A model to quantitatively assess the security of organizations [Elektronische Ressource] = Ein Modell zur quantitativen Bewertung der Sicherheit von Organisationen / vorgelegt von (Oliver) Steffen Weiß

De
A model to quantitatively assess the security of organizations Ein Modell zur quantitativen Bewertung der Sicherheit von Organisationen Der Technischen Fakultät der Universität Erlangen-Nürnberg zur Erlangung des Grades D O K T O R – I N G E N I E U R vorgelegt von (Oliver) Steffen Weiß Erlangen – 2009 Als Dissertation genehmigt von der Technischen Fakultät der Universität Erlangen-Nürnberg Tag der Einreichung: 21. 11. 2008 Tag der Promotion: 20. 02. 2009 Dekan: Prof. Dr.-Ing. habil. Johannes Huber Berichterstatter: Prof. Dr. Klaus Meyer-Wegener, Prof. Dr. Felix Freiling Zusammenfassung Wegen der zunehmenden Bedrohungen und regulativen Anforderungen fragen viele Firmen nach angemessenen Maßnahmen gegen Sicherheitsvorfälle. Typischer Weise drücken sie das in Fragen wie „Macht es Sinn in X zu investieren?“ aus, wobei X eine Maßnahme ist, welche die Firma schützen kann. Auf den ersten Blick erscheint diese Frage relativ einfach zu beantworten, die tiefere Bedeutung des Wortes „angemessen“ ist aber nicht so einfach zu definieren. So sind die Mitarbeiter der Firma und speziell das Management normalerweise an geringen Kosten interessiert, um hohen Gewinn zu erzielen. Kosten, welche auf Sicherheitsmaßnahmen zurückzuführen sind, sind normalerweise besser sichtbar als Kosten welche durch Sicherheitsvorfälle entstehen.
Publié le : jeudi 1 janvier 2009
Lecture(s) : 29
Tags :
Source : WWW.OPUS.UB.UNI-ERLANGEN.DE/OPUS/VOLLTEXTE/2009/1264/PDF/STEFFENWEISSDISSERTATION.PDF
Nombre de pages : 448
Voir plus Voir moins



A model to
quantitatively assess
the security of organizations
Ein Modell zur
quantitativen Bewertung der
Sicherheit von Organisationen

Der Technischen Fakultät
der Universität Erlangen-Nürnberg
zur Erlangung des Grades

D O K T O R – I N G E N I E U R

vorgelegt von
(Oliver) Steffen Weiß
Erlangen – 2009










Als Dissertation genehmigt von
der Technischen Fakultät der
Universität Erlangen-Nürnberg

Tag der Einreichung: 21. 11. 2008
Tag der Promotion: 20. 02. 2009
Dekan: Prof. Dr.-Ing. habil. Johannes Huber
Berichterstatter: Prof. Dr. Klaus Meyer-Wegener,
Prof. Dr. Felix Freiling

