calcoliamo lo SLE= AV * EF= 100.000 * 0,9=90.000 €

(17)

e l’ALE= SLE * ARO= 90.000 * 0,5= 45.000 €

Una contromisura adatta potrebbe essere l’installazione di un sistema di videosorveglianza, la quale ha un costo per l’azienda di 3.000 €.

Esaminiamone la percentuale di successo :

o Calcoliamo %SC in assenza di collusione: stimiamo innanzitutto i costi per violare il sistema pari a 0,8 e le competenze pari a 0,75;

quindi %SC= media(0.8, 0.75)= 78%.

o Nel nostro caso invece, cioè in presenza di collusione, dal momento che gli attaccanti collusi potrebbero escogitare qualcosa per evadere il controllo delle telecamere, l’efficacia della contromisura verrà diminuita; quindi abbiamo che %SC_C = %SC * (1 – FC) = 0,78 * (1 - 0,35)= 0,51 cioè 51%

A questo punto possiamo calcolare il ROSI della contromisura relativo all’attacco menzionato:

ROSI = (0,51 * 45.000 - 3.000) / (45.000 + 3.000) = 0,48 = 42%

• Se invece al posto del sistema di videosorveglianza si scegliesse di installare una porta blindata, con un costo per l’azienda di 3.500 €:

o %SC: costi= 0.6, competenze= 0.35; %SC= media (0.6, 0.35)= 48%

o %SC_C = 0,48 * (1 – 0,35)= 0,31 cioè 31%

ROSI = (0,31 * 45.000 - 3.500) / (45.000 + 3.500) = 0,22 = 22%

Dai calcoli effettuati emerge che per l’azienda l’investimento più conveniente è quello per il sistema di videosorveglianza dal momento che presenta il ROSI più alto.

(18)

PERCENTUALE DI SUCCESSO DELL’ATTACCANTE (%SA)

Indica, in misura percentuale, il successo o l’efficacia dell’attaccante nel violare la misura di sicurezza.

Il successo dell’attaccante nel violare la misura di sicurezza, può essere definito come l’insuccesso della misura di sicurezza stessa nello scoraggiare l’attacco; abbiamo precedentemente definito %SC come il successo della misura di sicurezza, adesso definiamo %SA, il successo dell’attaccante, che è pari a 1-%SC.

Di conseguenza, come abbiamo fatto prima, dobbiamo distinguere 2 casi:

• la percentuale di successo dell’attaccante in assenza di collusione:

%SA =1-%SC;

• la percentuale di successo di più attaccanti collusi: %SA_C =1-%SC_C.

PERCENTUALE DI RISCHIO PER L’ATTACCANTE COME CONSEGUENZA DELL’ATTACCO (%RA)

Questo indice, rappresenta in percentuale il rischio per l’attaccante o gli attaccanti di essere scoperti e puniti in seguito all’attacco. Il rischio associato alla possibilità di essere perseguiti e puniti secondo legge va a tutto favore delle frodi telematiche. Non solo, infatti, questo genere di reati sono trattati con minore severità, ma possono pure contare su una probabilità di individuazione degli autori estremamente bassa.

RETURN ON ATTACK (ROA)

Quest’ultimo indice rappresenta il guadagno percentuale atteso dall’attaccante da un attacco portato a termine con successo, tenendo conto della sua efficacia nel violare la misura di sicurezza e dei costi dell’attacco (i quali si compongono dei costi affrontati dall’attaccante per sfruttare la vulnerabilità e dei costi che egli dovrebbe affrontare nel caso venga scoperto):

(19)

Dove

costi PreAttacco

sono i costi che l’attaccante o gli attaccanti devono sostenere per mettere in atto l’attacco,

costi PostAttacco

sono i costi che gli attaccanti devono pagare in caso di fallimento dell’attacco e

guadagno cumulativo

rappresenta il ricavo dell’attacco, il quale verrà poi ripartito tra gli attaccanti in parti che dipendono dal ruolo che essi hanno avuto nell’attacco stesso.

Esempio

di calcolo del ROA:

• Supponiamo che, per un’attaccante, accedere ai locali di un’impresa per rubare dei piani strategici, gli fornisca un guadagno di 70.000 €.

