Hinweis zum Urheberrecht
Dissertation zugänglich unter
URN: urn:nbn:de:bvb:29-opus-12647
URL: http://www.opus.ub.uni-erlangen.de/opus/volltexte/2009/1264/
A model to quantitatively assess the security of organizations
Ein Modell zur quantitativen Bewertung der Sicherheit von Organisationen
Weiß, Oliver Steffen
| SWD-Schlagwörter: |
| Computervirus , Technische Sicherheit |
| Freie Schlagwörter (Deutsch): |
| Wirtschaftlichkeit , IT-Sicherheit , Sicherheitsmetrik |
| Freie Schlagwörter (Englisch): |
| economy , it-security , security metric |
| Fakultät: |
| Technische Fakultät |
| Fakultät: |
| Technische Fakultät |
| DDC-Sachgruppe: |
| Informatik |
| Dokumentart: |
| Dissertation |
| Hauptberichter: |
| Meyer-Wegener, Klaus (Prof. Dr.) |
| Sprache: |
| Englisch |
| Tag der mündlichen Prüfung: |
| 20.02.2009 |
| Erstellungsjahr: |
| 2008 |
| Publikationsdatum: |
| 03.03.2009 |
| Kurzfassung in Deutsch: |
| Wegen der zunehmenden Bedrohungen und regulativen Anforderungen fragen viele Firmen nach angemessenen Maßnahmen gegen Sicherheitsvorfälle. Typischer Weise drücken sie das in Fragen wie „Macht es Sinn in X zu investieren?“ aus, wobei X eine Maßnahme ist, welche die Firma schützen kann.
Auf den ersten Blick erscheint diese Frage relativ einfach zu beantworten, die tiefere Bedeutung des Wortes „angemessen“ ist aber nicht so einfach zu definieren. So sind die Mitarbeiter der Firma und speziell das Management normalerweise an geringen Kosten interessiert, um hohen Gewinn zu erzielen. Kosten, welche auf Sicherheitsmaßnahmen zurückzuführen sind, sind normalerweise besser sichtbar als Kosten welche durch Sicherheitsvorfälle entstehen. Daher tendieren die Firmen dazu, Investitionen in zusätzliche Sicherheitsmaßnahmen nicht durchzuführen.
Die Meinung von Sicherheitsexperten ist aber oft anders. Sie leben meist davon, Maßnahmen zu installieren. Daher tendieren sie dazu, die Lage entsprechend bedrohlich einzuschätzen und wenn irgendwie sinnvoll Maßnahmen zu installieren.
Wichtig ist also eine Objektivität der Bewertung. Viele Ansätze wurden entwickelt, welche Firmen das Gefühl einer solchen Objektivität geben sollen. Beispiele sind die ISO/IEC 27001-Serie, die deutschen Grundschutzkataloge und Risiko-Management-Ansätze in verschiedenen Formen (z.B. NIST SP 800-30 und Mehari). Die Ansätze sind jedoch qualitativ und Objektivität ist immer noch schwer zu erreichen.
Für Investitionsentscheidungen ist jedoch eine fundierte Basis notwendig. Von realen Projekten ist bekannt, dass das größte Problem darin liegt, dass Ansätze fehlen, mit denen die Auftrittsrate und die durchschnittlichen Kosten von Sicherheitsvorfällen bestimmt werden können.
Daher wird ein Ansatz benötigt, mit welchem die Kosten, welche durch Sicherheitsvorfälle entstehen und die Auftrittsrate dieser Vorfälle für ganzheitliche reale Firmen auf eine nachvollziehbare, statistische und numerische Weise bestimmt werden können.
Ziel dieser Arbeit ist die Bewertung der aktuellen Situationen – wobei die Installation verschiedener Maßnahmenbündel betrachtet wird. Die Vorhersage der Kosten für zukünftige Perioden wäre eine weitere Schwierigkeit, welche hier aber nicht adressiert wird. Das hier vorgestellte Modell kann aber als Grundlage für die Bewertung zukünftiger Perioden herangezogen werden.
Die Grundidee des hier vorgestellten Ansatzes ist die Trennung zwischen drei verschiedenartigen Typen von Information, die momentan nicht unterschieden werden:
• Strukturelle Information, das ist die Definition der existierenden Angriffe und Maßnahmen sowie der Verknüpfungen zwischen ihnen.
• Statistische Information, welche die strukturelle Information dadurch verfeinert, dass Information über Auftreten und Wahrscheinlichkeit hinzugefügt werden. Diese Information beschreibt zum Beispiel die Auftrittsrate von verschiedenen Angriffen.
• Individuelle Information, welche die individuellen Einflüsse der Firma beschreibt, welche einer Bewertung unterzogen wird. Ein Beispiel sind die Maßnahmen, welche eine Firma installiert hat.
