Automatic attack graph reasoning and risk analysis

La cybersecurity è un aspetto cruciale che interessa vari settori, dai conti personali e dalle email alle grandi aziende. Con l’avanzare della tecnologia, anche le minacce si evolvono, con individui malintenzionati che sfruttano strumenti digitali per causare danni materiali e immateriali. La ricerca si concentra principalmente sulle reti industriali, come quelle costituite da sistemi SCADA. Di conseguenza, lo studio è stato effettuato tenendo conto di reti vaste e complesse che utilizzano diversi protocolli. In questo contesto, diventa essenziale identificare i punti deboli di una rete industriale e prevenire attacchi potenziali, piuttosto che agire solo nelle fasi di recupero, quando spesso è troppo tardi. Comprendere appieno l'infrastruttura della rete, le sue limitazioni e i suoi punti di forza è il primo passo per garantire la sicurezza. L’obiettivo è lo sviluppo di un tool per generare un ranking delle vulnerabilità presenti in una rete industriale, al fine di identificare efficacemente i punti deboli e facilitare le azioni correttive. La metodologia adottata per lo sviluppo del tool prevede diversi input iniziali, tra cui una descrizione completa della rete industriale, dettagli sui nodi (nome, ID, protocolli), percorsi di attacco con vulnerabilità e relative tipologie, database CVE e CWE, un elenco di misconfigurations senza punteggi ufficiali e la definizione di asset critici. Utilizzando il database delle CVE, sono stati filtrati i punteggi ufficiali di impatto e exploitabilità, mentre per le CWE sono state selezionate descrizioni e referenze per costruire un database dettagliato. Per le misconfigurations, è stato sviluppato un algoritmo per prevedere le CWE più simili e, quindi, le CVE associate. Successivamente, è stato definito uno schema per il calcolo del rischio: uno score di impatto basato sui percorsi di attacco (considerando il peso dei nodi padre e figlio) e uno score di exploitabilità derivato dalla relazione tra vulnerabilità sfruttabili in successione. È stato introdotto un fattore ambientale, composto da metriche come il valore dell'asset, la vicinanza alla radice e la centralità dei nodi. Infine, il rischio complessivo viene calcolato mediando diversi fattori utilizzando media aritmetica, geometrica o PCA (Principal Component Analysis) e combinandolo con lo score di impatto e exploitabilità. Come risultato di questo studio, è stato sviluppato un prototipo funzionante del tool che, tramite l’elaborazione degli input forniti, è in grado di generare un ranking delle vulnerabilità basato su un insieme di fattori. Inoltre, il tool è stato adattato per valutare come il ranking cambia quando una o più vulnerabilità vengono rimosse da uno o più nodi. Questa funzionalità ci consente di osservare valori di rischio variabili associati alle vulnerabilità e potenziali cambiamenti da vulnerabilità ad alto rischio a vulnerabilità a basso rischio. In conclusione, questo studio ha portato allo sviluppo di un tool dinamico capace di fornire aggiornamenti in tempo reale sulle vulnerabilità all’interno di una rete. Questa ricerca ha implicazioni significative nel campo della cybersecurity, rappresentando una tecnologia all'avanguardia non ancora ampiamente disponibile ma attivamente in fase di sviluppo.