Fortgeschrittene Risikoanalysemethoden für kritische Infrastrukturen, Lieferketten
und komplexe Abhängigkeiten
Dr. Stefan Schiebeck, MSc Austrian Institute of Technology
Vorstellung • Zertifizierter ethischer Hacker, Auditor &
Risikomanager • Sicherheitsberater, Leiter Informationssicherheit • Promotion an der Universität Wien
– RiskSense, Methoden & Prototypentwicklung
• KIRAS Sicherheitsforschung – MetaRisk, Weiterentwicklung, Meta-Modell
Agenda
• Modellierungsbasis • Risikosteuerung • Modell & Analyse • Kollaboration & Kontinuität • Analysemethoden
Modellierungsbasis
• Unternehmenswert – Module
• Prozesse, Infrastruktur, IT-Systeme, etc. exponieren
– Gefährdungen • behandelt durch
priorisierte – Maßnahmen
• geplant / implementiert durch
– Rollen
Modell-Subset: IT-Grundschutz
Risikosteuerung • Analysetiefe, Detailgrad, Personalressourcen • Reifegrade & Gefährdungstoleranzen, akzeptable Restrisiken
– Dyn. Systemaggregation & Normalisierung
• Taxonomien & Kreuzreferenzierungen bestehender Standards & Best Practices erweitern Steuerungsbereiche – ISO 27001: Einzelanforderungen, High-Level Controls – IT-Grundschutz: Module, Typen – COBIT 5: Stakeholder Needs, Enterprise/IT-related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen, High-Level Prozesse – CSF, NIST 800 53, SANS 20, TIA-942, etc.
Model & Analyse
• Basismodell – Unternehmenswert
• Szenariomodell – Struktur & BIA – Vererbungsregeln
• Gesamtrisikomodell – Sensitivitätsanalyse
Basismodell Unternehmenswert
Szenario-Modell
Gesamtrisiko-Modell
• Gesamtsicht der Unternehmenswerte – Modul-spezifische Risikofaktoren – Szenario-Expositionen
• Sensitivitätsanalyse – Maßnahmen, Gefährdungen, Module, … mit
größtem Einfluss auf Gesamtmodell – Ressourcenoptimierung
Kollaboration & Kontinuität
• Einbindung aller verantwortlicher Rollen/Benutzer – Bewertungszyklen
• Einbindung von Kennzahlen durch automatische Sensoren – Interne Risikofaktoren
Kollaboration & Kontinuität
Kollaboration & Kontinuität
• Einbindung aller verantwortlicher Rollen/Benutzer – Bewertungszyklen
• Einbindung von Kennzahlen durch automatische Sensoren – Interne Risikofaktoren – Externe Risikofaktoren
• Branchenkennzahlen, Early Warning Services, Global Incident Maps, Big Data Analytics, etc.
Funktionale Beziehungen
• Systemdekomposition • Aggregationsfunktionen
– Summe – Maximum – Produkt – Minimum – Energetische Summe
Künstliche neuronale Netze
• Lernfähiges System – Training / Verifikation
• System zu komplex für funktionale Darstellung – Bildverarbeitung, Musterkennung – Zeitreihenanalysen, z.B. Wetter – Text & Audioverarbeitung
Bayes‘sche Entscheidungsnetze
• Gerichteter Graph – Zusammenhängende Systemzustände mit
bedingten Wahrscheinlichkeiten – Mehrere Inferenztypen
• Kausal, Diagnostisch, Inter-Kausal
– Ideal bei Kombination von Vorwissen mit verifizierbaren Daten
Fuzzy Logic
• Regelbasiertes System • Terme als graphische Indikatoren
– Keine mathematische Systembeschreibung möglich / sinnvoll
– Robuster, leicht handhabbarer Ansatz • Automatisierungstechnik, Betriebswirtschaft, Medizin,
Elektronik, etc.
Soziale Netzwerkanalyse
• Analyse der Unternehmensorganisation & Kommunikation – Maßzahlen
• Zentralität, Dichte, Cliquen – Einfach anwendbare Disziplin
• Interaktionen zwischen Objekten gleichen Typs – Anwendungsgebiete
• Terrorismus-, Betrugs- & Korruptions-Analysen • Business/Military Intelligence
Petri-Netze
• Zeitabhängige Systeme mit mehreren Zuständen – Abhängigkeiten mit zeitversetzten Auswirkungen – Geschäftsprozessmodellierung – Incident Mangement / Disaster Recovery
Simulationen
System Dynamics • Sozio-ökonomisches Weltmodell
– Population, industrielle Produktion, Umweltverschmutzung und natürliche Ressourcen
• Modellsimulation dynamischer Systeme – Qualitativ & quantitativ – Geschlossene Wirkungsketten mit Feedback Loops
• Anwendung besonders im sozio-ökonomischen Bereich – Controlling- & High-Level-Risikofaktoren – Szenarioanalysen
Danke für Ihre Aufmerksamkeit!
Top Related