Turvariskidele Orienteeritud Modelleerimiskeelte Võrdlus Manipuleerimisrünnete Riskijuhtimiseks
Nimi
Sarbar Tursunova
Kokkuvõte
Manipuleerimisrünnete turvariskide juhtimine on muutumas igapäevase riskide identifitseerimise keskseks tehnikaks. Kahjuks võivad selle standardid turva-modelleerimiskeelte ja kasutajate hõlmamise toetamisel olla piiratud. See on probleem, kuna vähene mõistmine võib viia analüüsi väärtõlgenduseni. Tänapäeval toimuvad korrapäraselt ühed ja samad turvasündmused, kuid neid ei käsitleta kohaselt. See võib tuleneda sellest, et tavakasutajad ei märka nõrkusi või tõlgendavad käimasolevat riskijuhtimisprotsessi vääralt. Teadmata, mis on tavakasutajale selge ja mida tuleks parandada, ei ole ükski manipuleerimisrünnete analüüs asjakohane.
Selles töös rakendatakse struktureeritud lähenemist ühe turvariskide juhtimise standardi identifitseerimisele, mida saab rakendada eri modelleerimiskeeltega. Sügavamaks analüüsiks on selles töös kasutatud eri modelleerimiskeeli, nagu äriprotsesside modelleerimiskeel (ingl BPMN), Secure Tropos ja Misuse Case. Võttes arvesse, et manipuleerimisrünnete uurimise põhiaspekt on inimeste psühhomanipulatsioon, pidas autor heaks töö illustreerimise alusmaterjaliks Kevin Mitnicki raamatut „The art of deception”. Üks juhtum on valitud lähemaks uurimiseks ja analüüsitud, kasutades infosüsteemi turvariskide haldamise (ingl ISSRM) domeenimudelit eelpool mainitud kolme turva-modelleerimiskeele rakendusega.
Identifitseerimaks tavakasutajate konkreetseid kontseptsioone või loogikat ja võtmaks arvesse nende infotehnoloogiateadmiste vähesust, on see töö keskendatud modelleerimislähenemise nõrkadele külgedele manipuleerimisrünnete analüüsis. See viis tulemuseni, et kasutajad eelistavad üldisi BPMN-i konstruktsioone ja Secure Tropose kontseptsiooni. Samuti, tuginedes kogutud tulemustele, püüdsime tõmmata paralleeli kontseptsioonide mõistmise ja osalejate konstruktsioonide vahel. Protsentuaalselt olid konstruktsioonide mõistmise tulemused kontseptsioonide mõistmise tulemustest kõrgemad. Ärivara, IS-vara, oht, ründmeetod, riskihaldus, turvanõue ja kontroll on konstruktsioonide vormis kergesti identifitseeritavad. Kontseptsioonide skoor oli kõrgem järgnevais aspektides: ärivara, turvakriteerium, mõju, sündmus, nõrkus, oht, ohuagent, turvanõue.
Lõputöö keel
inglise
Lõputöö tüüp
Magister - Küberkaitse
Juhendaja(d)
Raimundas Matulevičius
Kaitsmise aasta
2015