Zusammenfassung
Wegen der zunehmenden Bedrohungen und regulativen Anforderungen fragen viele Firmen
nach angemessenen Maßnahmen gegen Sicherheitsvorfälle. Typischer Weise drücken sie das in
Fragen wie „Macht es Sinn in X zu investieren?“ aus, wobei X eine Maßnahme ist, welche die
Firma schützen kann.
Auf den ersten Blick erscheint diese Frage relativ einfach zu beantworten, die tiefere Bedeutung
des Wortes „angemessen“ ist aber nicht so einfach zu definieren. So sind die Mitarbeiter der
Firma und speziell das Management normalerweise an geringen Kosten interessiert, um hohen
Gewinn zu erzielen. Kosten, welche auf Sicherheitsmaßnahmen zurückzuführen sind, sind
normalerweise besser sichtbar als Kosten welche durch Sicherheitsvorfälle entstehen. Daher
tendieren die Firmen dazu, Investitionen in zusätzliche Sicherheitsmaßnahmen nicht
durchzuführen.
Die Meinung von Sicherheitsexperten ist aber oft anders. Sie leben meist davon, Maßnahmen zu
installieren. Daher tendieren sie dazu, die Lage entsprechend bedrohlich einzuschätzen und
wenn irgendwie sinnvoll Maßnahmen zu installieren.
Wichtig ist also eine Objektivität der Bewertung. Viele Ansätze wurden entwickelt, welche
Firmen das Gefühl einer solchen Objektivität geben sollen. Beispiele sind die ISO/IEC 27001-
Serie, die deutschen Grundschutzkataloge und Risiko-Management-Ansätze in verschiedenen
Formen (z.B. NIST SP 800-30 und Mehari). Die Ansätze sind jedoch qualitativ und Objektivität
ist immer noch schwer zu erreichen.
Für Investitionsentscheidungen ist jedoch eine fundierte Basis notwendig. Von realen Projekten
ist bekannt, dass das größte Problem darin liegt, dass Ansätze fehlen, mit denen die Auftrittsrate
und die durchschnittlichen Kosten von Sicherheitsvorfällen bestimmt werden können.
Daher wird ein Ansatz benötigt, mit welchem die Kosten, welche durch Sicherheitsvorfälle
entstehen und die Auftrittsrate dieser Vorfälle für ganzheitliche reale Firmen auf eine
nachvollziehbare, statistische und numerische Weise bestimmt werden können.
Ziel dieser Arbeit ist die Bewertung der aktuellen Situationen – wobei die Installation
verschiedener Maßnahmenbündel betrachtet wird. Die Vorhersage der Kosten für zukünftige
Perioden wäre eine weitere Schwierigkeit, welche hier aber nicht adressiert wird. Das hier
vorgestellte Modell kann aber als Grundlage für die Bewertung zukünftiger Perioden
herangezogen werden.
Die Grundidee des hier vorgestellten Ansatzes ist die Trennung zwischen drei
verschiedenartigen Typen von Information, die momentan nicht unterschieden werden:
• Strukturelle Information, das ist die Definition der existierenden Angriffe und
Maßnahmen sowie der Verknüpfungen zwischen ihnen.
• Statistische Information, welche die strukturelle Information dadurch verfeinert, dass
Information über Auftreten und Wahrscheinlichkeit hinzugefügt werden. Diese
Information beschreibt zum Beispiel die Auftrittsrate von verschiedenen Angriffen.
• Individuelle Information, welche die individuellen Einflüsse der Firma beschreibt,
welche einer Bewertung unterzogen wird. Ein Beispiel sind die Maßnahmen, welche
eine Firma installiert hat.
- iii - Wenn keine Trennung dieser verschiedenen Informationen stattfindet, muss alles von jeder
Firma, welche Sicherheitsbewertungen durchführt, selbst zusammengetragen werden. Durch die
vorgeschlagene Trennung können strukturelle und statistische Information von einer zentralen
Organisation bereitgestellt werden und nur die individuelle Information muss von der Firma
selbst bereitgestellt werden.
Um diese Idee umzusetzen, wird in dieser Arbeit ein UML Klassendiagramm mit 19 Klassen
vorgeschlagen. Es definiert, welche Information genau benötigt wird und welche davon zu
welchem der oben genannten drei Informationstypen gehört. Zudem werden Formeln
vorgeschlagen, welche beschreiben, wie die Ergebnisse aus den Eingabewerten (welche getrennt
nach Informationstyp vorliegen) berechnet werden.
Neben dem Vorschlag für das Model wurde auch untersucht, ob die drei verschiedenen
Informationstypen bereitgestellt werden können. Es zeigte sich, dass
• Strukturelle Information bereits in vielen Fällen existiert.
• Statistische Information ermittelt werden kann, dass jedoch Inkonsistenzen existieren,
welche es schwierig machen, diese Information einfach wieder zu verwenden. Das
Modell hilft dabei, diese Inkonsistenzen zu entdecken und auch zu lindern. Bisher
wurden diese Inkonsistenzen normalerweise nicht erkannt, beeinflussten aber die
Qualität der Ergebnisse negativ.
• Individuelle Information ist (fast) nur die Auswahl von passenden Werten, daher ist die
Bereitstellung dieser Information nicht problematisch.
Eine Validierung oder gar eine Verifikation des Modells ist nicht möglich, da keine belastbaren
Referenzwerte angegeben werden können, gegen die man die Ergebnisse des Modells
vergleichen kann. Allerdings ist eine Evaluierung des Modells möglich. Daher wurde eine
solche ausgeführt. Sie zeigt, dass
• Reale Situationen modelliert werden können
• Die Existenz der notwendigen statistsichen Daten gegeben ist
• Grundlegende Prinzipien des Modells von Experten akzeptiert werden
• Die Ergebnisse den Erwartungen der Experten entsprechen
• Nachvollziehbarkeit gegeben ist
Insgesamt sind das Konzept und das zugehörige Modell, welche hier vorgeschlagen werden, ein
erster, wichtiger Schritt in eine neue Forschungsrichtung: Schäden und Auftreten von
Sicherheitsvorfällen werden nicht mehr als Black Box betrachtet. Stattdessen werden die
Einflüsse auf diese Werte beschrieben und Nachvollziehbarkeit der Ergebnisse wird erreicht.
- iv - Abstract