Il costo stimato per attuare l’attacco è pari a 6.000 €, mentre il rischio di essere scoperto %RA = 60%; stimiamo il costo della pena da pagare in caso di fallimento pari a 10.000 €.

Il fattore di collusione stimato è del 15%; calcoliamo la percentuale di successo della contromisura porta blindata; per %SC si ha: costi= 0.6, competenze= 0.35 per cui

%SC

= 48%, mentre

%SC

_C = %SC * (1 – FC) = 0,48 * (1 – 0,15)= 0,41 cioè 41%; quindi %SA_C= 1- 0.41 = 0,59 = 59%, il ROA ottenuto sarà dunque:

• Lo stesso attacco con un fattore di collusione pari a 0 avrebbe avuto un ROA pari a:

ovvero un rendimento minore per l’attaccante.

(20)

1.1.3 Approccio Ibrido

Quest’ultimo approccio è una sorta di combinazione degli altri due visti precedentemente: infatti, fa uso di strumenti qualitativi per raccogliere le informazioni (identificare i vari rischi, calcolare la frequenza, l’impatto di un evento dannoso, i fattori d’esposizione e di collusione), e di strumenti qualitativi per le valutazioni monetarie; in poche parole, questo metodo cerca di unire i benefici dell’uno e dell’altro approccio.

(21)

Capitolo 2

Attack Trees

Gli attack trees rappresentano uno strumento qualitativo largamente utilizzato per l’individuazione degli scenari d’attacco: rappresentano e analizzano i vari modi attraverso i quali un sistema può essere sottoposto ad un attacco; grazie ad essi è possibile mettere in evidenza le vulnerabilità del sistema in questione in modo da poter individuare le contromisure necessarie a contrastare gli attacchi stessi.

2.1 Struttura degli attack trees

In questa sezione analizzeremo la struttura degli attack trees:

• La radice di un attack tree rappresenta l’obiettivo finale dell’attaccante, ad esempio: rubare dei dati riservati, compromettere il sistema informativo di un’impresa, violare un DB remoto;

• I vari nodi figli scompongono l’obiettivo in un insieme di mini obiettivi che rappresentano i vari modi con i quali è possibile raggiungere l’obiettivo finale, o la serie di passi che l’attaccante deve compiere per raggiungere il suo obiettivo.

Gli attack trees sono un tipo di alberi con una struttura del tipo AND/OR nella quale:

¾ I nodi AND rappresentano l’insieme di passi che l’attaccante deve compiere per arrivare all’obiettivo; nell’albero sono rappresentati da una linea orizzontale che taglia gli archi verso i nodi figli;

¾ I nodi OR rappresentano invece, i diversi modi tramite i quali si può raggiungere lo stesso obiettivo.

(22)

Figura 2.1: Struttura di un attack tree.

2.2 Creazione di un attack tree

Gli attack trees sono degli strumenti qualitativi utilizzati nel processo di Information Security Risk Management dopo lo studio delle caratteristiche del sistema, di individuazione delle minacce e delle vulnerabilità.

Adesso andiamo a vedere quali sono i passi da seguire per la creazione di un attack tree. La prima cosa da fare è individuare tutte le risorse, le quali rappresentano i possibili obiettivi, e per ognuna di essi creare un albero differente;

successivamente, in base alle minacce e vulnerabilità individuare, vengono creati i vari scenari d’attacco i quali verranno poi ampliati con i vari metodi tramite i quali è possibile raggiungere l’obiettivo.

Vediamo adesso un

esempio

nel quale analizziamo lo scenario che si potrebbe verificare in caso di sabotaggio del sistema IT di un’azienda.

(23)

Figura 2.2: Esempio di attack tree.

Come possiamo vedere dall’albero rappresentato, esistono due possibilità per sabotare il sistema IT dell’azienda: o agire fisicamente sul sistema o tramite un attacco informatico dalla rete; nel primo caso, l’attaccante deve entrare nei locali dell’impresa (superando i sistemi d’allarme, passando in controllo delle guardie e superando la porta di sicurezza) e danneggiare i macchinari; nel secondo caso, l’attaccante può lanciare un attacco DoS oppure iniettare un virus.

