Dynamic risk assessment in cybersecurity

Abstract

Traditional information security risk assessment methodologies and standards, which serve as foundational components of information security management systems, face significant challenges in contemporary environments. These challenges stem from the rapidly evolving threat landscape and the continuous emergence of new vulnerabilities. To address these issues, dynamic risk assessment models have been introduced, enabling continuous and near real-time evaluation of risks to organisational operations. This doctoral thesis critically examines the current state of dynamic risk assessment models in cybersecurity and proposes novel approaches to advance existing methodologies. The research begins with a systematic literature review that explores dynamic risk assessment models within the cybersecurity domain. Through a rigorous screening process, fifty models were identified, thoroughly examined, and analysed. The review uncovers findings related to their primary analysis methods and the domains or application areas in which these models flourish. Additionally, it provides insights into key characteristics, including maturity levels and the types of information these models utilize to generate results. A significant finding is that most models operate as comprehensive estimation frameworks, primarily emphasizing changes in the probability or likelihood of threat occurrences. These frameworks are based on the fundamental assumption that risk is a function of both probability and impact. However, a notable limitation is the lack of proactive capabilities due to limited integration of relevant data. Most existing models primarily capture real-time information reflecting ongoing activities within an organization’s environment, which restricts their capacity to anticipate and preemptively address emerging threats. To address these limitations and advance the field of dynamic risk assessment in cybersecurity, this thesis introduces four novel methodologies. The first is the Dynamic Vulnerability Severity Calculator, which dynamically updates the vulnerability vector within the risk assessment formula. This approach incorporates analyses of environmental topology and the effectiveness of deployed security mechanisms. It further leverages the Common Vulnerability Scoring System framework to adjust the severity of detected vulnerabilities based on the specific organisational environment. In addition to evaluating individual vulnerabilities, the methodology considers their quantity and interdependencies within each asset for a more precise assessment. These factors are integrated into a comprehensive Fuzzy Cognitive Map model, which includes attack paths to derive an overall vulnerability score. A detailed case study in a SCADA environment, supported by modified scenarios, validates the practical applicability and effectiveness of this approach. The second proposed methodology presents a proactive and dynamic risk assessment model that combines data from an organisation’s internal environment with relevant cybersecurity-related open sources. Qualitative data are converted into numerical form and integrated with quantitative data using a structured methodology. This combined information is incorporated into a Bayesian Network model, which dynamically estimates the probability of a cyber attack’s success. When coupled with impact assessments of organisational assets, the model delivers comprehensive risk estimations. By integrating the Exploit Prediction Scoring System, this methodology offers risk assessments that are not only dynamic but also proactive. Furthermore, the model considers the influence of Advanced Persistent Threat on risk estimation. The effectiveness of this model is validated through a detailed case study, demonstrating its application in assessing cyber risks within a Supervisory Control and Data Acquisition environment. The third methodology presents an integrated approach that unifies the Dynamic Vulnerability Severity Calculator and the Proactive and Dynamic Threat Assessment into a cohesive attack scenario framework. This model retrieves cybersecurity-related data through vulnerability detection and utilizes it for dynamic risk estimation. Upon successful risk assessment, it provides information regarding available patches for detected vulnerabilities and offers mitigation recommendations to proactively reduce risks. The effectiveness of this integrated model is validated through a case study within a small network environment. The final model advances risk assessment by introducing time-sensitive analysis alongside proactive and dynamic capabilities. This methodology leverages the Exploit Prediction Scoring System to estimate the short-term likelihood of exploitation over a 30-day period. To enhance accuracy, Bayesian networks are employed to model system vulnerabilities and asset interdependencies within the network. This information is integrated into an absorbing Markov chain, incorporating identified attack paths explored through Depth-First Search. The model generates exploitation probability distributions over a predefined time window, which, when combined with asset impact assessments, facilitates dynamic, proactive, and time-sensitive risk estimations. Additionally, it provides critical insights into attack progression by estimating the time required for an adversary to compromise key assets. A case study demonstrates the model’s practical application in assessing cyber risks within a SCADA environment. Overall, this thesis aspires to contribute to the scientific community by providing a systematic literature review and introducing novel dynamic risk assessment models. These contributions address the limitations of existing approaches and offer enhanced methodologies to strengthen cybersecurity posture of organisations.