Due to growing threats and regulatory requirements, many organizations ask for an adequate
protection against security incidents. Typically speaking, it is expressed in a question like: “Is it
worth it investing into X?” while X stands for a control protecting the organization.
This question seems rather trivial on first sight, however, the deeper meaning of “adequate” is
not easy to define. The organization’s staff and particularly management are normally interested
in low costs to receive good profit margins. Costs which are due to security mechanisms are
usually better visible than costs due to security incidents. As a result, there is the tendency to
decline investments in additional security controls. However, the security consultants’ opinion
is usually different. They usually earn a living from the installation of controls. Thus, they tend
to view the situation as being worse and install controls whenever possible.
Thus, objectivity of assessment is important. Many approaches have been developed, which
should give organizations the feeling of objectivity, for example the ISO/IEC 27001-series, the
German Baseline Protection Manual and risk assessment approaches in various forms (e.g.
NIST SP 800-30 and Mehari). However, the approaches are qualitative and objectivity is still
difficult to achieve.
However, a substantiated basis for investment decisions is necessary. It is known from real
world situations that the biggest problem is the lack of approaches to assess the rate of
occurrence and the average costs of security incidents.
Thus, an approach is required allowing traceable statistical and numeric assessment of
costs arising due to security incidents and the rates of occurrence of these incidents for
whole real world organizations.
The goal of this work is the assessment of the current situation—while the installation of
different sets of controls is discussed. The prediction of costs in future periods would be an
additional difficulty and is not addressed here. However, the model provided here can serve as
basis for assessment of future periods.
The basic idea of the suggested approach is the separation of three types of information which
are currently not being distinguished:
• Structural information, which is the definition of the existing attacks, existing controls,
and the associations between them.
• Statistical information, which refines structural information by adding information
about occurrence and probability. It describes e.g. the rate of occurrence of the different
attacks.
• Individual information, which describes the individual influences of the organization
under assessment, for example the controls an organization has installed.
If there is no separation of these types of information, every organization conducting a security
assessment has to be gather everything on its own. Due to the suggested separation, structural
information and statistical information can be provided by a central organization and only
individual information has to be provided by the organization itself.
- v - To implement this general idea, a UML class diagram with 19 classes is suggested in this thesis.
It exactly defines which information is required and which of them belongs to which of the
three types of information. Moreover, formulas are suggested, showing how to calculate the
output values from the input values (in the three different types of information). Besides
suggesting the model, it was investigated whether the three types of information can be
provided. It showed that:
• Structural information is already available in many cases.
• Statistical information is possible to get, however, there are inconsistencies which make
it difficult to reuse information easily. The model helps to detect these inconsistencies
and also helps to palliate them. Up to now, however, these inconsistencies are usually
not recognized but they negatively influence the quality of the results.
• Individual information is (nearly) limited to the selection of adequate values, therefore
providing this kind of information does not pose a problem.
A validation or even a verification of the model is not possible, because no reasonable reference
values exists which can be compared with the model results. However, an evaluation of the
model is possible. Thus, an evaluation was carried out showing that:
• Real world examples can be modeled
• Required statistical information exists
• Basic principles of the model are accepted by experts
• Results align to expert’s opinion
• Traceability is achieved
All in all, the concept and the suggested model are a first, yet, important step into a new
direction of research: damage and occurrence of security incidents are no longer viewed as
being black boxes. Instead, the influences on these values are described and traceability of the
resulting values is achieved.
- vi - Content

