Towards a cybersecurity risk assessment procedure incorporating human vulnerabilities
Φόρτωση...
Ημερομηνία
2025-02-26
Συγγραφείς
Τίτλος Εφημερίδας
Περιοδικό ISSN
Τίτλος τόμου
Εκδότης
ΕΛΜΕΠΑ, Σχολή Μηχανικών (ΣΜΗΧ), ΠΜΣ Μηχανικών Πληροφορικής
Επιβλέπων
Περίληψη
In cybersecurity, risk assessment models investigate the possibility of a system experiencing various cyberattack scenarios, as well as the impact these scenarios may have if they are realized. As a result of the evaluation, a risk level or score is determined, and the insight gained aids in the development of effective mitigation strategies. Risk assessment in cybersecurity often refers to the assessment of digital assets and their technical vulnerabilities. Recently, the need for shifting the attention towards human factor vulnerabilities and including them in holistic risk assessment processes has become a demand in the realm of cybersecurity, since they are more often than not the focus of cyber criminals, as opposed to exploiting the flaws of machines. Human vulnerabilities include not only factors affecting susceptibility to cyber threats, rather any aspect of human factors that may – intentionally or unintentionally – pose a serious threat to the security and integrity of computer systems and data. Currently, there are several approaches towards human vulnerability assessment; nonetheless, some major factors are yet to be included in the assessment process, such as the likelihood of a legitimate user behaving deliberately as an insider threat (e.g., level of maliciousness). The level of a user’s maliciousness may not be a vulnerability for the user per se; however, it is considered a vulnerability for the environment in which the malicious user operates. Furthermore, human vulnerability assessment is still neglected from many frameworks aiming to assess the cybersecurity capacity or risk level of an environment. Through an extensive review of related literature and drawing inspiration from current vulnerability and risk assessment methodologies, this thesis aims to design and propose two frameworks: a Human Vulnerability Assessment (HVA) Framework that will offer a continuous and multi-factor end-user vulnerability assessment, in which maliciousness assessment will also be included; a Holistic Cybersecurity Risk Assessment (HCRA) Framework that will consider both technical and human vulnerabilities in the risk assessment and calculation process. The two proposed frameworks are evaluated against a realistic use-case that reflects the holistic cybersecurity risk assessment of an organization comprising two departments and several digital assets and their human operators.
