FORMULA PER IL CALCOLO DEL RISCHIO
- Risk = Likelihood * Impact
dove
- Likelihood misura approssimativamente la possibilità che una certa vulnerabilità possa essere scoperta e sfruttata da un attacker. Viene calcolata sulla base di tre tipologie di fattori descritte nel seguito
- Impact è l'impatto che lo sfruttamento di una certa vulnerabilità può avere sul sistema dal punto di vista tecnico (Technical Impact) o dal punto di vista economico (Business Impact)
CALCOLO DEL RISCHIO (overall risk severity)
1) Identificare il Rischio
2) Fattori per stimare il likelihood
3) Fattori per stimare l'impact
4) Determinare il severity risk
1) Identificare il Rischio
Per prima cosa si deve individuare:
- la minaccia
- l'attacco utilizzato o utilizzabile
- le vulnerabilità coinvolte
- l'impatto che potrebbe avere l'exploit di una certa vulnerabilità (sarebbe meglio individuare il Business Impact, ma non sempre le informazioni per ottenerlo sono disponibili. In tal caso, fare riferimento al Technical Impact)
Questi punti portano all'identificazione del rischio potenziale
2) Fattori per stimare il likelihood
Una volta individuato il rischio potenziale si deve calcolare il likelihood medio, che può assumere i seguenti valori:
LOW, MEDIUM, HIGH
Per calcolare il likelihood medio, si devono considerare diversi fattori:
A) Threat Agents Factors
B) Vulnerability Factors
C) Impact Factors
Ogni fattore ha più opzioni e ogni opzione ha un likelihood che va da 0 a 9.
A) THREAT AGENT FACTORS
Obiettivo: calcolare l'eventualità che una certa vulnerabilità possa essere sfruttata. In caso di più vulnerabilità, considerare il caso peggiore.
- Skill Level (quanto "skillato" è l'attacker?).
Valori possibili:
- 1 (no technical skills)
- 3 (some technical skills)
- 4 (advanced computer user)
- 6 (network and program skills)
- 9 (security penetration skills)
- Motive (quanto motivato è l'attacker)
- 1 (low or any reward)
- 4 (possible reward)
- 9 (high reward)
- Opportunity (possibilità di trovare la vulnerabilità)
- 0 (full access or expensive resources required)
- 4 (special access or resources required)
- 7 (some access or resources required)
- 9 (no access or resources required)
- Size (quanti potenziali attacker?)
- 2 (developers/sys-admins)
- 4 (intranet users)
- 5 (partners)
- 6 (authenticated users)
- 9 (anonymous users)
B) VULNERABILITY FACTORS
Obiettivo: una volta individuato il threat agent corrispondente al "caso peggiore", si deve calcolare l'eventualità che questa vulnerabilità venga scoperta e sfruttata.
- Ease of discovery (facilità nello scoprirla)
- 1 (practically impossibile)
- 3 (difficult)
- 7 (easy)
- 9 (automated tools available)
- Ease of exploit (facilità nello sfruttarla)
- 1 (theoretical)
- 3 (difficult)
- 5 (easy)
- 9 (automated tools available)
- Awareness (quanto è conosciuta una certa vulnerabilità dai potenziali attackers)
- 1 (Unknown)
- 4 (hidden)
- 6 (obvious)
- 9 (public knowledge)
- Intrusion Detection (quanto è probabile che un exploit venga individuato?)
- 1 (active detection in application)
- 3 (logged and reviewed)
- 8 (logged without review)
- 9 (not logged)
3) Fattori per stimare l'IMPATTO
C) IMPACT FACTORS
Ci sono due tipologie di IMPATTO:
- Technical Impact
- Business Impact
E' preferibile considerare solo le informazioni relative al Business Impact. Nel caso mancassero tali informazioni fare riferimento al Technical Impact.
Technical Impact:
- Loss of confidentiality (quanti dati possono essere scoperti e quanto sono sensibili?)