ZUSAMMENFASSUNG ......................................................................... III
ABSTRACT ................................................................................................ V
CONTENT ...............................................................................................VII
FIGURES ................................................................................................XVI
TABLES ..................................................................................................XIX
LIST OF ABBREVIATIONS............................................................ XXIII
1. INTRODUCTION................................................................................1
1.1 ECONOMICS OF SECURITY............................................................................................ 1
1.2 PROBLEM DESCRIPTION ............................................................................................... 2
1.3 CLARIFICATION OF THE PROBLEM ............................................................................... 2
1.4 HOW THE PROBLEM IS SOLVED .................................................................................... 3
1.5 STRUCTURE OF THIS THESIS......................................................................................... 6
2. RELATED WORK...............................................................................7
2.1 APPROACHES REQUIRING SECURITY ASSESSMENT ...................................................... 7
2.2 APPROACHES FROM BUSINESS INFORMATICS / INFORMATION SYSTEMS ..................... 8
2.2.1 Metrics for security investments.............................................................................. 8
2.2.2 Soo Hoo’s approach................................................................................................ 9
2.2.3 Metrics based on market mechanisms................................................................... 10
2.2.4 Balanced (Security) Scorecards ............................................................................ 12
2.2.5 Overview of other approaches in this category..................................................... 13
2.2.6 Summary approaches from business informatics / information systems............... 13
2.3 TECHNICAL APPROACHES .......................................................................................... 14
2.3.1 Vulnerability analysis............................................................................................ 14
2.3.2 Security testing (= penetration testing)................................................................. 15
2.3.3 Intrusion detection systems.................................................................................... 15
2.3.4 Honeypots.............................................................................................................. 16
2.3.5 Summary technical approaches............................................................................. 17
2.4 MODEL-BASED APPROACHES..................................................................................... 17
2.4.1 Monte Carlo methods ............................................................................................ 17
2.4.2 HAZOPs................................................................................................................. 18
2.4.3 Access control and information flow..................................................................... 19
2.4.4 Security modeling with “ARE_U_WAITING?” .................................................... 20
- vii - 2.4.5 Taking over reliability modeling for security modeling ........................................ 20
2.4.6 Byzantine models................................................................................................... 21
2.4.7 Fault trees and Markov chains.............................................................................. 22
2.4.8 Decomposition trees .............................................................................................. 22
2.4.9 Attack trees............................................................................................................ 23
2.4.10 Other formal models.............................................................................................. 25
2.4.11 Summary model based approaches ....................................................................... 25
2.5 STANDARDS AND DE FACTO STANDARDS FOR SECURITY ASSESSMENT OF
ORGANIZATIONS...................................................................................................................... 25
2.5.1 Security scoring tools ............................................................................................ 25
2.5.2 Risk Management .................................................................................................. 26
2.5.2.1 NIST SP 800-30 ...................................................................................................................... 26
2.5.2.2 Mehari..................................................................................................................................... 27
2.5.2.3 Quantitative risk analysis ........................................................................................................ 31
2.5.2.4 Other risk management or risk analysis approaches................................................................ 31
2.5.2.5 Summary Risk assessment approaches.................................................................................... 32
2.5.3 Approaches related to risk management ............................................................... 32
2.5.3.1 Method of Knorr ..................................................................................................................... 33
2.5.3.2 Combination of scenario results.............................................................................................. 33
2.5.3.3 Summary of approaches related to risk management .............................................................. 34
2.5.4 Best Practice approaches...................................................................................... 34
2.5.4.1 German Baseline Protection Manual....................................................................................... 34
2.5.4.2 ISO/IEC 27002........................................................................................................................ 36
2.5.4.3 NIST SP 800-53 ...................................................................................................................... 36
2.5.4.4 Summary best practice approaches ......................................................................................... 37
2.5.5 Process-based security assessment approaches.................................................... 37
2.5.5.1 ISO 27001 ............................................................................................................................... 37
2.5.5.2 NIST SP 800-55 security metric ............................................................................................. 38
2.5.5.3 Other approaches on security metrics...................................................................................... 39
2.5.5.4 Summary process-based security assessment approaches ....................................................... 40
2.5.6 Summary standards and de facto standards for security assessment of
organizations ...................................................................................................................... 40
2.6 SURVEYS AND STATISTICS ......................................................................................... 40
2.6.1 CSI Computer Crime and Security Survey ............................................................ 41
2.6.2 Australian Computer Crime & Security Survey .................................................... 42
2.6.3 ISCA Labs statistics............................................................................................... 43
2.6.4 E-Crime-Watch-Survey.......................................................................................... 43
2.6.5 Symantec Internet Security Threat Report............................................................. 44
- viii - 2.6.6 MessageLabs Intelligence Reports........................................................................ 46
2.6.7 Summary surveys and statistics............................................................................. 47