Wenn keine Trennung dieser verschiedenen Informationen stattfindet, muss alles von jeder Firma, welche Sicherheitsbewertungen durchführt, selbst zusammengetragen werden. Durch die vorgeschlagene Trennung können strukturelle und statistische Information von einer zentralen Organisation bereitgestellt werden und nur die individuelle Information muss von der Firma selbst bereitgestellt werden.
Um diese Idee umzusetzen, wird in dieser Arbeit ein UML Klassendiagramm mit 19 Klassen vorgeschlagen. Es definiert, welche Information genau benötigt wird und welche davon zu welchem der oben genannten drei Informationstypen gehört. Zudem werden Formeln vorgeschlagen, welche beschreiben, wie die Ergebnisse aus den Eingabewerten (welche getrennt nach Informationstyp vorliegen) berechnet werden.
Neben dem Vorschlag für das Model wurde in der Arbeit auch nachgewiesen, dass die drei verschiedenen Informationstypen bereitgestellt werden können.
Eine Validierung oder gar eine Verifikation des Modells ist nicht möglich, da keine belastbaren Referenzwerte angegeben werden können, gegen die man die Ergebnisse des Modells vergleichen kann. Allerdings ist eine Evaluierung des Modells möglich. Daher wurde eine solche ausgeführt. Sie zeigt, dass
• Reale Situationen modelliert werden können
• Die Existenz der notwendigen statistsichen Daten gegeben ist
• Grundlegende Prinzipien des Modells von Experten akzeptiert werden
• Die Ergebnisse den Erwartungen der Experten entsprechen
• Nachvollziehbarkeit gegeben ist
Insgesamt sind das Konzept und das zugehörige Modell, welche hier vorgeschlagen werden, ein erster, wichtiger Schritt in eine neue Forschungsrichtung: Schäden und Auftreten von Sicherheitsvorfällen werden nicht mehr als Black Box betrachtet. Stattdessen werden die Einflüsse auf diese Werte beschrieben und Nachvollziehbarkeit der Ergebnisse wird erreicht.
|
| Kurzfassung in Englisch: |
| Due to growing threats and regulatory requirements, many organizations ask for an adequate protection against security incidents. Typically speaking, it is expressed in a question like: “Is it worth it investing into X?” while X stands for a control protecting the organization.
This question seems rather trivial on first sight, however, the deeper meaning of “adequate” is not easy to define. The organization’s staff and particularly management are normally interested in low costs to receive good profit margins. Costs which are due to security mechanisms are usually better visible than costs due to security incidents. As a result, there is the tendency to decline investments in additional security controls. However, the security consultants’ opinion is usually different. They usually earn a living from the installation of controls. Thus, they tend to view the situation as being worse and install controls whenever possible.
Thus, objectivity of assessment is important. Many approaches have been developed, which should give organizations the feeling of objectivity, for example the ISO/IEC 27001-series, the German Baseline Protection Manual and risk assessment approaches in various forms (e.g. NIST SP 800-30 and Mehari). However, the approaches are qualitative and objectivity is still difficult to achieve.
However, a substantiated basis for investment decisions is necessary. It is known from real world situations that the biggest problem is the lack of approaches to assess the rate of occurrence and the average costs of security incidents.
Thus, an approach is required allowing traceable statistical and numeric assessment of costs arising due to security incidents and the rates of occurrence of these incidents for whole real world organizations.
The goal of this work is the assessment of the current situation—while the installation of different sets of controls is discussed. The prediction of costs in future periods would be an additional difficulty and is not addressed here. However, the model provided here can serve as basis for assessment of future periods.
The basic idea of the suggested approach is the separation of three types of information which are currently not being distinguished:
• Structural information, which is the definition of the existing attacks, existing controls, and the associations between them.
• Statistical information, which refines structural information by adding information about occurrence and probability. It describes e.g. the rate of occurrence of the different attacks.
• Individual information, which describes the individual influences of the organization under assessment, for example the controls an organization has installed.
If there is no separation of these types of information, every organization conducting a security assessment has to be gather everything on its own. Due to the suggested separation, structural information and statistical information can be provided by a central organization and only individual information has to be provided by the organization itself.
To implement this general idea, a UML class diagram with 19 classes is suggested in this thesis. It exactly defines which information is required and which of them belongs to which of the three types of information. Moreover, formulas are suggested, showing how to calculate the output values from the input values (in the three different types of information). Besides suggesting the model, it was shown within the thesis that the three types of information can be provided.
A validation or even a verification of the model is not possible, because no reasonable reference values exists which can be compared with the model results. However, an evaluation of the model is possible. Thus, an evaluation was carried out showing that:
• Real world examples can be modeled
• Required statistical information exists
• Basic principles of the model are accepted by experts
• Results align to expert’s opinion
• Traceability is achieved
All in all, the concept and the suggested model are a first, yet, important step into a new direction of research: damage and occurrence of security incidents are no longer viewed as being black boxes. Instead, the influences on these values are described and traceability of the resulting values is achieved.
|
Sie benötigen weitere Informationen?
Fragen Sie uns!