Dopo aver creato l’attack tree, si procede all’

etichettatura

dello stesso con lo scopo di aggiungere maggiore semantica allo scenario; in questo modo, infatti, sarà possibile valutare quali attacchi avranno più probabilità di verificarsi e quali no.

Esempi di etichette possono essere rappresentate dal costo associato all’attacco, la percentuale di successo, l’utilizzo di attrezzature speciali, ecc.

Procediamo all’etichettatura del nostro attack tree aggiungendo le etichette AS e SAS per indicare rispettivamente, “attrezzature speciali” e “senza attrezzature speciali”.

(24)

Figura 2.3: Esempio di etichettatura dell’attack tree con l’attrezzatura utilizzata dall’attaccante: AS (attrezzature speciali), SAS (senza attrezzature speciali).

Si inizia ad etichettare l’albero dalle foglie; nel nostro esempio, etichettiamo la foglia “Superare i sistemi d’allarme” con AS in quanto è pensabile che questa operazione richieda attrezzature speciali; la stessa cosa vale per la foglia “Superare la porta di sicurezza”. Per quanto riguarda invece “Passare il controllo delle guardie”, etichettiamo questa foglia con SAS perché questa operazione non richiede attrezzature speciali. Passiamo adesso all’etichettatura del nodo AND “Entrare nei locali aziendali”: riguardo a ciò possiamo affermare che, dal momento che almeno un figlio di tale nodo richiede attrezzature speciali, e dovendo essere eseguite tutte e tre le operazioni, il nodo padre deve essere etichettato con AS, ovvero “Entrare nei locali aziendali” richiede attrezzature speciali. Se si fosse invece trattato di un nodo OR, avremmo etichettato il padre con SAS, perché almeno uno dei figli è etichettato SAS. Quindi, in generale si ha:

nodo Almeno un figlio Padre

AND AS AS

OR SAS SAS

(25)

nodo Tutti i figli Padre

AND SAS SAS

OR AS AS

Tabella 2.1: Etichette dei nodi padre.

Grazie a questo tipo di etichetta è possibile stabilire quali attacchi possono essere attuati da chiunque e quali, invece, richiedono dei requisiti particolari.

Un altro tipo di etichetta che viene molto utilizzata è rappresentata dal

costo

che l’attaccante deve sostenere:

Figura 2.4: Esempio di etichettatura dell’attack tree con il costo che l’attaccante deve sostenere.

Anche per il costo, si procede all’etichettatura dalle foglie in su; dopo aver etichettato tutte le foglie, si etichettano i nodi padre in base al tipo: l’etichetta di un nodo AND è data dalla somma dei costi dei nodi figli, mentre l’etichetta di un nodo OR è data dal costo più piccolo dei nodi figli.

Nell’esempio, entrare nei locali aziendali ha un costo pari a 9.000 € che è dato

(26)

dalla somma dei costi dei nodi figli (superare i sistemi d’allarme, passare il controllo delle guardie e superare la porta di sicurezza); mentre, si è assegnato il valore 150 € al nodo “sabotaggio remoto”, in quanto 150 € è il minor costo corrispondente a

“iniezione virus”.

L’ultimo esempio di etichetta proposto è rappresentato dalle

conoscenze

richieste per portare a termine l’attacco con successo ([1…5] 1= minime, 5=

approfondite):

Figura 2.5: Esempio di etichettatura dell’attack tree con le conoscenze richieste.

Come per i casi precedenti, si procede con l’etichettatura a ritroso dalle foglie alla radice; i nodi AND si etichettano con il valore più grande tra i figli, mentre i nodi OR con quello più piccolo.

Grazie all’uso di etichette è possibile avere maggiori informazioni sull’attacco ed è altresì possibile stabilire il tipo di nemici da cui difendersi: se ad esempio si teme l’attacco di un ladro qualsiasi, è molto probabile che questi scelga la strada per

(27)

se invece si temono attacchi da parte della concorrenza, ci si possono aspettare anche attacchi che richiedono costi sostenuti e conoscenze approfondite.

