A risk analysis methodology for modern networks

Abstract

Τα τελευταία χρόνια, οργανισμοί και επιχειρήσεις ανά τον κόσμο αντιλαμβάνονται την ανάγκη υιοθέτησης κάποιου προγράμματος διαχείρισης επικινδυνότητας προκειμένου να ενισχύσουν την ασφάλεια των πληροφοριακών τους συστημάτων. Ωστόσο, η πλειοψηφία των ποιοτικών/εμπειρικών μεθόδων δεν είναι συμβατές με το πρότυπο ISO-27005, το οποίο περιγράφει όλες τις διαδικασίες που πρέπει να ακολουθούνται κατά την διαχείριση της επικινδυνότητας και μελετάνε τις απειλές μόνο σε υψηλό επίπεδο, αγνοώντας σημαντικές παραμέτρους σχετικές με την κάθε απειλή. Στην παρούσα εργασία, αφού γίνεται εκτενή αναφορά στην σχετική με την ανάλυση επικινδυνότητας, αλλά και εκτίμηση ασφάλειας γενικότερα, βιβλιογραφία προτείνετε μια ποσοτική μεθοδολογία ανάλυσης επικινδυνότητας για εσκεμμένες απειλές. Η προτεινόμενη προσέγγιση ακολουθεί τα βήματα που προτείνονται από το πρότυπο ISO 27005, επεκτείνοντας τα προκειμένου να εστιάσουν στις εσκεμμένες απειλές κα τα διαφορετικά επεισόδια ασφάλειας που τις πραγματοποιούν. Η προσέγγιση που προτείνετε έχει τρία διακριτά επίπεδα: Το επίπεδο της εννοιολογικής θεμελίωσης, το επίπεδο των εργαλείων μοντελοποίησης και το επίπεδο της μαθηματικής θεμελίωσης. Το επίπεδο της εννοιολογικής θεμελίωσης ορίζει και αναλύει τις εμπλεκόμενες έννοιες χρησιμοποιώντας τα διαγράμματα κλάσεων της Unified Modeling Language (UML). Το επίπεδο των εργαλείων μοντελοποίησης εισάγει συγκεκριμένα εργαλεία, τα οποία βοηθάνε στην μαθηματική μοντελοποίηση των σχέσεων των διαφορετικών εννοιών. Το επίπεδο της μαθηματικής θεμελίωσης περιλαμβάνει όλες τις μαθηματικές συναρτήσεις και τεχνικές που χρησιμοποιούνται για τον υπολογισμό των τιμών επικινδυνότητας της κάθε απειλής. Επιπροσθέτως, η εργασία εφαρμόζει τη μεθοδολογία στο GPRS, το οποίο αποτελεί ένα καλά μελετημένο αλλά ταυτόχρονα περίπλοκο σύστημα, και πιο συγκεκριμένα μελετάει την υποκλοπή των δεδομένων του χρήστη στο ασύρματο μέσο, η οποία θεωρείται μια από τις πιο σημαντικές απειλές της ασφάλειας του GPRS.