Cyber risk assessment box

Παπαμιχαήλ, Γεώργιος

View/Open

ΑΥΔ-2020-00067.pdf (4.874Mb)

Date

2020-12

Author

Παπαμιχαήλ, Γεώργιος

Metadata

Show full item record

Abstract

Η μεταπτυχιακή διατριβή έχει ως στόχο την υλοποίηση εκτίμησης του ρίσκου σε μια οντότητα και επομένως την δημιουργία του «Cyber Risk Assessment Box». Σύμφωνα και με την βιβλιογραφική επισκόπηση, η μεθοδολογία έχει χωριστεί σε 3 μέρη βάση των οποίων πραγματοποιείται η εκτίμηση του ρίσκου. Επομένως, η μεθοδολογία βασίζεται σε παράγοντες που επηρεάζουν το μέγεθος του ρίσκου, δηλαδή i) Ανθρώπινους Παράγοντες, ii) Ανάλυση της Ανθρώπινης Συμπεριφοράς και iii) Εντοπισμός Ευπαθειών στα Πληροφοριακά Συστήματα. Η μεθοδολογία βασίζεται σε μια προσέγγιση όπου i) οι Ανθρώπινοι Παράγοντες, ii) η Ανάλυση της Ανθρώπινης Συμπεριφοράς και iii) ο Εντοπισμός Ευπαθειών στα Πληροφοριακά Συστήματα συνδυάζονται κατάλληλα βάση της μαθηματικής σχέσης: ρίσκο = επίδραση x πιθανότητα. Συνεπώς, γίνεται η εκτίμηση του συνολικού ρίσκου βάση των παραγόντων που έχουν επιλεγεί. Το τελικό αποτέλεσμα παρουσιάζει μια ενιαία τιμή του ρίσκου σε ποσοστό (%). Επιπλέων, γίνεται χρήση μιας διαμορφωμένης μεθοδολογίας «Weighted Factor Analysis» όπου οι ανθρώπινοι παράγοντες χωρίζονται σε ανθρώπινα χαρακτηριστικά: i) Χρόνια Εργασίας, ii) Επίπεδο Πρόσβασης Πληροφοριών και iii) Επίπεδο Γνώσεων. Παράλληλα, γίνεται χρήση κριτηρίων βαρύτητας που υπογραμμίζουν τα είδη των επιπτώσεων που μπορεί να πλήξουν μια οντότητα. Δηλαδή, οικονομικές και νομικές επιπτώσεις, καθώς και επιπτώσεις στην φήμη. Για την ανάπτυξη της συγκεκριμένης προσέγγισης, έχουν αξιοποιηθεί λογισμικά και εργαλεία όπως το «Spyder». Μέσω του «Spyder», έγινε η σύνταξη και η μετατροπή της προσέγγισης σε κώδικα, στην γλώσσα προγραμματισμού «Python», με σκοπό την επεξεργασία των δεδομένων της μεθοδολογίας. Επίσης, η «Python» βοήθησε στην υλοποίηση μαθηματικών πράξεων και την παρουσίαση των αποτελεσμάτων. Επιπλέων, με την χρήση της εικονικής μηχανής «Metasploitable», έγινε η δημιουργία ενός ευπαθές δικτύου για την προσομοίωση ενός δικτύου σε ένα οργανισμό με ευπάθειες. Το εργαλείο «OpenVAS» βοήθησε στον εντοπισμό ευπαθειών στο δίκτυο που δημιουργήθηκε. Παράλληλα, τα αποτελέσματα του εργαλείου αξιοποιήθηκαν κατάλληλα στην μεθοδολογία για τον υπολογισμό του συνολικού ρίσκου. Τα αποτελέσματα της μεταπτυχιακής διατριβής, μετά από τις δοκιμές που πραγματοποιήθηκαν, τονίζουν ότι το ρίσκο αυξάνεται i) όταν το μέγεθος της αρνητικής επίδρασης των παραγόντων μεγαλώνει και ii) όταν οι πιθανότητες υλοποίησης μιας απειλής αυξάνονται. Τα αποτελέσματα συμφωνούν και με τα δεδομένα των συγγραφέων από την βιβλιογραφική επισκόπηση.

URI

http://hdl.handle.net/11128/4742

Collections

Ασφάλεια Υπολογιστών και Δικτύων (ΕΛΛ) / Computer and Network Security (in Greek)