Figura 2.6: Strategia d’attacco che richiede costi minori.

Figura 2.7: Strategia d’attacco che richiede minori competenze.

(28)

Capitolo 3

Utilizzo degli indici quantitativi sugli attack trees

In questa sezione vedremo l’utilizzo degli attack trees come metodo quantitativo grazie all’utilizzo degli indici quantitativi discussi in precedenza; in particolare analizzeremo l’utilizzo degli attack trees in una doppia visione Difensore contro Attaccante.

3.1 Visione del difensore

La visione del difensore, dal punto di vista dell’impresa, permette di determinare i diversi scenari d’attacco a cui è soggetto il sistema IT, in modo da stabilire le contromisure più efficaci per fronteggiarli. Di seguito vedremo anche quali conseguenze ha la presenza di collusione nell’ambito di questa visione, conseguenze che saranno sicuramente negative per l’impresa.

A tal scopo, ci serviamo degli indici quantitativi definiti in precedenza:

Asset Value (AV)

: valore monetario dell’asset;

Fattore di Collusione (FC)

: indica la percentuale di complicità presente in un determinato attacco e viene stimato con metodi qualitativi in base al tipo d’attacco che viene analizzato;

Exposure Factor (EF)

: livello d’esposizione di una risorsa ad un attacco;

Exposure Factor in funzione della collusione (EF

_FC

):

fattore d’esposizione in funzione del fattore di collusione:

EFFC = EF + FC – (EF * FC) ;

(29)

Annualized Rate of Occurrence (ARO)

: frequenza con cui un evento dannoso si verifica nell’arco di un anno;

Single Loss Exposure (SLE

_FC

):

perdita derivante da una singola esposizione all’attacco relativamente al fattore di collusione: SLE_FC= AV * EF_FC

Annualized Loss Expectancy (ALE):

perdita annua attesa derivante da un attacco e dal relativo fattore di collusione: ALE=

SLE_FC * ARO.

Per gli attacchi formati da una serie di nodi OR, il calcolo dell’EF_FC, SLE_FC e dell’ALE dipende dai valori di EF, FC e ARO associati al nodo stesso, mentre nel caso di attacchi formati da nodi AND, si trasforma l’albero in forma normale disgiunta e si calcolano i valori della congiunzione che verranno rappresentati sul solo nodo AND.

Figura 3.1: Etichettatura dell’attack tree con gli indici.

(30)

Vediamo ora un esempio di scenario d’attacco:

“Furto dei dati di un’impresa memorizzati all’interno di un server”.

Figura 3.2: Scenario d’attacco base.

Un attaccante potrebbe agire in due modi: rubare i dati memorizzati all’interno del server o rubare fisicamente la macchina server; ampliamo entrambi gli scenari:

Nel caso di furto dei dati:

Figura 3.3: Scenario d’attacco nel caso di furto dei dati memorizzati.

(31)

Nel caso di furto del server:

Figura 3.4: Scenario d’attacco nel caso di furto del server.

Trasformiamo l’attack tree in forma normale disgiunta per poter calcolare gli indici del nodo and:

Figura 3.5: Attack tree della figura 3.4 trasformato in forma normale disgiunta.

(32)

Procediamo con il calcolo degli indici per ogni strategia d’attacco ipotizzando che il valore del server (AV), più le informazioni in esso contenute, è stimato pari a

100.000 €:

Attacco EF FC EF_FC ARO SLE ALE 1) Furto dei dati memorizzati grazie

ai permessi rubati ad un utente con diritti di root

80% 5% 81% 0,09 81.000 € 7.290 €

2) Furto dei dati memorizzati grazie ai permessi ottenuti corrompendo un utente con diritti di root

70% 3% 71% 0,09 71.000 € 6.390 €

3) Furto dei dati memorizzati grazie al possesso dei permessi di root

90% 0% 90% 0,40 90.000 € 36.000 €

4) Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del DB online

85% 25% 89% 0,08 89.000 € 7.120 €

5) Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del server di posta

82% 25% 86% 0,68 86.000 € 58.480 €

6) Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server sfondando la porta e uscendo inosservati dal palazzo

40% 35% 61% 0,10 61.000 € 6.100 €

7) Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server, aprire la porta con le chiavi e uscendo inosservati dal palazzo

40% 37% 62% 0,10 62.000 € 6.200 €

Tabella 3.1: Valori delle etichette.