Οι παραδοσιακές μεθοδολογίες και πρότυπα ανάλυσης/εκτίμησης κινδύνου (risk assessment) στην ασφάλεια των πληροφοριών, τα οποία χρησιμεύουν ως θεμελιώδη στοιχεία των συστημάτων διαχείρισης της ασφάλειας των πληροφοριών (information security management systems), αντιμετωπίζουν σημαντικές προκλήσεις στα σύγχρονα περιβάλλοντα. Αυτές οι προκλήσεις προκύπτουν από το ταχέως εξελισσόμενο τοπίο απειλών (threats) και τη συνεχή εμφάνιση νέων ευπαθειών (vulnerabilities). Για την αντιμετώπιση αυτών των ζητημάτων, έχουν εισαχθεί δυναμικά μοντέλα ανάλυσης κινδύνου (dynamic risk assessment), επιτρέποντας τη συνεχή και σχεδόν σε πραγματικό χρόνο αξιολόγηση των κινδύνων για τις λειτουργίες των οργανισμών. Η παρούσα διδακτορική διατριβή εξετάζει κριτικά την τρέχουσα κατάσταση των δυναμικών μοντέλων ανάλυσης κινδύνου στην κυβερνοασφάλεια και προτείνει νέες προσεγγίσεις για την εξέλιξη των υφιστάμενων μεθοδολογιών. Η έρευνα ξεκινά με μια συστηματική ανασκόπηση της βιβλιογραφίας, η οποία διερευνά τα δυναμικά μοντέλα ανάλυσης κινδύνου στον τομέα της κυβερνοασφάλειας. Μέσω μιας αυστηρής διαδικασίας διαλογής, εντοπίστηκαν πενήντα μοντέλα, τα οποία εξετάστηκαν και αναλύθηκαν διεξοδικά. Η ανασκόπηση αποκαλύπτει ευρήματα σχετικά με τις κύριες μεθόδους ανάλυσής τους και τους τομείς ή τις εφαρμογές όπου αυτά τα μοντέλα ευδοκιμούν. Επιπλέον, παρέχει πληροφορίες για βασικά χαρακτηριστικά, όπως τα επίπεδα ωριμότητας και τους τύπους πληροφοριών που χρησιμοποιούν αυτά τα μοντέλα για την παραγωγή αποτελεσμάτων.Η ανασκόπηση αυτή αναδεικνύει επίσης αρκετούς κοινούς περιορισμούς. ΄Ενας σημαντικός περιορισμός είναι ότι τα περισσότερα μοντέλα λειτουργούν ως ολοκληρωμένα πλαίσια εκτίμησης του (κυβερνο)κινδύνου, εστιάζοντας κυρίως στις αλλαγές στην πιθανότητα ή τη συχνότητα εμφάνισης απειλών. Οι εκτιμήσεις αυτές βασίζονται στην παραδοχή ότι ο κίνδυνος μπορεί να αναλυθεί ως συνδυασμός πιθανότητας και αντίκτυπου. ΄Ενας ακόμη αξιοσημείωτος περιορισμός είναι η έλλειψη προληπτικών δυνατοτήτων λόγω του περιορισμένου βαθμού ενσωμάτωσης σχετικών πληροφοριών. Τα περισσότερα υπάρχοντα μοντέλα συλλέγουν δεδομένα σε πραγματικό χρόνο, τα οποία αντικατοπτρίζουν τις τρέχουσες δραστηριότητες εντός του περιβάλλοντος ενός οργανισμού, γεγονός που περιορίζει την ικανότητά τους να προβλέπουν και να μετριάζουν μελλοντικές απειλές. Για την αντιμετώπιση των προαναφερόμενων περιορισμένων και την εξέλιξη του τομέα της δυναμικής ανάλυσης κινδύνου στην κυβερνοασφάλεια, η