Στον τομέα της κυβερνοασφάλειας, τα μοντέλα αξιολόγησης κινδύνου διερευνούν την πιθανότητα ένα σύστημα να αντιμετωπίσει διάφορα σενάρια κυβερνοεπιθέσεων, καθώς και τον αντίκτυπο που μπορεί να έχουν αυτά τα σενάρια εάν υλοποιηθούν. Ως αποτέλεσμα της αξιολόγησης, προσδιορίζεται ένα επίπεδο κινδύνου ή μια βαθμολογία και η γνώση που αποκτήθηκε βοηθά στην ανάπτυξη αποτελεσματικών στρατηγικών αντιμετώπισης. Η αξιολόγηση κινδύνου στην ασφάλεια στον κυβερνοχώρο αναφέρεται συχνά στην αξιολόγηση των ψηφιακών στοιχείων ή/και συστημάτων και των τεχνικών ευπαθειών τους. Πρόσφατα, η ανάγκη μετατόπισης της προσοχής προς τα τρωτά σημεία του ανθρώπινου παράγοντα και τη συμπερίληψή τους σε διαδικασίες ολιστικής αξιολόγησης κινδύνου έχει γίνει απαίτηση στον τομέα της κυβερνοασφάλειας, καθώς τις περισσότερες φορές βρίσκονται στο επίκεντρο των εγκληματιών του κυβερνοχώρου, σε αντίθεση με την εκμετάλλευση των τεχνικών ευπαθειών. Τα ανθρώπινα τρωτά σημεία δεν περιλαμβάνουν μόνο παράγοντες που επηρεάζουν την ευαισθησία σε απειλές στον κυβερνοχώρο, αλλά οποιαδήποτε πτυχή ανθρώπινων παραγόντων που μπορεί – ηθελημένα ή ακούσια – να αποτελέσουν σοβαρή απειλή για την ασφάλεια και την ακεραιότητα των υπολογιστικών συστημάτων και δεδομένων. Επί του παρόντος, υπάρχουν διάφορες προσεγγίσεις για την αξιολόγηση της ανθρώπινης ευπάθειας. Ωστόσο, ορισμένοι σημαντικοί παράγοντες δεν έχουν ακόμη συμπεριληφθεί στη διαδικασία αξιολόγησης, όπως η πιθανότητα ένας νόμιμος χρήστης να συμπεριφέρεται σκόπιμα ως απειλή (π.χ. επίπεδο κακόβουλης συμπεριφοράς). Το επίπεδο κακόβουλης συμπεριφοράς ενός χρήστη μπορεί να μην αποτελεί ευπάθεια για τον χρήστη αυτόν καθ’ αυτόν. Ωστόσο, θεωρείται ανθρώπινη ευπάθεια για το περιβάλλον στο οποίο λειτουργεί ο κακόβουλος χρήστης. Επιπλέον, η αξιολόγηση της ανθρώπινης ευπάθειας εξακολουθεί να παραμελείται από πολλά μοντέλα που στοχεύουν στην αξιολόγηση του επιπέδου κυβερνοασφάλειας ή του επιπέδου κινδύνου ενός περιβάλλοντος. Μέσα από μια εκτενή ανασκόπηση της σχετικής βιβλιογραφίας και αντλώντας έμπνευση από τις τρέχουσες μεθοδολογίες ευπάθειας και αξιολόγησης κινδύνου, αυτή η διατριβή στοχεύει να σχεδιάσει και να προτείνει δύο πλαίσια: ένα Πλαίσιο Αξιολόγησης Ανθρώπινης Ευπάθειας που θα προσφέρει μια συνεχή και πολυπαραγοντική αξιολόγηση της τρωτότητας του τελικού χρήστη, στην οποία θα περιλαμβάνεται και η αξιολόγηση πιθανής κακόβουλης συμπεριφοράς, και ένα Ολιστικό Πλαίσιο Αξιολόγησης Κινδύνου Κυβερνοασφάλειας που θα εξετάζει τόσο τεχνικές όσο και ανθρώπινες ευπάθειες στη διαδικασία αξιολόγησης και υπολογισμού κινδύνου. Τα δύο προτεινόμενα πλαίσια αξιολογούνται με βάση μια ρεαλιστική περίπτωση χρήσης που αντικατοπτρίζει την ολιστική αξιολόγηση κινδύνου κυβερνοασφάλειας ενός οργανισμού που περιλαμβάνει δύο τμήματα και πολλά ψηφιακά στοιχεία και τους ανθρώπινους χειριστές τους.