(33)

Vediamo un po’ più in dettaglio come abbiamo valutato il fattore di collusione: nel caso dell’attacco 1, “furto dei dati memorizzati grazie ai permessi rubati ad un utente con diritti di root”, stimiamo un fattore di collusione basso, del 5%, in quanto l’attacco è relativamente semplice e non richiede la presenza di molti complici.

Per quanto riguarda l’attacco 2, abbiamo stimato la collusione pari al 3% in quanto per mettere in atto questo attacco, l’attaccante necessita solo della complicità della vittima per ottenere i permessi.

Nel caso dell’attacco 3, abbiamo calcolato FC = 0% perché dal momento in cui è l’attaccante stesso a possedere i permessi, non serve la complicità di nessun altro.

Per quanto riguarda gli attacchi 4 e 5, l’attaccante potrebbe ingaggiare degli hackers che siano in grado di sferrare degli attacchi remoti, per cui assegniamo a FC un valore del 25%.

Nell’attacco 6, l’attaccante ha sicuramente bisogno di più complici per portare a termine l’attacco: ha certamente bisogno di qualcuno che gli permetta di entrare e uscire inosservato e di qualcuno che gli permetta di evadere i controlli presenti, quindi in questo caso abbiamo stimato un FC medio, pari al 35%.

Infine, l’attacco 7, similmente al 6 necessita di un elevato fattore di collusione:

entrare e uscire inosservati, ottenere le chiavi per aprire la porta ed evadere tutti i controlli… infatti, il fattore di collusione stimato è del 37%.

Andiamo adesso a scoprire quali sono le

contromisure

più appropriate per ogni strategia d’attacco.

(34)

Nel caso di furto di dati:

Figura 3.6: Individuazione delle contromisure per il furto di dati.

(35)

E nel caso di furto della macchina server:

Figura 3.7: Individuazione delle contromisure per il furto del server.

Dopo aver identificato tutte le possibili contromisure, si procede con

l’etichettatura

di queste ultime, in modo da stabilire la contromisura che riesce a mitigare il più possibile il livello di rischio.

Per far ciò ci serviamo delle seguenti etichette:

 %SC_C: indica il successo della contromisura nello scoraggiare l’attacco in presenza di collusione e si calcola come: %SC C = %SC * (1 – FC) dove %SC rappresenta il successo che avrebbe la contromisura in assenza di collusione e come detto in precedenza si calcola in funzione di due variabili: costo che l’attaccante deve sostenere per violare la contromisura e competenze necessarie; dopo aver stimato queste variabili, %SC si calcola come la media (costi, competenze).

Costo contromisura:

indica il costo da sostenere per l’implementazione della contromisura;

(36)

ROSI

(Return On Security Investment): è espresso in forma percentuale e permette di individuare le contromisure che riescono a mitigare gli effetti di un attacco nella maniera più economica possibile, tenendo conto dell’efficacia della contromisura, della perdita annuale che comporta l’attacco e del costo che l’azienda deve sostenere per implementare la contromisura in questione:

Vediamo invece come calcolare il ROSI in base ai tipi di nodi:

o Nel caso di nodi OR, il ROSI viene calcolato per ogni contromisura;

o Nel caso di nodi AND, bisogna calcolare il ROSI delle diverse combinazioni di contromisure.

Figura 3.8: Etichettatura delle contromisure.

(37)

Procediamo ora col calcolo delle etichette per ogni contromisura.

•

Attacco 1:

Furto dei dati memorizzati grazie ai permessi rubati ad un utente con diritti di root (ALE= 7.290 €, FC= 5%).

Contromisure Costi attaccante

Compe_

tenze attaccante

%SC %SCC Costo ROSI

Cambiare la password periodicamente

0.25 0.75 50% 48% 500 € 39%

Disconnettere il PC dopo l’uso

0.05 0.15 10% 9% 100 € 7%

Aggiungere un token per il riconoscimento

0.85 0.95 90% 85% 3.000 € 31%

Distribuire le responsabilità tra più utenti

0.70 0.50 60% 57% 15.000 € -48%

Tabella 3.2: Etichettatura delle contromisure per l’attacco 1.