παρούσα διατριβή προτείνει τέσσερις νέες μεθοδολογίες. Η πρώτη είναι ο Δυναμικός Υπολογιστής Σοβαρότητας Ευπαθειών (Dynamic Vulnerability Severity Calculator), ο οποίος ενημερώνει δυναμικά τον διανυσματικό παράγοντα των ευπαθειών εντός του τύπου της ανάλυσης του κινδύνου. Αυτή η προσέγγιση ενσωματώνει την τοπολογία του περιβάλλοντος καθώς και την αποτελεσματικότητα των μηχανισμών ασφαλείας. Επιπλέον, αξιοποιεί το πλαίσιο του Κοινού Συστήματος Βαθμολόγησης Ευπαθειών (Common Vulnerability Scoring System) για να προσαρμόσει τη σοβαρότητα των εντοπισμένων ευπαθειών βάσει του εκάστοτε περιβάλλοντος. Εκτός από την αξιολόγηση μεμονωμένων ευπαθειών, η μεθοδολογία λαμβάνει υπόψη την ποσότητα και τις αλληλεξαρτήσεις μεταξύ αυτών σε κάθε περιουσιακό στοιχείο, προκειμένου να επιτύχει μια ακριβέστερη ανάλυση. Αυτοί οι παράγοντες ενσωματώνονται σε ένα μοντέλο Ασαφούς Γνωστικού Χάρτη (Fuzzy Cognitive Map), το οποίο λαμβάνει υπόψιν τα μονοπάτια επιθέσεων για τη δημιουργία ενός συνολικού δείκτη ευπαθειών. Μια λεπτομερής μελέτη περίπτωσης σε ένα περιβάλλον Εποπτικού Ελέγχου και Απόκτησης Δεδομένων (Supervisory Control and Data Acquisition - SCADA), υποστηριζόμενη από τροποποιημένα σενάρια, επικυρώνει την πρακτική εφαρμογή και αποτελεσματικότητα αυτής της προσέγγισης. Η δεύτερη προτεινόμενη προσέγγιση παρουσιάζει ένα προληπτικό και δυναμικό μοντέλο ανάλυσης κινδύνου, το οποίο συνδυάζει δεδομένα από το εσωτερικό περιβάλλον ενός οργανισμού με ανοιχτές πηγές πληροφοριών για την κυβερνοασφάλεια. Τα ποιοτικά δεδομένα μετατρέπονται σε ποσοτικά και συνδυάζονται με τα υπάρχοντα ποσοτικά δεδομένα μέσω μιας δομημένης μεθοδολογίας. Οι συνδυασμένες αυτές πληροφορίες ενσωματώνονται σε ένα μοντέλο Δικτύου Bayes (Bayesian network), το οποίο εκτιμά δυναμικά την πιθανότητα επιτυχίας μιας κυβερνοεπίθεσης. ΄Οταν συνδυαστεί με αναλύσεις του αντίκτυπου των περιουσιακών στοιχείων του οργανισμού, το μοντέλο παρέχει ολοκληρωμένες εκτιμήσεις κινδύνου. Μέσω της ενσωμάτωσης του Συστήματος Βαθμολόγησης Πρόβλεψης Εκμετάλλευσης (Exploit Prediction Scoring System), η συγκεκριμένη μεθοδολογία προσφέρει αναλύσεις κινδύνου που δεν είναι μόνο δυναμικές αλλά και προληπτικές. Επιπλέον, το μοντέλο λαμβάνει υπόψη την επίδραση των Εξελιγμένων Επίμονων Απειλών (Advanced Persistent Threats) στην ανάλυση κινδύνου. Η αποτελεσματικότητα του μοντέλου επικυρώνεται μέσω μιας λεπτομερούς μελέτης περίπτωσης, η οποία αποδεικνύει την εφαρμογή του στην εκτίμηση κυβερνοκινδύνων