Risk Management - Catalogo minacce introduzione

Page 1

RISK MANAGEMENT – IDENTIFICAZIONE DELLE MINACCE INTRODUZIONE Roberto DE SORTIS roberto.desortis@bl4ckswan.com

22/07/2017

Versione 1


TASSONOMIA DELLE MINACCE CONCETTI GENERALI Esistono diverse tassonomie utilizzate per indirizzare la metodologie di classificazione delle minacce. Le minacce

NATURALE

UMANA

ACCIDENTALE

DELIBERATA

possono avere origine naturale od antropica e può avere cause accidentali o deliberate. Tutte le tipologie di minacce devono essere chiaramente identificate e valutate considerando altresì che le fonti delle minacce possono essere interne od esterne all’organizzazione e dipendono dal contesto in cui l’azienda opera.

AMBIENTE ESTERNO

AMBIENTE INTERNO

ORGANIZZAZIONE © BL4CKSWAN S.r.l. – IDENTIFICAZIONE MINACCE

PAG 2


CATALOGO MINACCE INTRODUZIONE Il catalogo delle minacce (Threats Catalog) rappresenta un elenco di eventi che possono, a vario titolo e sotto determinate circostanze, compromettere il patrimonio informativo aziendale e rappresenta una delle prime attività necessarie per identificare e definire i criteri di rischio.

FONTI DELLA MINACCIA

ATTUA

MINACCIA

SFRUTTANDO

VULNERABILITA’

CAUSA

IMPATTO AVVERSO

In letteratura esistono diversi cataloghi, che identificano le minacce in maniera più o meno puntuale o aggregata in base allo standard o al framework di analisi per cui sono finalizzati. A titolo meramente esemplificativo possono essere citati le seguenti fonti (lista non esaustiva):

NIST SP 800-30

ISO 27005 42 minacce raccolte in 8 macro categorie - fonti

32 minacce raccolte in 5 macro categorie - fonti

MAGERIT 179 minacce raccolte in 4 macro categorie - fonti

MICROSOFT THREAT MODEL 36 minacce focalizzate in ambito ICT

Nota: il processo di identificazione delle minacce si dovrebbe basare sull’analisi e integrazione delle serie storiche degli incidenti che effettivamente hanno interessato l’organizzazione.

© BL4CKSWAN S.r.l. – IDENTIFICAZIONE MINACCE

PAG 3


FONTI DELLA MINACCIA HUMAN In particolare per quanto riguarda le minacce perpetrate da attori umani queste possono essere caratterizzati dai seguenti fattori: • l'intento;

FONTI Hacker, cracker

Computer criminal

• Le capacità tecniche; • Il metodo utilizzati per lo sfruttamento di una vulnerabilità; • Condizioni abilitianti lo sfruttamento di una vulnerabilità.

Terrorist

MOTIVAZIONI

Challenge Ego Rebellion Status Money Destruction of information Illegal information disclosure Monetary gain Unauthorized data alteration Blackmail Destruction Exploitation Revenge Political Gain Media Coverage

Hacking Social engineering System intrusion, break-ins

POSSIBILI CONSEGUENZE

Unauthorized system access Computer crime (e.g. cyber stalking) Fraudulent act (e.g. replay, impersonation, interception) Information bribery • Spoofing System intrusion Bomb/Terrorism Information warfare System attack (e.g. distributed denial of service) System penetration • System tampering

Defence advantage Political advantage Economic exploitation Information theft Intrusion on personal privacy • Social engineering System penetration Unauthorized system access (access to classified, proprietary, and/or technology-related information) Assault on an employee Blackmail Browsing of proprietary information Computer abuse Fraud and theft Information bribery Curiosity Ego Intelligence Monetary Input of falsified, corrupted data gain Revenge Interception Malicious code (e.g. virus, logic bomb, Trojan horse) Sale of personal information • System bugs System intrusion System sabotage • Unauthorized system access

Industrial espionage (Intelligence, companies, Competitive advantage foreign governments, Economic espionage other government interests)

Insiders (poorly trained, disgruntled, malicious, negligent, dishonest, or terminated employees)

Fonte: ISO 27005 - Annex C

© BL4CKSWAN S.r.l. – IDENTIFICAZIONE MINACCE

PAG 4


CATALOGO MINACCE ISO 27005 – ANNEX C 42 MINACCE RACCOLTE IN 8 MACRO CATEGORIE - FONTI 5 EVENTI NATURALI Climatic phenomenon; Seismic phenomenon; Volcanic phenomenon; Meteorological phenomenon; Flood;

6

DANNI FISICI Fire; Water damage; Pollution; Major accident; Destruction of equipment or media; Dust, corrosion, freezing;

3

10

PERDITA DI SERVIZI ESSENZIALI

COMPROMISSIONE DELLE INFORMAZIONI

Failure of air-conditioning or water supply system; Loss of power supply; Failure of telecommunication equipment;

Interception of compromising interference signals; Eavesdropping; Theft of media or documents; Theft of equipment; Retrieval of recycled or discarded media; Disclosure; Data from untrustworthy sources; Tampering with hardware; Tampering with software;

3

DISTURBI DA RADIAZIONI Electromagnetic radiation; Thermal radiation; Electromagnetic pulses;

© BL4CKSWAN S.r.l. – IDENTIFICAZIONE MINACCE

5 GUASTI TECNICI Equipment failure Equipment malfunction Saturation of the information system Software malfunction Breach of information system maintainability

5

COMPROMISSIONE FUNZIONI Error in use Abuse of rights Forging of rights Denial of actions Breach of personnel availability

5

GUASTI TECNICI Unauthorised use of equipment Fraudulent copying of software Use of counterfeit or copied software Corruption of data Illegal processing of data

PAG 5


CATALOGO MINACCE - MAGERIT 179 MINACCE RACCOLTE IN 4 MACRO CATEGORIE - FONTI

15

39

35

90

EVENTI NATURALI

EVENTI DI ORIGINE INDUSTRIALE

ERRORI E AVARIE NON INTENZIONALI

ATTACCHI INTENZIONALI

Vengono identificate le principali minacce naturali come incendi, tempeste …

Vengono identificate le principali minacce di origine industriale come Inquinamento Meccanico, Interferenze elettromagnetiche, Interruzioni di servizi principali ed ausiliari ..

Vengono identificate le principali minacce di origine accidentale come errori lato utente, amministratore, fuga di informazioni, errori di manutenzione ,,,

Vengono identificate le principali minacce di origine intenzionale come diffusione di software malevolo, intercettazione delle informazioni, social engeneering …

Nota: l’analisi puntuale del catalogo minacce evidenzia una certa sovrapposizione delle voci nelle diverse macro categorie.

© BL4CKSWAN S.r.l. – IDENTIFICAZIONE MINACCE

PAG 6


www.bl4ckswan.com


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.