ANALISI DEGLI ATTACCHI CONTRO UNA INFORMATION INFRASTRUCTURE ATTRAVERSO DIPENDENZE ED EVOLUZIONI

L'analisi del rischio è utile per studiare minacce e vulnerabilità di una infrastruttura informatica e per capire come investire un insieme limitato di risorse a difesa delle aree più a rischio. Un componente dell'infrastruttura è la rappresentazione astratta di una parte del sistema. Gli utenti del sistema acquisiscono diritti sui componenti per mezzo degli attacchi o delle dipendenze. Le dipendenze riguardano i tre principali attributi di sicurezza: confidenzialità, integrità e disponibilità dei dati; sono usate per modellare l'infrastruttura a più livelli di astrazione, per dedurre strategie di attacchi, o per definire piani per la mitigazione del rischio. Lo studio delle dipendenze aiuta a condurre alcune fasi dell'analisi del rischio. In questo studio una dipendenza è una implicazione logica tra due diritti. Ogni dipendenza è caratterizzata dai componenti sorgente, da uno di destinazione e da un attributo di sicurezza per ogni componente. Acquisire un diritto da parte dell’utente significa controllare un particolare attributo di sicurezza di un componente dell'infrastruttura. Le dipendenze note del sistema possono essere sfruttate per aumentare l'insieme dei diritti di ogni minaccia, a partire dall'insieme dei privilegi iniziali e dai diritti acquisiti grazie agli attacchi eseguiti contro il sistema. Il concetto di dipendenza è una informazione spesso trascurata, mentre nella maggior parte dei casi capire la struttura logica e fisica dell'infrastruttura, e quindi i legami tra i componenti, consente di intervenire tempestivamente per eliminare le vulnerabilità del sistema in conseguenza degli attacchi delle minacce. Scopo di questa tesi è fornire uno strumento che consente di simulare gli scenari possibili in conseguenza degli attacchi eseguiti dalle minacce contro il sistema. Partendo da un elenco di informazioni sul sistema, utenti con diritti e risorse iniziali, dipendenze tra gli attributi dei componenti, obiettivi delle minacce, attacchi sfruttabili con i relativi goal, diritti e risorse necessarie per ogni attacco, quello che si vuole ottenere è una simulazione del comportamento del sistema, modellando tutti i possibili attacchi che ogni minaccia è in grado di eseguire contro l'infrastruttura. Più precisamente lo strumento simula, per ogni minaccia, tutte le sequenze di attacchi, dette evoluzioni, eseguiti per raggiungere l'obiettivo prefissato. Il comportamento del sistema viene rappresentato mediante il grafo delle evoluzioni, i cui nodi rappresentano gli stati del sistema, ossia un insieme di coppie , e gli archi corrispondono agli attacchi delle minacce. Una evoluzione utente è un cammino fra due stati, quello in cui la minaccia possiede i diritti iniziali e quello finale in cui ha raggiunto i privilegi di un suo obiettivo

Policy Driven Virtual Machine Monitor for Protected Grids

This paper advocates virtualization technology as a methodology to solve the security problems that an organization has to face when contributes with its resources to a grid. In particular, this technology makes it possible to increase the overall security of any system by inserting a set of controls into the code that implements one virtual machine. In this way, a secure cooperation among virtual machine can be implemented. This generalizes the current approach that exploits virtualization only for the confinement of alternative programming environments resulting from the partitioning of a physical machine into a set of non cooperating virtual machines. The ability to support cooperation among virtual machines may be used to define networks of cooperating virtual machines to execute distributed applications. The paper describes a general purpose approach to security based upon virtual networks of cooperating virtual machines and applies it to one of the most challenging problems: that of securing a grid environment