σε ένα περιβάλλον Εποπτικού Ελέγχου και Απόκτησης Δεδομένων. Η τρίτη μεθοδολογία παρουσιάζει μια ολοκληρωμένη προσέγγιση που ενοποιεί τον Δυναμικό Υπολογιστή Σοβαρότητας Ευπαθειών με το Προληπτικό και Δυναμικό Μοντέλο Ανάλυσης Απειλών σε ένα συγκεντρωτικό πλαίσιο σεναρίων επιθέσεων. Το μοντέλο αυτό αντλεί δεδομένα κυβερνοασφάλειας μέσω της ανίχνευσης ευπαθειών και τα χρησιμοποιεί για τη δυναμική εκτίμηση κινδύνου. Μετά την επιτυχή ανάλυση του κινδύνου, παρέχει πληροφορίες σχετικά με διαθέσιμες ενημερώσεις (patches) για τις εντοπισμένες ευπάθειες και προτείνει μέτρα μετριασμού, ώστε να μειώσει προληπτικά τους κινδύνους. Η αποτελεσματικότητά του επικυρώνεται μέσω μιας μελέτης περίπτωσης σε ένα μικρής κλίμακας δικτυακό περιβάλλον. Το τελικό μοντέλο εξελίσσει την ανάλυση κινδύνου εισάγοντας την παράμετρο της χρονικής ευαισθησίας, σε συνδυασμό με προληπτικές και δυναμικές δυνατότητες. Αυτή η μεθοδολογία αξιοποιεί το Σύστημα Βαθμολόγησης Πρόβλεψης Εκμετάλλευσης για την εκτίμηση της βραχυπρόθεσμης πιθανότητας εκμετάλλευσης των ευπαθειών σε ένα χρονικό διάστημα 30 ημερών. Για την αύξηση της ακρίβειας, χρησιμοποιούνται Δίκτυα Bayes για τη μοντελοποίηση των ευπαθειών του συστήματος και των αλληλεξαρτήσεων των περιουσιακών στοιχείων εντός του δικτύου. Αυτές οι πληροφορίες ενσωματώνονται σε μια απορροφητική αλυσίδα Markov (absorbing Markov chain), η οποία ενσωματώνει προσδιορισμένα μονοπάτια επίθεσης που εντοπίζονται μέσω της Αναζήτησης Κατά Βάθος (Depth-First Search).Το μοντέλο παράγει κατανομές πιθανοτήτων εκμετάλλευσης εντός ενός προκαθορισμένου χρονικού παραθύρου, οι οποίες, σε συνδυασμό με τις αναλύσεις των επιπτώσεων στα περιουσιακά στοιχεία, επιτρέπουν δυναμικές, προληπτικές και χρονικά ευαίσθητες εκτιμήσεις κινδύνου. Επιπλέον, παρέχει κρίσιμες πληροφορίες για την εξέλιξη μιας επίθεσης, εκτιμώντας τον χρόνο που απαιτείται για έναν επιτιθέμενο να παραβιάσει κρίσιμα περιουσιακά στοιχεία. Μια μελέτη περίπτωσης αποδεικνύει την πρακτική εφαρμογή του μοντέλου στην ανάλυση κυβερνοκινδύνων σε ένα περιβάλλον Εποπτικού Ελέγχου και Απόκτησης Δεδομένων. Συνολικά, η παρούσα διατριβή επιδιώκει να συμβάλει στην επιστημονική κοινότητα παρέχοντας μια συστηματική ανασκόπηση της βιβλιογραφίας και παρουσιάζοντας νέα δυναμικά μοντέλα ανάλυσης κινδύνου. Αυτές οι συνεισφορές αντιμετωπίζουν τους περιορισμούς των υφιστάμενων προσεγγίσεων και προτείνουν βελτιωμένες μεθοδολογίες για την ενίσχυση της κυβερνοασφάλειας των οργανισμών.