ETD system

Electronic theses and dissertations repository

 

Tesi etd-09222011-101143


Thesis type
Tesi di laurea specialistica
Author
PIGA, GABRIELE
URN
etd-09222011-101143
Title
Simulazione di attacchi contro infrastrutture informatiche
Struttura
SCIENZE MATEMATICHE, FISICHE E NATURALI
Corso di studi
TECNOLOGIE INFORMATICHE
Supervisors
controrelatore Prof. Bonuccelli, Maurizio
relatore Prof. Baiardi, Fabrizio
Parole chiave
  • analisi del rischio
  • simulazione
  • sicurezza ICT
  • attack graph
Data inizio appello
07/10/2011;
Consultabilità
Parziale
Data di rilascio
07/10/2051
Riassunto analitico
La crescente complessità delle infrastrutture ICT ha reso evidenti i limiti degli approcci attuali all’analisi del rischio.
Oggi gli analisti sono interessati a conoscere quali fra le possibili configurazioni di una rete è più sicura o se i costi di adozione di una contromisura sono effettivamente giustificati da una maggiore sicurezza. La difficoltà di ottenere misure di efficacia delle varie configurazioni e delle varie contromisure suggerisce l'adozione di un approccio basato sul metodo Montecarlo.
In questa tesi è descritta l’implementazione di Haruspex, un simulatore che produce statistiche che permettono di valutare il livello di sicurezza di un sistema con simulazioni ripetute degli attacchi implementati da un insieme di agenti intelligenti, goal oriented. Le statistiche prodotte permettono la valutazione del rischio dovuto a fattori quali la probabilità di scoprire una vulnerabilità, le risorse e le informazioni disponibili agli agenti e la strategia utilizzata per ottenere il goal.
Il simulatore utilizza gli attack graph, un formalismo che permette di descrivere attacchi complessi contro un’infrastruttura informatica. L'adozione di attack graph è dovuta alla complessità delle infrastrutture IT odierne dove un attaccante può definire diversi piani di attacco, combinando più attacchi elementari, per ottenere il controllo dei componenti del sistema.
L’aumento del numero degli attacchi evidenzia l’importanza degli attack graph e dei tool che forniscono statistiche d’interesse per l’analisi del rischio.
File