Στον τομέα της κυβερνοασφάλειας, τα μοντέλα αξιολόγησης κινδύνου διερευνούν την πιθανότητα ένα σύστημα να αντιμετωπίσει διάφορα σενάρια κυβερνοεπιθέσεων, καθώς και τον αντίκτυπο που μπορεί να έχουν αυτά τα σενάρια εάν υλοποιηθούν. Ως αποτέλεσμα της αξιολόγησης, προσδιορίζεται ένα επίπεδο κινδύνου ή μια βαθμολογία και η γνώση που αποκτήθηκε βοηθά στην ανάπτυξη αποτελεσματικών στρατηγικών αντιμετώπισης. Η αξιολόγηση κινδύνου στην ασφάλεια στον κυβερνοχώρο αναφέρεται συχνά στην αξιολόγηση των ψηφιακών στοιχείων ή/και συστημάτων και των τεχνικών ευπαθειών τους. Πρόσφατα, η ανάγκη μετατόπισης της προσοχής προς τα τρωτά σημεία του ανθρώπινου παράγοντα και τη συμπερίληψή τους σε διαδικασίες ολιστικής αξιολόγησης κινδύνου έχει γίνει απαίτηση στον τομέα της κυβερνοασφάλειας, καθώς τις περισσότερες φορές βρίσκονται στο επίκεντρο των εγκληματιών του κυβερνοχώρου, σε αντίθεση με την εκμετάλλευση των τεχνικών ευπαθειών. Τα ανθρώπινα τρωτά σημεία δεν περιλαμβάνουν μόνο παράγοντες που επηρεάζουν την ευαισθησία σε απειλές στον κυβερνοχώρο, αλλά οποιαδήποτε πτυχή ανθρώπινων παραγόντων που μπορεί – ηθελημένα ή ακούσια – να αποτελέσουν σοβαρή απειλή για την ασφάλεια και την ακεραιότητα των υπολογιστικών συστημάτων και δεδομένων. Επί του παρόντος, υπάρχουν διάφορες προσεγγίσεις για την αξιολόγηση της ανθρώπινης ευπάθειας. Ωστόσο, ορισμένοι σημαντικοί παράγοντες δεν έχουν ακόμη συμπεριληφθεί στη διαδικασία αξιολόγησης, όπως η πιθανότητα ένας νόμιμος χρήστης να συμπεριφέρεται σκόπιμα ως απειλή (π.χ. επίπεδο κακόβουλης συμπεριφοράς). Το επίπεδο κακόβουλης συμπεριφοράς ενός χρήστη μπορεί να μην αποτελεί ευπάθεια για τον χρήστη αυτόν καθ’ αυτόν. Ωστόσο, θεωρείται ανθρώπινη ευπάθεια για το περιβάλλον στο οποίο λειτουργεί ο κακόβουλος χρήστης. Επιπλέον, η αξιολόγηση της ανθρώπινης ευπάθειας εξακολουθεί να παραμελείται από πολλά μοντέλα που στοχεύουν στην αξιολόγηση του επιπέδου κυβερνοασφάλειας ή του επιπέδου κινδύνου ενός περιβάλλοντος. Μέσα από μια εκτενή ανασκόπηση της σχετικής βιβλιογραφίας και αντλώντας έμπνευση από τις τρέχουσες μεθοδολογίες ευπάθειας και αξιολόγησης κινδύνου, αυτή η διατριβή στοχεύει να σχεδιάσει και να προτείνει δύο πλαίσια: ένα Πλαίσιο Αξιολόγησης Ανθρώπινης Ευπάθειας που θα προσφέρει μια συνεχή και πολυπαραγοντική αξιολόγηση της τρωτότητας του τελικού χρήστη, στην οποία θα περιλαμβάνεται και η αξιολόγηση πιθανής κακόβουλης συμπεριφοράς, και ένα Ολιστικό Πλαίσιο Αξιολόγησης Κινδύνου Κυβερνοασφάλειας που θα εξετάζει τόσο τεχνικές όσο και ανθρώπινες ευπάθειες στη διαδικασία αξιολόγησης και υπολογισμού κινδύνου. Τα δύο προτεινόμενα πλαίσια αξιολογούνται με βάση μια ρεαλιστική περίπτωση χρήσης που αντικατοπτρίζει την ολιστική αξιολόγηση κινδύνου κυβερνοασφάλειας ενός οργανισμού που περιλαμβάνει δύο τμήματα και πολλά ψηφιακά στοιχεία και τους ανθρώπινους χειριστές τους.
Περιγραφή
Λέξεις-κλειδιά
Risk assessment, Cybersecurity, Human vulnerability, Αξιολόγηση κινδύνων, Κυβερνοασφάλεια, Ανθρώπινη ευπάθεια