•

Attacco 2:

Furto dei dati memorizzati grazie ai permessi ottenuti corrompendo un utente con diritti di root (ALE=6.390 €, FC= 3%).

(38)

Compe_

0.25 0.75 50% 49% 500 € 38%

Distribuire la responsabilità tra più utenti

0.70 0.50 60% 58% 15.000 € -53%

Aggiungere un token per il riconoscimento

0.85 0.95 90% 87% 3.000 € 27%

Motivare il

personale 0.95 0.20 58% 56% 2.000 € 19%

•

Attacco 3:

Furto dei dati memorizzati grazie al possesso dei permessi di root (ALE= 36.000 €, FC=0).

Compe_

Motivare il

personale 0.95 0.20 58% 58% 2.000 € 50%

Distribuire la responsabilità tra più utenti

0.70 0.50 60% 60% 15.000 € 13%

(39)

•

Attacco 4:

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del DB online (ALE=7.120 €, FC= 25%).

Compe_

Aggiornare il sistema

periodicamente

0.50 0.85 68% 51% 2.500 € 12%

Controllare la validità degli script

0.50 0.90 70% 52% 1.300 € 28%

Separare i contenuti sui server

0.35 0.85 60% 45% 5.000 € -15%

•

Attacco 5:

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del server di posta (ALE=58.480 €, FC= 25%).

Competenze attaccante

Utilizzare un software antivirus

0.60 1.00 80% 60% 2.000 € 58%

Pre-configurare i

client di posta 0.20 0.50 35% 26% 1.000 € 24%

(40)

•

Attacco 6:

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server sfondando la porta e uscendo inosservati dal palazzo (ALE=6.100 €, FC= 35%).

1° Combinazione:

%SC %SCC Costo

Installare telecamere

0.65 0.80 73% 47% 1.800 €

Installare una porta blindata

0.60 0.35 48% 31% 1.300 €

Tabella 3.7: Etichettatura della prima combinazione di contromisure per l’attacco 6.

Per calcolare il ROSI di queste 2 contromisure, bisogna innanzitutto calcolare la percentuale di successo dell’unione delle due:

%SCCtot=%SCC1+%SCC2 – (%SCC1 * %SCC2) = 0,47+0,31 – (0,47 * 0,31)= 63%

e in seguito calcolare il costo totale:

Costotot= costo1 + costo2= 1.300 + 1.800 = 3.100 € Quindi, il ROSI sarà:

2° Combinazione:

Assumere un agente

all’ingresso

0.90 0.80 85% 55% 12.000 €

0.60 0.35 48% 31% 1.300 €

(41)

Calcoliamo la percentuale di successo dell’unione:

%SC_Ctot=%SC_C1+%SC_C2 – (%SC_C1 * %SC_C2) = 0,55+0,31 – (0,55 * 0,31) =69%

e il costo totale:

Costo_tot= costo₁ + costo₂= 12.000 + 1.800 = 13.300 € Quindi, il ROSI sarà:

Quindi possiamo dedurre che conviene implementare la 1° combinazione di contromisure.

•

Attacco 7:

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server, aprire la porta con le chiavi e uscendo inosservati dal palazzo (ALE=6.200 €, FC= 37%).

1° Combinazione:

Installare telecamere

0.65 0.80 73% 46% 1.800 €

Utilizzare una serratura con tessera magnetica

0.90 0.95 93% 58% 2.000 €

Tabella 3.9: Etichettatura della prima combinazione di contromisure per l’attacco 7.

e il costo totale:

Costo_tot= costo₁ + costo₂= 1.800 + 2.000 = 3.800 €

(42)

Quindi, il ROSI sarà:

2° Combinazione:

%SC %SC_C Costo

Assumere un agente

all’ingresso 0.90 0.80 85% 54% 12.000 €

0.90 0.95 93% 58% 2.000 €

Tabella 3.10: Etichettatura della seconda combinazione di contromisure per l’attacco 7.

e il costo totale:

Costo_tot= costo₁ + costo₂= 12.000 + 2.000 = 14.000 € Quindi, il ROSI sarà:

quindi possiamo affermare che anche qui conviene implementare la 1°

combinazione di contromisure.

