Method of Information Security Risk Analysis for Virtualized System
Abstract
The growth of usage of Information Technology (IT) in daily operations of enterprises causes the value and the vulnerability of information to be at the peak of interest. Moreover, distributed computing revolutionized the out-sourcing of computing functions, thus allowing flexible IT solutions. Since the concept of information goes beyond the traditional text documents, reaching manufacturing, machine control, and, to a certain extent – reasoning – it is a great responsibility to maintain appropriate information security. Information Security (IS) risk analysis and maintenance require extensive knowledge about the possessed assets as well as the technologies behind them, to recognize the threats and vulnerabilities the infrastructure is facing. A way of formal description of the infrastructure – the Enterprise Architecture (EA) – offers a multiperspective view of the whole enterprise, linking together business processes as well as the infrastructure. Several IS risk analysis solutions based on the EA exist. However, lack of methods of IS risk analysis for virtualization technologies complicates the procedure, thus leading to reduced availability of such analysis. The dissertation consists of an introduction, three main chapters and general conclusions. The first chapter introduces the problem of information security risk analysis and its’ automation. Moreover, state-of-the-art methodologies and their implementations for automated information security risk analysis are discussed. The second chapter proposes a novel method for risk analysis of virtualization components based on the most recent data, including threat classification and specification, control means and metrics of the impact. The third chapter presents an experimental evaluation of the proposed method, implementing it to the Cyber Security Modeling Language (CySeMoL) and comparing the analysis results to well-calibrated expert knowledge. It was concluded that the automation of virtualization solution risk analysis provides sufficient data for adjustment and implementation of security controls to maintain optimum security level. Informacijos apsauga yra vienas svarbiausių šiuolaikinės organizacijos iššūkių. Nuolat augantis informacinių technologijų (IT) naudojimas šiuo metu aprėpia veiklas tiek organizacijos viduje, tiek išorėje. Dėl to informacijos apsauga yra itin aktuali užtikrinant sklandų procesų vykdymą. Dėl pastaruosius kelis dešimtmečius augančio IT naudojimo juntamas tyrimų, susijusių su šia tema, suaktyvėjimas. Juose gilinamasi kaip gali būti užtikrinama reikiamo lygio informacijos apsauga. Norint supaprastinti informacijos apsaugos užtikrinimo procesą taip pat yra kuriami automatizuoti įrankiai, diegiantys šių tyrimų rezultatus praktiškai. Šiame darbe terminai apsauga ir sauga laikomi tapačiais. Informacijos apsaugos apibrėžimas reikalauja turimos infrastruktūros, grėsmių ir pažeidžiamumų išmanymo. Taip pat reikalingas ir rizikos dydžiui įvertinti skirtas metodas, aprėpiantis bendrą informacijos apsaugos situaciją. Remiantis šiais duomenimis sudaromas rizikos valdymo planas. Informacijos apsaugai įtakos turintys veiksniai, nagrinėjami šioje disertacijoje apima IT infrastruktūros komponentus ir ryšius tarp jų. Informacijos apsaugos situacijos nustatymui įprasta atlikti rizikos analizę visai ar daliai turimos infrastruktūros. Infrastruktūros atvaizdavimo formalizavimui pasitelkiamas verslo architektūros (angl. Enterprise Architecture) modelis. Šis modelis leidžia formaliai aprašyti turimą aparatinę, programinę įrangą, teisinius įsipareigojimus bei verslo procesus. Taip užtikrinamas įvairiapusis organizacijos IT veiklos aprašymas.