- 2 (minimal non-sensitive data disclosed)
- 6 ("minimal critical" or "extensive non-sensitive" data disclosed)
- 7 (extensive critical data disclosed)
- 9 (data totally corrupt)
- Loss of Integrity (quanto i dati potrebbero essere corrotti o quanto danneggiati sono)
- 1 (minimal slightly corrupt data)
- 3 (minimal seriously corrupt data)
- 5 (extensive slightly corrupt data)
- 7 (extensive seriously corrupt data)
- 9 (all data totally corrupt)
- Loss of availability (quanto del servizio di potrebbe perdere e quanto è vitale?)
- 1 (minimal secondary services interrupted)
- 5 ("minimal primary" or "extensive secondary" services interrupted)
- 7 (extensive primary services interrupted)
- 9 (all services completely lost)
- Loss of accountability (le minacce/azioni possono essere ricondotte ad un individuo?)
- 1 (fully traceable)
- 7 (possibly traceable)
- 9 (completely anonymous)
Business Impact:
- Financial damage (entità del danno finanziario in seguito ad un exploit?)
- 1 (Less than the cost to fix the vulnerability)
- 3 (minor effect on annual profit)
- 7 (significant effect on annual profit)
- 9 (bankruptcy)
- Reputation damage (quanto un exploit potrebbe recare un danno alla reputazione dell'azienda?)
- 1 (Minimal damage)
- 4 (Loss of major accounts)
- 5 (loss of goodwill)
- 9 (brand damage)
- Non-compliance (quanto espone al rischio essere non-compliance?)
- 2 (Minor violation)
- 5 (clear violation)
- 7 (high profile violation)
- Privacy violation (quantità di dati personali scoperti)
- 3 (One individual)
- 5 (hundreds of people)
- 7 (thousands of people)
- 9 (millions of people)
4) Determinare il severity risk
In tabella1 sono riportati i livelli che possono assumere sia il likelihood che l'impact.
| Likelihood and Impact Levels |
| 0 to <3 |
LOW |
| 3 to <6 |
MEDIUM |
| 6 to 9 |
HIGH |
tabella1 - tratta da owasp.org
Supponiamo di aver ottenuto i valori presenti in tabella2 (valori di likelihood) e tabella3 (valori di impact)
In tabella2 abbiamo:
- Overall likelihood: media dei valori di likelihood stimati durante l'analisi
| Threat agent factors | | Vulnerability factors |
| Skill level | Motive | Opportunity | Size | | Ease of discovery | Ease of exploit | Awareness | Intrusion detection |
| 5 | 2 | 7 | 1 | | 3 | 6 | 9 | 2 |
| Overall likelihood=4.375 (MEDIUM) |
tabella2 - tratta da owasp.org
In tabella3 abbiamo:
- Overall Technical Impact: media dei valori di impact stimati durante l'analisi, relativi all'impatto di tipo tecnico
- Overall Business Impact: media dei valori di impact stimati durante l'analisi, relativi all'impatto di tipo economico
| Technical Impact | | Business Impact |
| Loss of confidentiality | Loss of integrity | Loss of availability | Loss of accountability | | Financial damage | Reputation damage | Non-compliance | Privacy violation |
| 9 | 7 | 5 | 8 | | 1 | 2 | 1 | 5 |
| Overall technical impact=7.25 (HIGH) | | Overall business impact=2.25 (LOW) |
tabella3 - tratta da owasp.org
Per calcolare l'Overall Risk Severity, si deve fare riferimento alla tabella4.
L'intersezione tra Overall Likelihood e Overall Impact è il livello di rischio del sistema analizzato.
N.B. Ricordarsi che per quanto riguarda il calcolo dell'impact si deve fare riferimento al Business Impact quando presente. In caso contrario, fare riferimento al Technical Impact.
| Overall Risk Severity |
Overall
Impact |
HIGH |
Medium |
High |
Critical |
| MEDIUM |
Low |
Medium |
High |
| LOW |
Note |
Low |
Medium |
|
LOW |
MEDIUM |
HIGH |
|
Overall Likelihood |
tabella4 - tratta da owasp.org
RIFERIMENTI:
https://www.owasp.org/index.php/How_to_value_the_real_risk#Step_2:_Factors_for_Estimating_Likelihood