(43)

A questo punto, siamo in grado di selezionare, per ogni attacco, la contromisura migliore in termini di efficienza e costo: ovvero quella che presenta il ROSI più elevato:

Attacco Contromisura selezionata ROSI

Furto dei dati memorizzati grazie ai permessi

rubati ad un utente con diritti di root Cambiare la password

periodicamente 39%

Furto dei dati memorizzati grazie ai permessi ottenuti corrompendo un utente con diritti di root

Cambiare la password

periodicamente 38%

Furto dei dati memorizzati grazie al possesso

dei permessi di root Motivare il personale 50%

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del DB online

Controllare la validità degli

script 28%

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità del server di posta

Utilizzare un software

antivirus 58%

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server sfondando la porta e uscendo inosservati dal palazzo

Installare telecamere +

8%

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server, aprire la porta con le chiavi e uscendo inosservati dal palazzo

10%

Tabella 3.11: ROSI per ogni strategia d’attacco.

Le contromisure sopra elencate sono quelle che l’azienda adotterà, in quanto è emerso dall’analisi dei rischi essere quelle che riescono nel miglior modo e il più economico possibile a scoraggiare un attaccante.

(44)

3.2 Visione dell’attaccante

In questa sezione, mettendoci nei panni dell’attaccante, ci proponiamo di stabilire quale attacco è più vantaggioso in termini di guadagno, tenendo conto della sua efficacia nel violare la misura di sicurezza e dei costi sostenuti per portare a termine l’attacco; l’albero utilizzato in questa visione è lo stesso usato dal difensore, cioè l’impresa, con l’unica differenza delle etichette, che in questo caso sono:

• Il

guadagno

(gain) atteso da un attacco portato a termine con successo;

• Il

costo

associato ad ogni attacco che l’attaccante o gli attaccanti collusi devono sostenere;

Vediamo come si ottiene il costo in base al tipo di nodi:

¾ Per i nodi OR, il costo è dato dal costo associato alla foglia;

¾ Per i nodi AND, il costo complessivo è dato dalla somma dei costi associati ai nodi che lo compongono.

Figura 3.9: Etichettatura dell’attack tree con i costi per l’attaccante.

(45)

• Il

rischio

(%RA) per gli attaccanti di essere sorpresi nell’attacco; per calcolare questo indicatore sull’albero, nel caso di nodi OR, il valore di %RA è quello associato al nodo stesso, mentre nel caso di nodi AND, si deve trasformare l’albero in forma normale disgiunta e calcolare il valore %RA della congiunzione (come nel caso dell’EF, FC, ALE, ARO e SLE).

Procediamo adesso all’etichettatura delle

contromisure

, la quale ha lo scopo di valutare quale strategia d’attacco è più vantaggiosa per l’attaccante.

Le etichette che utilizzeremo per questo scopo sono:

•

%SA

: il successo dell’attaccante nel violare la contromisura in assenza di collusione: %SA = 1 - %SC;

•

%SA

_C: l’efficacia di più attaccanti collusi: %SA_C = 1- %SC_C .

•

ROA

(Return On Attack), il rendimento per l’attaccante tenendo conto dell’efficacia dell’attaccante (o inefficacia della contromisura):

Anche il calcolo del ROA, come per gli altri indici, varia in base al tipo di nodi:

Nel caso di nodi OR, si calcola il ROA per ogni contromisura presente;

Nel caso di nodi AND, si calcola il ROA delle varie combinazioni delle contromisure.

(46)

Figura 3.10: Etichettatura delle contromisure per l’attack tree dell’attaccante.