2.7 ASSESSMENT OF SOFTWARE SECURITY...................................................................... 47
2.7.1 Common Criteria................................................................................................... 48
2.7.2 Attack surfaces ...................................................................................................... 48
2.7.3 Capability Maturity Model.................................................................................... 49
2.7.4 Summary assessment of software security............................................................. 50
2.8 SUMMARY OF RELATED WORK................................................................................... 50
3. TERMS USED ....................................................................................53
3.1 SECURITY AND RISK................................................................................................... 53
3.2 FAILURES, ATTACKS, AND INCIDENTS........................................................................ 53
3.3 CONTROLS AND DAMAGES......................................................................................... 54
3.4 SCENARIOS AND SCENARIO STEPS.............................................................................. 54
3.5 FURTHER CONCRETIZATION OF TERMS ...................................................................... 55
3.6 (SECURITY) INDICATOR.............................................................................................. 56
3.7 MEASUREMENT, ASSESSMENT, AND ESTIMATION...................................................... 56
3.8 TRACEABILITY ........................................................................................................... 57
3.9 TOWARDS THE SOLUTION OF THE PROBLEM .............................................................. 57
4. HOW TO SOLVE THE PROBLEM................................................59
4.1 LEARNING FROM RELATED WORK.............................................................................. 59
4.2 SEPARATION BETWEEN DIFFERENT TYPES OF INFORMATION .................................... 60
4.3 DELIMITATION OF THE WORK .................................................................................... 61
4.4 TOWARDS A SUGGESTION FOR THE MODEL................................................................ 62
5. A SUGGESTION FOR A SECURITY MODEL ............................63
5.1 FORM OF MODEL PRESENTATION ............................................................................... 63
5.2 STEP OF ATTACK ........................................................................................................ 65
5.2.1 Underlying idea..................................................................................................... 65
5.2.2 Incident and step of incident overview .................................................................. 66
5.2.3 Elementary step of attack ...................................................................................... 67
5.2.4 Composed attack and (abstract) attack................................................................. 70
5.2.5 Associations and restrictions................................................................................. 71
5.2.6 Resulting UML class diagram............................................................................... 72
5.3 FAILURES ................................................................................................................... 72
5.4 SCENARIO STEP .......................................................................................................... 73
5.5 DAMAGE .................................................................................................................... 75
5.5.1 Damage overview .................................................................................................. 75
- ix - 5.5.2 Overview of elementary and composed damage ................................................... 76
5.5.3 DirectCost class .................................................................................................... 77
5.5.4 Modeling influence of controls.............................................................................. 80
5.5.5 Formulas for calculation....................................................................................... 81
5.5.6 Association to the scenario step ............................................................................ 83
5.5.7 Resulting UML class diagram............................................................................... 84
5.6 CONTROLS.................................................................................................................. 85
5.6.1 Protection against steps of attacks........................................................................ 86
5.6.1.1 Overview................................................................................................................................. 86
5.6.1.2 Associations between Chaining and ControlOccurrence......................................................... 87
5.6.1.3 Multiplicities of the associations............................................................................................. 88
5.6.1.4 Class ControlOccurrence......................................................................................................... 89
5.6.1.5 Functions needed for calculation and resulting restrictions..................................................... 90
5.6.1.6 Resulting UML class diagram................................................................................................. 93
5.6.2 Protection against damages .................................................................................. 94
5.6.2.1 The model of protection .......................................................................................................... 94
5.6.2.2 Restrictions.............................................................................................................................. 96
5.6.2.3 Resulting UML class diagram................................................................................................. 98
5.7 SUGGESTIONS FOR MAPPING INDIVIDUAL INFLUENCES TO NUMERIC VALUES .......... 98
5.7.1 The idea ................................................................................................................. 98
5.7.2 The SuggestionIndInfluence class ......................................................................... 99
5.7.3 The working status of palliating controls............................................................ 100
5.8 INPUT AND OUTPUT OF THE MODEL ......................................................................... 103
5.9 ASSESSMENT UNDER DIFFERENT SITUATIONS ......................................................... 106
5.10 CONCLUSIONS ON DESCRIPTION OF THE SUGGESTED MODEL .................................. 107
6. PROVIDING INFORMATION FOR THE MODEL...................109
6.1 ORDER OF DATA GATHERING AND CALCULATION ................................................... 109
6.2 STRUCTURAL INFORMATION.................................................................................... 109
6.2.1 Deriving structural information from existing documents .................................. 110
6.2.2 Translating statements to elements in the UML model ....................................... 111
6.2.2.1 Build the model of occurrence .............................................................................................. 111
6.2.2.2 Reuse, combination, and independence................................................................................. 113
6.2.2.3 Modeling damage.................................................................................................................. 114
6.2.3 Form of scenario presentation ............................................................................ 116
6.2.4 Experiences on modeling structural information ................................................ 119
6.3 STATISTICAL INFORMATION AND SUGGESTIONS FOR TYPICAL SITUATIONS............ 120
6.3.1 How to provide statistical information................................................................ 120
6.3.2 Statistical information for elementary steps of attacks ....................................... 121
- x -

Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.