A questo punto, l’attaccante deve etichettare tutte le possibili contromisure (supponendo che per egli il guadagno sia stimato pari a 30.000 €):

Attacco CostoPre CostoPost %RA FC Contromisure %SC_C %SA_C ROA 1 ^{3.000 €} ^{7.000 €} ^15% 5% Cambiare la

password periodicamente Disconnettere il PCdopo l’uso Aggiungere un token per il riconoscimento Distribuire le responsabilità tra più utenti

48%

9%

85%

57%

52%

91%

15%

43%

37%

71%

4%

29%

(47)

2 ^{7.000 €} ^{10.000 €} ^22% 3% Cambiare la password periodicamente Distribuire le responsabilità tra più utenti Aggiungere un token per il riconoscimento Motivare il personale

49%

58%

87%

56%

51%

42%

13%

44%

21%

14%

-8%

16%

3 ^{1.500 €} ^{12.000 €} ^5% 0% Motivare il personale Distribuire le responsabilità tra più utenti

58%

60%

42%

40%

35%

33%

4 ^{2.000 €} ^{5.000 €} ^10% 25% Aggiornare il sistema

periodicamente Controllare la validità degli Script

Separare i contenuti sui server

51%

52%

45%

49%

48%

55%

39%

38%

45%

5 ^{1.000 €} ^{5.000 €} ^10% 25% Utilizzare un sw antivirus Preconfigurare i client di posta

60%

26%

40%

74%

35%

67%

6 ^{4.500 €} ^{10.000 €} ^65% 35% Installare telecamere + Installare una porta blindata Assumere un agente

all’ingresso

47%

31%

55%

53%

69%

45%

28%

39%

34%

22%

(48)

+ Installare una porta

blindata

31% 69% 39%

31%

7 ^{5.000 €} ^{10.000 €} ^60% 37% Installare telecamere + Utilizzare una serratura con tessera

magnetica Assumere un agente

all’ingresso +

46%

58%

54%

58%

54%

42%

46%

42%

27%

18%

23%

21%

18%

20%

3.12: Etichettatura delle contromisure per la visione dell’attaccante.

Dalla tabella emerge che gli attacchi telematici sono meno costosi e presentano una percentuale di rischio per l’attaccante nettamente minore rispetto agli attacchi fisici.

Poiché l’attaccante non può sapere quale di queste contromisure verrà adottata dall’impresa, si prende sempre in considerazione il caso peggiore: ovvero la contromisura che presenta il ROA più piccolo:

Attacco ROA Furto dei dati memorizzati grazie ai permessi rubati ad un utente con diritti di root 4%

-8%

Furto dei dati memorizzati grazie al possesso dei permessi di root 33%

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità

del DB online 39%

(49)

Furto dei dati memorizzati attraverso un attacco remoto che sfrutti una vulnerabilità

del server di posta 35%

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server sfondando la porta e uscendo inosservati dal palazzo 31%

Rubare la macchina server entrando nei locali dell’impresa, entrando nella stanza dei server, aprire la porta con le chiavi e uscendo inosservati dal palazzo 20%

Tabella 3.13: ROA per ogni strategia d’attacco.

Grazie all’utilizzo di questa doppia visione, è possibile dedurre quali attacchi saranno più probabilmente portati a termine (quelli con il ROA più elevato) e quali contromisure riescono meglio a mitigare i rischi e l’impatto degli attacchi stessi (quelle con il ROSI più alto):

Attacco Contromisura ROSI

Furto dei dati memorizzati attraverso un attacco

remoto che sfrutti una vulnerabilità del server di posta Utilizzare un software

antivirus 58%

Furto dei dati memorizzati grazie al possesso dei

permessi di root Motivare il personale 50%

Furto dei dati memorizzati grazie ai permessi rubati ad

un utente con diritti di root Cambiare la password

periodicamente 39%

38%

Furto dei dati memorizzati attraverso un attacco

remoto che sfrutti una vulnerabilità del DB online Controllare la validità

degli script 28%

Furto della macchina server entrando nei locali dell’impresa, entrando nella stanza dei server, aprire la porta con le chiavi e uscendo inosservati dal palazzo

10%

Furto della macchina server entrando nei locali dell’impresa, entrando nella stanza dei server

sfondando la porta e uscendo inosservati dal palazzo

8%

Tabella 3.14: Visione dell’impresa.